En septembre 2025, le deuxième plus grand fournisseur de télécommunications de Corée, KT Corporation, a révélé une cyberattaque sophistiquée qui a compromis les systèmes de paiement mobile de278 clients, entraînant des transactions non autorisées pour un montant de 170 millions d’euros (122 400 dollars). Si les pertes financières semblent relativement limitées, la sophistication technique de l’attaque et sa méthodologie novatrice révèlent des vulnérabilités catastrophiques dans les systèmes d’authentification basés sur les télécommunications dont dépendent quotidiennement des milliards de personnes. Cet incident, qui survient quelques mois seulement après la violation de SK Telecom affectant 27 millions d’utilisateurs, démontre que l’authentification basée sur le téléphone mobile est devenue une responsabilité systémique en matière de sécurité qui exige un remplacement immédiat par des alternatives décentralisées.
L’attaque des femtocellules de KT représente un nouveau vecteur de menace
L’incident de KT est le premier cas documenté d’attaques illégales de femtocellules en Corée du Sud, introduisant un vecteur d’attaque effroyablement accessible qui contourne les mesures de sécurité traditionnelles. Entre le 6 août et le 8 septembre 2025, les attaquants ont déployé des femtocellules modifiées – de petites stations de base cellulaires généralement utilisées pour améliorer la couverture intérieure – afin d’intercepter et de compromettre les processus d’authentification des utilisateurs.
Le mécanisme technique s’est avéré d’une efficacité dévastatrice. Les attaquants ont acquis des dispositifs femtocellulaires standard pour environ 3 millions d’euros (2 200 dollars) sur les marchés secondaires, puis ont modifié le micrologiciel pour contourner les protocoles d’authentification de l’opérateur. Une fois connectées au réseau de KT, ces stations de base malhonnêtes capturaient automatiquement les appareils mobiles dans un rayon de 10 mètres. Lorsque les téléphones des victimes se connectaient à ce qui semblait être le signal le plus fort disponible, les femtocellules compromises interceptaient les numéros IMSI (International Mobile Subscriber Identity) et les codes d’authentification SMS de 5 561 clients en texte clair après décryptage interne.
Kim Yong-dae, professeur au KAIST, a expliqué cette vulnérabilité : « Alors que les communications mobiles sont cryptées entre le téléphone et la femtocellule, cette dernière décrypte les messages en interne. Si des pirates contrôlent cette femtocellule, ils peuvent intercepter les messages et voler des informations personnelles en temps réel. » Les pirates ont concentré leurs efforts sur la région métropolitaine de Séoul et la province de Gyeonggi, principalement tôt le matin, lorsque les victimes n’étaient pas susceptibles de remarquer les transactions non autorisées. Ils ont systématiquement vidé les comptes en achetant des chèques-cadeaux mobiles et en rechargeant des cartes de transport, en exploitant le système de micropaiement de KT qui repose uniquement sur la vérification par SMS pour l’authentification.
Ce qui rend cette attaque particulièrement inquiétante, c’est son accessibilité. Contrairement aux opérations sophistiquées des États-nations qui nécessitent des menaces persistantes avancées ou des exploits de type « zero-day », l’attaque des femtocellules a utilisé du matériel facilement disponible et des connaissances techniques de base. Lim Jong-in, professeur à l’université de Corée, a fait remarquer que si les femtocellules ont été compromises aussi facilement, cela suggère « des défaillances potentielles du contrôle interne » et soulève des questions quant à l’implication d’initiés ou à des protocoles de sécurité inadéquats pour les équipements de télécommunication.
Les télécoms coréens confrontés à une épidémie de failles d’authentification
L’incident de KT n’est que le dernier chapitre en date de la crise de la sécurité des télécommunications en Corée du Sud. Le schéma des violations révèle des vulnérabilités systémiques qui persistent depuis plus d’une décennie, chaque incident révélant des faiblesses d’authentification de plus en plus graves.
