Bypass de l’authentification à deux facteurs (2FA) chez Free : Un risque de sécurité préoccupant.

Posted on Thursday May 16th, 2024by Rbcafe

Introduction.

L’authentification à deux facteurs (2FA) est une mesure de sécurité essentielle visant à renforcer la protection des comptes en ligne. Elle ajoute une couche supplémentaire de vérification en plus du mot de passe, rendant plus difficile l’accès non autorisé. Cependant, des vulnérabilités peuvent exister même dans les systèmes de 2FA, et récemment, une faille a été découverte dans le système de 2FA de Free, l’un des principaux fournisseurs de services Internet et de télécommunications en France.

Le problème du bypass de la 2FA chez Free.

Free utilise une 2FA pour protéger l’accès à ses services en ligne, notamment sur son portail mobile, accessible via l’URL https://mobile.free.fr. Cette mesure de sécurité vise à protéger les comptes utilisateurs contre les accès non autorisés. Cependant, Rbcafe a identifié une méthode permettant de contourner cette sécurité.

Description de la faille.

La faille permettait dee contourner la vérification de la 2FA.

Impacts et Conséquences.

Le contournement de la 2FA chez Free exposait les utilisateurs à divers risques, notamment :

Accès non autorisé à des données sensibles : L’attaquant pouvait accéder aux informations personnelles, aux détails de facturation et à d’autres données confidentielles.
Usurpation d’identité : Les informations obtenues peuvent être utilisées pour usurper l’identité de l’utilisateur.
Fraude financière : Les informations de paiement peuvent être exploitées pour des activités frauduleuses.

Réactions et Mesures Correctives.

Suite à la découverte de cette faille par Rbcafe , Free a été informé et a travaillé activement à la correction de la vulnérabilité identifiée.

Conclusions.

La sécurité en ligne est un domaine en constante évolution, et même les systèmes de protection avancés comme la 2FA ne sont pas infaillibles. Les utilisateurs doivent rester vigilants et adopter des pratiques de sécurité rigoureuses pour protéger leurs informations. Les entreprises, quant à elles, doivent continuellement améliorer leurs systèmes pour prévenir et corriger les vulnérabilités.

La découverte de cette faille chez Free par Rbcafe souligne l’importance d’une surveillance proactive et d’une réponse rapide aux incidents de sécurité pour protéger les utilisateurs et maintenir la confiance dans les services en ligne.

Déroulé du Bug.

– Découvert le 22 janvier 2024.
– Contact de l’équipde de Free via X (@free_1337)
– Contact par mail le 23 janvier 2024 orosello@free-mobile.fr.
– Correction du bug le 25 janvier 2024.
– Contact de orosello@free-mobile.fr m’indiquant que mon mail est en spam.
– Ghosting de l’équipe de Free. :)
– Divulgation du bug le 16 mai 2024 par Rbcafe.
– Post sur Twitter(X) : https://twitter.com/Rbcafe/status/1791148162285289900