Twitter permet maintenant d’utiliser l’authentification à deux facteurs sans numéro de téléphone
Twitter permet maintenant d’utiliser l’authentification à deux facteurs sans numéro de téléphone
mais il faudra activer la confirmation via une application pour continuer à profiter de 2FA hors du web
À l’heure actuelle où les données sont considérées comme une mine d’or pour les pirates, la sécurité des données des utilisateurs constitue pour les fournisseurs de services en ligne une préoccupation majeure. Twitter qui n’est pas épargné par ce problème a annoncé en mai dernier la mise à jour de sa norme d’authentification à deux facteurs FIDO U2F en adoptant le protocole FIDO2 WebAuthn. Côté utilisateur, cette modification n’entraîne pas vraiment grand changement. Mais en arrière-plan, cela permet à Twitter d’utiliser l’authentification à 2 facteurs avec un plus grand nombre de navigateurs et d’authentificateurs, ce qui n’était pas le cas avec FIDO U2F.
Dans la pratique, l’authentification à deux facteurs (abrégée 2FA en anglais) se présente comme une couche de sécurité supplémentaire qui exige en plus du mot de passe usuel, un autre code envoyé par le fournisseur de service à l’utilisateur ou une mesure de sécurité supplémentaire avant de donner accès à l’utilisateur. Sur Twitter, l’utilisateur peut choisir parmi trois méthodes pour s’authentifier sur la plateforme avec l’authentification à deux facteurs activée. Ce sont notamment l’authentification avec un code de sécurité envoyé sur le téléphone mobile de l’utilisateur, l’authentification avec une confirmation de connexion via une application mobile et l’authentification avec une clé de sécurité physique connectée à l’ordinateur ou au mobile.
Jusqu’alors, l’activation de l’authentification à deux facteurs exigeait que vous communiquiez votre numéro de téléphone à la plateforme Twitter, peu importe la méthode 2FA choisie. Depuis hier, Twitter a mis à jour cette mesure de sécurité et déclare maintenant qu’à « partir d’aujourd’hui, vous pouvez vous inscrire à 2FA sans numéro de téléphone ». Lorsque la plateforme utilisait l’authentification à deux facteurs avec les SMS seulement, cette exigence était compréhensible. Mais avec les autres méthodes 2FA, exiger le numéro de téléphone pour s’authentifier n’a manifestement plus de sens.
En outre, il est notoire que les numéros de téléphone mobile sont également vulnérables aux attaques par permutation de cartes SIM. Cette attaque consiste pour l’acteur malveillant à duper un employé de fournisseurs de services téléphoniques afin qu'il transfère certaines informations de la carte SIM de la victime comme le numéro ICCID à 20 chiffres sur la carte SIM du pirate. Quand il y parvient, il est en mesure de faire toutes les opérations couramment réalisées avec le numéro de la victime. En août dernier, le compte Twitter de Jack Dorsey, le PDG de Twitter, a été piraté après que les pirates ont utilisé cette attaque. Avec le numéro de téléphone du CEO, ils ont publié au nom de ce dernier des injures raciales, une alerte à la bombe et d’autres messages grossiers sur la plateforme Twitter.
Comme autre inconvénient lié à l’utilisation des numéros de téléphone sur Twitter, nous rappelons que le réseau social a été obligé en début d’année de reconnaître ouvertement que des numéros de téléphone et adresses électroniques fournis à des fins de publicité (par exemple, pour l’authentification à deux facteurs) ont été utilisés par inadvertance à des fins publicitaires. Toutes choses qui viennent rappeler qu’il n’est plus bon de lier son numéro de téléphone à la plateforme Twitter.
Si donc vous aviez déjà associé votre numéro de téléphone à 2FA de votre compte Twitter, Kayvon Beykpour, chef de produit chez Twitter, précise que « vous pouvez le dissocier dans la section “Compte” de vos paramètres tout en maintenant 2FA activé ».
Après avoir désactivé l’authentification 2FA par SMS, certains utilisateurs rapportent qu’ils n’ont plus accès à l’authentification à deux facteurs malgré le fait que la méthode 2FA par clé de sécurité soit activée. Et ce souci est confirmé par Jared Miller, un ingénieur chez Twitter, qui explique qu’il est nécessaire d’avoir une deuxième méthode d’authentification 2FA en plus de l’activation de la méthode de clé de sécurité, car cette dernière n’est actuellement pas prise en charge en dehors du web.
Miller ajoute que « si vous souhaitez désactiver les SMS, vous devez également disposer d’une application de sécurité mobile. Nous savons que cela pourrait ne pas être idéal, mais nous allons continuer à y travailler ». En résumé, si vous utilisez l’application mobile Twitter et que vous voulez désactiver l’authentification 2FA par SMS, il faudra activer l’authentification 2FA via une application pour pouvoir continuer à profiter de cette couche de sécurité et non avec la méthode de clé de sécurité qui en fait n’est pas prise en charge en dehors du web.
Source : Twitter
Et vous ?
Que pensez-vous de cette nouvelle décision de Twitter de permettre l’utilisation de 2FA sans numéro de téléphone ?
Voir aussi
Répondre avec citation
Partager