La faille d’avril 2025 de SK Telecom est potentiellement la plus catastrophique de l’histoire de la Corée en matière de sécurité des télécommunications. Les attaquants ont maintenu un accès non détecté pendant près de trois ans (de juin 2022 à avril 2025), compromettant l’ensemble de la base de clientèle de 27 millions d’utilisateurs. En utilisant des variantes du logiciel malveillant BPFDoor sur 28 serveurs infectés, les acteurs de la menace – soupçonnés d’être des groupes APT chinois, notamment Red Mansion, Weaver Ant et Salt Typhoon – ont extrait des numéros IMSI, des clés d’authentification USIM et 25 catégories d’informations sur les abonnés. La sophistication et la persistance de la violation ont entraîné un investissement de 700 milliards d’euros pour remédier à la situation et ont déclenché des examens de sécurité à l’échelle nationale.
Les incidents historiques révèlent un schéma inquiétant. KT a subi d’importantes violations en 2012 (8,7 millions de clients), 2014 (12 millions de clients, soit 75 % de sa base d’utilisateurs) et 2016. LG U+ a subi une violation importante en 2023 affectant 300 000 clients, ce qui a entraîné des amendes de 6,8 milliards d’euros après que les enquêteurs ont découvert des mots de passe d’administrateur de base de données réglés sur « admin » et des contrôles d’accès inadéquats. La violation multi-opérateurs de 2014 a compromis simultanément les trois principaux opérateurs – SKT, KT et LG U+ – affectant 12,3 millions d’enregistrements au total et démontrant des attaques coordonnées dans l’ensemble de l’industrie.
Ces incidents présentent des caractéristiques communes : accès prolongé non détecté, exploitation des vulnérabilités du système d’authentification, exposition massive des données, y compris des identifiants d’authentification, et retard dans la détection et le signalement par les fournisseurs de télécommunications. La récurrence de ces incidents chez tous les grands opérateurs indique que le problème va au-delà des défaillances individuelles des entreprises et englobe les vulnérabilités structurelles de l’architecture d’authentification à l’échelle de l’industrie.
Les systèmes d’authentification mobiles présentent des vulnérabilités inhérentes
L’architecture technique qui sous-tend l’authentification par téléphone mobile crée de multiples surfaces d’attaque que des adversaires sophistiqués exploitent régulièrement. Au cœur de ces vulnérabilités se trouve le SS7 (Signaling System 7)une norme mondiale de signalisation des télécommunications datant des années 1970 qui, de par sa conception, ne comporte ni authentification ni cryptage. L’évaluation du ministère américain de la sécurité intérieure est sans appel : « Le ministère de la sécurité intérieure estime que tous les opérateurs américains sont vulnérables aux exploits [SS7 et Diameter], ce qui entraîne des risques pour la sécurité nationale, l’économie et la capacité du gouvernement fédéral à exécuter de manière fiable les fonctions nationales essentielles ».
Les vulnérabilités du SS7 permettent des attaques dévastatrices telles que la localisation en temps réel, l’interception par SMS de mots de passe à usage unique, l’interception et l’écoute d’appels, les attaques par déni de service et la fraude d’abonnés par la manipulation de la facturation. L’accès aux réseaux SS7, que l’on peut se procurer entre 150 et 2 500 dollars sur les marchés du dark web, offre aux attaquants des capacités jusqu’alors réservées aux agences de renseignement. Les attaques bancaires allemandes de 2017, au cours desquelles des criminels ont vidé des comptes en utilisant les vulnérabilités du SS7, ont démontré qu’il ne s’agit pas de risques théoriques, mais de faiblesses activement exploitées.
L’échange de cartes SIM représente une autre vulnérabilité critique dans l’authentification mobile. Une étude de l’université de Princeton a révélé que « quatre tentatives d’échange de cartes SIM sur cinq aux États-Unis sont couronnées de succès » et que 17 sites web importants, dont PayPal, Venmo et Amazon, restent vulnérables à la compromission par le seul biais de l’échange de cartes SIM. La simplicité de l’attaque – l’ingénierie sociale du service clientèle de l’opérateur pour transférer le numéro d’une victime vers une carte SIM contrôlée par l’attaquant – dissimule son efficacité. En 2022, 40 clients de KT ont perdu ₩270 millions de crypto-monnaies à la suite d’attaques par échange de cartes SIM, ce qui met en évidence l’impact financier direct.
