Twitter fait un très bon travail en essayant de pousser les gens vers Twitter Blue, le service d’abonnement qui coûte 8 $ par mois (ou 11 $ sur iOS) pour une variété d’avantages et d’avantages. Le dernier « avantage » annoncé pour le service est l’authentification à deux facteurs par SMS.
Les utilisateurs qui ont activé l’authentification à deux facteurs par SMS ont jusqu’au 20 mars pour s’abonner à Twitter Blue ou choisir une autre version d’authentification. Ceux qui n’ont pas activé 2FA constateront que l’option SMS est déjà verrouillée derrière le paywall Twitter Blue.
Qu’est-ce que l’authentification à deux facteurs ?
L’authentification à deux facteurs, également connue sous le nom de 2FA, est un système de sécurité qui permet d’empêcher les pirates et autres acteurs malveillants d’accéder à vos comptes, même s’ils connaissent votre mot de passe. Donc, si un pirate a réussi à obtenir votre mot de passe d’une manière ou d’une autre, ou s’il est piraté par la force brute, il existe une autre couche de sécurité pour s’assurer que vous êtes la seule personne à avoir accès à ce compte.
Pensez à 2FA comme un sas sur un vaisseau spatial. Traverser le sas signifie passer par deux portes différentes à chaque fois. Au cas où l’une de ces portes tomberait en panne, il y aurait toujours une barrière physique supplémentaire entre vous et le vide glacial et dur de l’espace.
Les systèmes 2FA les plus courants impliquent que l’utilisateur reçoive un code de 6 à 8 chiffres et le saisisse lors du processus de connexion. Ce code peut être envoyé par e-mail, SMS ou via une application d’authentification dédiée. D’autres systèmes 2FA incluent l’approbation des demandes de connexion à partir d’un appareil de confiance, généralement votre téléphone, ou via l’utilisation d’une clé de sécurité USB physique qui se branche sur votre appareil.
Que se passe-t-il sur Twitter ?
D’après Twitter article de blog (s’ouvre dans un nouvel onglet)le réseau social désactivera l’authentification à deux facteurs pour tous les utilisateurs non payants qui s’appuient toujours sur l’authentification par SMS après le 20 mars. Ce qui compromettrait effectivement la sécurité de ces comptes.
C’est plutôt une décision étrange pour une multitude de raisons. Le principal n’est pas que Twitter essaie d’éloigner les gens du SMS 2FA, étant donné sa réputation d’être incroyablement peu sûr. Au lieu de cela, l’explication est que le système est abusé par de mauvais acteurs et que la fraude coûterait à Twitter plus de 60 millions de dollars (s’ouvre dans un nouvel onglet) une année.
Twitter n’a pas beaucoup d’argent en ce moment et essaie agressivement de réduire les coûts. Au point que l’entreprise n’aurait pas payé de loyer pour ses bureaux et aurait déjà été impliquée dans des licenciements massifs. Cela n’a certainement pas aidé que les annonceurs, la principale source de revenus de Twitter, aient fui en masse grâce à une série de décisions bizarres et controversées.
Ces décisions comprendraient des politiques de modération de contenu laxistes et des problèmes de sécurité de la marque. Évidemment, laisser quelqu’un avec 8 $ vérifier son compte comme la personne ou la marque qu’il aime n’est pas bon pour les affaires.
Inutile de dire que la société a poussé la prime Twitter Blue pour essayer de réduire les revenus perdus. Les avantages de l’abonnement incluent la possibilité de «vérifier» votre compte avec une coche bleue, 50% de publicités en moins, un accès anticipé aux nouvelles fonctionnalités, l’édition de tweets, plus d’options de téléchargement de vidéos et la priorité de vos tweets dans les résultats de recherche.
Si de mauvais acteurs escroquent vraiment Twitter de 60 millions de dollars par an de cette manière, la solution évidente serait de supprimer l’A2F basé sur les SMS dans son intégralité. Twitter ne serait pas la seule entreprise à le faire, et cela protégerait les utilisateurs des diverses insécurités associées à l’envoi de codes d’authentification par SMS.
Non seulement la messagerie SMS n’est pas cryptée et offre autant de sécurité qu’un sac en papier humide, mais l’utilisation de SMS 2FA dépend beaucoup trop du contrôle de votre numéro de téléphone. Il est incroyablement facile pour les mauvais acteurs de voler votre numéro de téléphone, que ce soit par des escroqueries par échange de carte SIM, par hameçonnage ou par ingénierie sociale.
Une fois qu’un pirate a pris le contrôle de votre numéro de téléphone, toutes vos protections SMS 2FA pourraient tout aussi bien ne pas être là.
Dans tous les cas, la sécurité des comptes n’est pas le genre de fonctionnalité qui devrait être verrouillée derrière un paywall. Surtout pas d’une manière qui suggère que l’option SMS 2FA est une sorte d’avantage premium que seuls les clients payants méritent.
Comment changer votre 2FA sur Twitter
Connectez-vous à votre compte Twitter et ouvrez le Paramètres et assistance menu dans la barre latérale, suivi de Paramètres et confidentialité.
Robinet Sécurité et accès au compte > Sécurité.
Choisir la authentification à deux facteurs option.
Désactivez le Message texte option. Entrez votre mot de passe lorsque vous y êtes invité et acceptez toutes les invites vous avertissant des dangers de ne pas avoir 2FA.
Choisissez soit Application d’authentification ou Clef de sécurité si vous avez accès à une clé de sécurité USB physique.
Suivez les instructions à l’écran pour configurer votre nouveau système 2FA.