Actus

Twitter supprime la fonction 2FA par SMS pour les membres sans Twitter Blue

Par Philippe Ternision , le 21 février 2023 , mis à jour le 21 février 2023 - 5 minutes de lecture
twitter
AccueilActusTwitter supprime la fonction 2FA par SMS pour les membres sans Twitter Blue
5/5 - (1 vote)

Twitter a déclaré qu’à moins que vous ne disposiez d’un abonnement Twitter Blue, il ne permettra plus l’authentification à deux facteurs par SMS. Mais il existe des alternatives d’authentification multifactorielle plus sûres, que nous vous présentons ci-dessous.

Twitter a déclaré cette semaine que les utilisateurs non abonnés à Twitter Blue qui utilisent l’authentification 2FA par SMS doivent se convertir à une autre méthode 2FA d’ici le 20 mars 2023, ou leur compte sera désactivé.

Twitter a publié un nouveau billet de blog avec un avertissement : “Les abonnés non Twitter Blue qui sont déjà inscrits auront 30 jours pour désactiver cette méthode et s’inscrire à une autre.”

“Nous n’autoriserons plus les non-abonnés Twitter Blue à utiliser les messages SMS comme option 2FA après le 20 mars 2023. Les comptes pour lesquels l’option 2FA par SMS est encore activée seront désactivés à ce moment-là.”

Seuls 2,6 % des utilisateurs emploient l’authentification à deux facteurs, selon le rapport sur la sécurité des comptes de Twitter, qui couvre les données entre juillet 2021 et décembre 2021. Ces utilisateurs utilisent des clés de sécurité matérielles dans 0,5 % des cas, des applications d’authentification dans 28,9 % des cas et l’authentification par SMS dans 74,4 % des cas.

Elon Musk a affirmé que la raison de cet ajustement est que les SMS 2FA frauduleux leur coûtent 60 millions de dollars chaque année.

Elon Musk saying they $60 million a year to SMS 2FA

Après ce changement de politique, Musk l’a défendu en disant que les applications d’authentification “sont nettement plus sûres que les SMS”, faisant très probablement allusion au danger des attaques par échange de cartes SIM sur les appareils mobiles.

Les attaques par échange de cartes SIM se produisent lorsque des acteurs menaçants trompent ou corrompent le personnel de l’opérateur pour qu’il réaffecte les numéros de téléphone mobile de la cible à des cartes SIM contrôlées par les attaquants.

Cela permet aux acteurs de la menace d’utiliser le numéro de téléphone sur leurs propres appareils, de recevoir des SMS de la victime, y compris des codes MFA SMS, ou d’accéder à des comptes dont les informations d’identification nécessitent un numéro de téléphone.

Vous devez désormais utiliser une clé de sécurité ou une application d’authentification comme option d’authentification 2FA si vous n’avez pas l’intention de vous inscrire à Twitter Blue.

Même si beaucoup de gens ne sont pas d’accord avec la façon dont cette nouvelle politique est gérée et mise en œuvre, elle pourrait finalement améliorer la sécurité pour les utilisateurs qui décident de ne pas s’inscrire à Twitter Blue.

Cela est dû au fait que vous devrez sécuriser votre compte à l’aide de méthodes plus sûres.

La méthode la plus sûre consiste à se connecter à un compte à l’aide d’une clé de sécurité matérielle, comme un Google Titan ou un Yubikey, qui sont de petits appareils dotés d’une connectivité USB ou NFC.

En tant qu’objets physiques qui doivent être branchés à un ordinateur et en votre possession pour vous connecter à votre compte, ils sont réputés être les plus sûrs.

Par conséquent, même si quelqu’un vole vos jetons 2FA, que ce soit par le biais d’attaques de phishing sophistiquées de type “adversary-in-the-middle” ou d’opérations d’échange de cartes SIM, il ne peut pas contourner le système 2FA s’il obtient l’accès à vos informations d’identification.

L’alternative consiste à utiliser un programme d’authentification à deux facteurs, comme Authy, Microsoft Authenticator ou Google Authenticator.

Le site Web affiche un code QR que vous scannez avec l’application d’authentification lorsque vous y configurez l’authentification à deux ou plusieurs facteurs. Après avoir été scanné, le site web sera enregistré dans l’application pour produire les codes 2FA nécessaires pour accéder à votre compte sur un autre site web.

Si un acteur menaçant obtient vos informations de connexion, il ne pourra pas se connecter car il n’a pas accès au code émis par votre application mobile.

Le problème des applications d’authentification est que si vous égarez votre téléphone, vous perdez également l’accès à vos informations d’identification 2FA, ce qui rend difficile et long le rétablissement de l’accès aux sites Web.

Pour sauvegarder vos paramètres 2FA dans le nuage afin de pouvoir les restaurer si vous perdez ou effacez votre appareil, Microsoft Authenticator et Authy proposent tous deux cette fonctionnalité.

Par conséquent, ces deux applications constituent une option fantastique pour votre application d’authentification.

Lorsque vous ne transmettez pas les codes à un autre appareil en utilisant Authy, assurez-vous de désactiver la fonction “Autoriser le multi-appareil”. Sinon, si votre numéro de téléphone est compromis, quelqu’un pourrait être en mesure d’accéder à votre compte Authy.

Quel que soit le mécanisme de connexion que vous utilisez, le rapport de sécurité de Twitter révèle que beaucoup trop d’utilisateurs n’utilisent pas la méthode 2FA pour sécuriser leurs comptes, alors que cette méthode renforce la sécurité des comptes.

Il est fortement recommandé d’utiliser un authentificateur ou une clé de sécurité physique et d’activer le 2FA sur tous vos comptes en ligne, y compris Twitter, car il est en définitive plus sûr.

 

Vues 38

Philippe Ternision

Philippe Ternision

Administrateur réseau dans un grand groupe, je partage mes connaissances sur Hfrance pour aider mes confrères et mes consoeurs.