Les exploits des processeurs de bande de base ajoutent une nouvelle couche de vulnérabilité. Ces processeurs distincts qui gèrent les communications cellulaires sont nettement moins protégés que les processeurs d’application, ce qui crée des possibilités d’exécution de code à distance par le biais de paquets réseau malformés. Les chercheurs en sécurité présents à Mobile Pwn2Own ont démontré que les compromissions de la bande de base valaient des primes de 100 000 dollars, prouvant que des attaquants sophistiqués peuvent contourner entièrement la sécurité au niveau de l’application en accédant à des réseaux de niveau inférieur.
Les mises en œuvre spécifiques à la Corée aggravent ces vulnérabilités. Le système 본인인증 (vérification de l’identité), obligatoire pour les services en ligne, s’intègre directement aux opérateurs de télécommunications et s’appuie fortement sur la vérification par SMS. Le système de micropaiement permet des transactions d’un montant maximal de 1 million d’euros par mois pour les adultes, authentifiées principalement par des codes SMS et des codes PIN simples. Cette dépendance excessive à l’égard de l’infrastructure de télécommunications pour l’authentification critique crée des points de défaillance en cascade lorsque les opérateurs sont compromis.
L’authentification centralisée crée des points de défaillance uniques catastrophiques
Le défaut fondamental de l’authentification basée sur les télécommunications va au-delà des vulnérabilités techniques et s’étend aux problèmes architecturaux inhérents aux systèmes centralisés. La recherche universitaire identifie systématiquement l’authentification centralisée comme créant de dangereux points de défaillance uniques. Comme le souligne la recherche de la bibliothèque numérique de l’ACM : « La confiance centralisée et la gestion centralisée de l’identité, couramment utilisées, rendent les systèmes d’information et les organisations vulnérables à un point de défaillance unique.
La campagne Salt Typhoon illustre la manière dont les infrastructures de télécommunications centralisées deviennent une cible stratégique pour les acteurs étatiques. Cette campagne, que le sénateur Mark Warner a qualifiée de « pire piratage télécom de l’histoire de notre pays » et qui fait passer « Colonial Pipeline et SolarWinds pour un jeu d’enfant », a compromis au moins neuf entreprises de télécommunications américaines, dont Verizon, AT&T et T-Mobile. Actifs pendant un à deux ans avant d’être détectés, les attaquants ont accédé à des systèmes d’interception légale conçus pour la surveillance gouvernementale, créant ainsi, ironiquement, des vecteurs d’attaque parfaits pour des adversaires étrangers.
Les orientations officielles du NIST reconnaissent explicitement ces risques. La norme NIST SP 800-53 Control CP-8(2) stipule que les organisations doivent « obtenir des services de télécommunications alternatifs pour réduire la probabilité de partager un point de défaillance unique avec les services de télécommunications primaires ». Le guide reconnaît que les fournisseurs de télécommunications partagent souvent une infrastructure physique, ce qui multiplie l’exposition à la vulnérabilité de systèmes apparemment indépendants.
L’analyse de l’industrie révèle des schémas cohérents dans les défaillances des systèmes centralisés. Lorsque l’authentification dépend d’une infrastructure centralisée, la compromission du serveur a un impact simultané sur tous les systèmes connectés. Les pannes de réseau entraînent des échecs d’authentification pour des populations entières d’utilisateurs. Les violations de bases de données exposent les informations d’identification de millions d’utilisateurs en même temps, comme l’a montré le nombre de 27 millions de victimes de l’incident SKT. Des goulets d’étranglement apparaissent lors du traitement des demandes d’authentification à grande échelle, ce qui crée des risques en termes de sécurité et de disponibilité.
Le contraste avec les systèmes décentralisés est frappant. La recherche de l’IEEE sur l’authentification distribuée note : « Comme l’authentification est répartie, la défaillance d’un serveur n’affecte pas tous les utilisateurs. Les systèmes peuvent évoluer de manière indépendante, en gérant un plus grand nombre d’utilisateurs ou de demandes sans submerger un serveur central. La compromission d’un serveur ne met pas nécessairement en péril l’ensemble du réseau ». Cet avantage architectural n’est pas théorique : il est à la base des normes d’authentification émergentes qui éliminent totalement les dépendances en matière de télécommunications.
Un consensus d’experts demande l’abandon de l’authentification par SMS
Les experts en sécurité du monde entier sont parvenus à un consensus écrasant : l’authentification basée sur les télécommunications doit être abandonnée. À la suite des attaques du typhon Salt, la CISA a publié des orientations sans précédent recommandant explicitement la migration « loin des canaux de messagerie SMS et vocale » et conseillant l’utilisation d’applications de messagerie cryptées au lieu des télécommunications traditionnelles. Il s’agit d’un changement fondamental dans la position du gouvernement, qui reconnaît que l’authentification par SMS ne peut pas être sécurisée de manière adéquate.
Bruce Schneier a documenté la tentative de dépréciation de l’authentification par SMS par le NIST, notant que si la pression de l’industrie a forcé un assouplissement de la position, « les problèmes de sécurité sous-jacents restent valables ». Les recherches confirment ces inquiétudes : Forrester a constaté que « l’authentification par SMS n’arrête que 76 % des attaques », ce qui rend près d’un quart des tentatives d’authentification vulnérables à la compromission.
L’étude de l’université de Princeton, qui a procédé à une rétro-ingénierie des politiques d’authentification de 140 sites web, fournit des preuves empiriques d’une vulnérabilité généralisée. Le fait que de grandes plateformes telles que PayPal et Amazon restent vulnérables aux attaques par échange de cartes SIM « dans leur configuration par défaut » montre que même les entreprises technologiques sophistiquées ont du mal à atténuer les risques liés à l’authentification basée sur les télécommunications.
Les experts du secteur financier lancent des avertissements particulièrement pressants. Marcus Fowler, PDG de Darktrace Federal, explique : « Le secteur des télécommunications est particulièrement vulnérable aux cyberattaques en raison de la pression constante exercée par l’industrie pour attirer de nouveaux fournisseurs… ces fournisseurs tiers supplémentaires créent un risque de sécurité croissant. » Ayan Halder, de Traceable, note que « les attaques basées sur les télécommunications, telles que la fraude au péage par SMS et le détournement de 2FA, sont devenues une préoccupation majeure pour les responsables de la sécurité de l’information ».
Les grandes entreprises technologiques votent en faveur de leur mise en œuvre. Microsoft a complètement abandonné l’authentification par SMS et favorise les technologies sans mot de passe telles que Windows Hello pour les ordinateurs de bureau ou l’application Microsoft Authenticator pour les appareils mobiles. De même, Google a abandonné les SMS au profit de clés de sécurité matérielles et d’une authentification basée sur les applications. Ces changements opérés par les leaders de l’industrie indiquent que l’authentification par SMS a atteint la fin de vie pour les organisations soucieuses de la sécurité.
L’authentification décentralisée élimine les dépendances en matière de télécommunications
La voie à suivre nécessite un changement architectural fondamental – passer de systèmes centralisés et dépendants des télécommunications à des alternatives décentralisées et sécurisées par cryptographie. SNAPPASS d’ANDOPEN représente une approche convaincante, ayant remporté le prix de l’innovation CES 2025 pour son système d’authentification biométrique sans réseau.
SNAPPASS fonctionne selon un principe révolutionnaire : l’indépendance totale vis-à-vis des réseaux. Le système comprend des cartes SNAPPIN contenant des données biométriques chiffrées et optimisées par l’IA qui ne peuvent pas être modifiées à distance, et du matériel d’authentification SNAPCHECK doté d’une détection de l’authenticité et de l’imposture profonde alimentée par l’IA. L’authentification s’effectue entièrement hors ligne entre la carte de l’utilisateur et le lecteur, traitant jusqu’à 60 authentifications par minute sans aucune connectivité réseau. Les données biométriques n’entrent jamais dans les bases de données centralisées et sont immédiatement supprimées après chaque tentative d’authentification.
Cette architecture s’attaque à toutes les principales vulnérabilités des systèmes basés sur les télécommunications. Sans transmission par le réseau, il n’y a pas de possibilité d’interception de SMS ou d’attaques SS7. Les exigences en matière de possession physique empêchent toute compromission à distance. Le traitement local élimine les points de défaillance uniques. L’architecture distribuée garantit que la compromission d’un site n’affecte pas les autres. Le composant biométrique ajoute une authentification forte qui ne peut pas être manipulée socialement ou échangée comme les cartes SIM.
L’écosystème plus large des solutions d’authentification décentralisée démontre que le marché est prêt pour cette transition. Le marché de l’identité décentralisée connaît une croissance explosive, passant de 647,80 millions de dollars en 2022 à 41,73 milliards de dollars prévus en 2030, soit un taux de croissance annuel moyen de 90,3 %. Les systèmes basés sur la blockchain, comme Entra Verified ID de Microsoft, utilisent des identifiants décentralisés (DID) conformes aux normes du W3C pour permettre aux utilisateurs de contrôler leurs informations d’identification. Les clés de sécurité matérielles conformes aux normes FIDO2/WebAuthn fournissent une authentification résistante à l’hameçonnage sans dépendre des télécommunications.
La recherche universitaire valide ces approches. Nature Scientific Reports a publié des études montrant que l’authentification basée sur la blockchain « exploite les cartes d’identité électroniques émises par le gouvernement pour générer des signatures numériques et utilise des contrats intelligents pour automatiser le processus d’authentification », éliminant ainsi les exigences en matière d’infrastructure de télécommunications tout en maintenant la sécurité et la facilité d’utilisation.
L’ère de l’authentification des télécommunications doit cesser maintenant
Le piratage des micropaiements du KT, bien que financièrement modeste, représente un tournant dans la sécurité de l’authentification. L’utilisation de matériel femtocellulaire facilement disponible pour compromettre les systèmes d’authentification démontre que la sécurité basée sur les télécommunications est devenue triviale. Si l’on ajoute à cela la faille de SK Telecom qui a touché 27 millions d’utilisateurs et les vulnérabilités persistantes de l’ensemble du secteur, la preuve devient indéniable : on ne peut pas faire confiance aux réseaux de télécommunications pour l’authentification.
Le consensus des experts est unanime. Des agences gouvernementales comme la CISA recommandent explicitement l’abandon de l’authentification par SMS. La recherche universitaire prouve l’existence de failles architecturales fondamentales dans les systèmes centralisés. Les chercheurs en sécurité démontrent des attaques réussies avec une régularité effrayante. Les grandes entreprises technologiques ont déjà abandonné l’authentification basée sur les télécommunications. La question n’est plus de savoir s’il faut abandonner l’authentification par SMS et par télécommunications, mais de savoir à quelle vitesse les organisations peuvent effectuer la transition.
Des solutions comme le SNAPPASS d’ANDOPEN laissent entrevoir un avenir où l’authentification fonctionnera indépendamment d’une infrastructure de télécommunications vulnérable. En combinant la possession physique, la vérification biométrique et le fonctionnement sans réseau, ces systèmes éliminent des catégories entières d’attaques tout en offrant une expérience utilisateur et une protection de la vie privée supérieures. La croissance prévue du marché de l’identité décentralisée, qui devrait atteindre 41,73 milliards de dollars d’ici 2030, montre que les entreprises reconnaissent cet impératif et investissent en conséquence.
L’incident du KT devrait servir de dernier avertissement. Les organisations qui continuent à s’appuyer sur l’authentification par SMS et par télécommunications acceptent des risques catastrophiques qui vont au-delà de leurs mesures de sécurité individuelles et menacent les infrastructures critiques et la sécurité nationale. La technologie existe aujourd’hui pour éliminer complètement ces vulnérabilités. La seule question qui subsiste est de savoir si les organisations agiront avant de devenir la prochaine victime d’une faille d’authentification qui aurait pu être évitée.
Pour ceux qui souhaitent en savoir plus sur la transition vers des systèmes d’authentification décentralisés, SNAPPASS d’ANDOPEN et d’autres solutions similaires sans réseau offrent des alternatives immédiates et applicables qui s’attaquent aux causes profondes des échecs d’authentification des télécommunications. Le temps des améliorations progressives est révolu – l’avenir de l’authentification doit être décentralisé, indépendant du réseau et sécurisé par cryptographie. Le piratage de l’AC nous a montré les conséquences d’un retard. La voie à suivre est claire.
