Tard le vendrediTwitter a annoncé une nouvelle politique qui supprimera l’authentification à deux facteurs (2FA) des messages texte de tout compte qui ne paiera pas pour cela.
Dans un article de blog, Twitter a déclaré qu’il n’autoriserait que les comptes qui s’abonnent à sa fonctionnalité premium Twitter Blue à utiliser la 2FA basée sur les messages texte. Les utilisateurs de Twitter qui ne passent pas à un autre type d’authentification à deux facteurs verront la fonctionnalité supprimée de leurs comptes d’ici le 20 mars.
Cela signifie que toute personne qui compte sur Twitter pour envoyer un code de message texte à son téléphone pour se connecter verra son 2FA désactivé, permettant à quiconque d’accéder à son compte avec un simple mot de passe. Si vous avez un mot de passe Twitter facilement devinable ou si vous utilisez ce même mot de passe sur un autre site ou service, vous devez agir le plus tôt possible.
Twitter affirme qu’il est « engagé à assurer la sécurité des personnes sur Twitter ». Ce n’est pas vrai. Au lieu de cela, vous regardez l’une des décisions de sécurité les plus stupides prises par une entreprise qui se déroule en temps réel.
On ne sait pas pour quelle raison cette nouvelle politique 2FA, d’abord révélée par Zoë Schiffer de la plateforme et confirmé plus tard par Twitter, a été institué. Depuis le rachat de 44 milliards de dollars par Elon Musk, Twitter fait une hémorragie de trésorerie et d’employés. Il est probable que la décision d’éliminer SMS 2FA visait à économiser de l’argent à l’entreprise, étant donné que l’envoi de SMS n’est pas bon marché. Nous demanderions à Twitter de commenter, mais Musk a licencié toute son équipe de communication.
Twitter a justifié la décision en son article de blog, disant que SMS 2FA peut être abusé par de mauvais acteurs. Il peut s’agir d’attaques par échange de carte SIM, où un pirate convainc votre fournisseur de téléphonie mobile d’attribuer le numéro de téléphone d’une victime à un appareil contrôlé par le pirate. En prenant le contrôle du numéro de téléphone d’une personne, le pirate peut se faire passer pour la victime, ainsi que recevoir des codes de message texte qui peuvent permettre au pirate d’accéder aux comptes en ligne d’une victime. Mais rendre SMS 2FA disponible uniquement pour les abonnés Twitter Blue ne protège pas davantage les utilisateurs payants contre les attaques par échange de carte SIM. Au contraire, en encourageant les utilisateurs payants à s’appuyer sur SMS 2FA, leurs comptes Twitter sont plus susceptibles d’être piratés si leur numéro de téléphone est piraté.
Cela étant dit – et c’est important – SMS 2FA offre toujours une bien meilleure protection pour vos comptes que de ne pas utiliser 2FA du tout. Mais la nouvelle politique de Twitter n’est pas le moyen d’encourager les utilisateurs à utiliser un 2FA plus sécurisé. En fait, des entreprises comme Mailchimp adoptent l’approche opposée (mais correcte) en encourageant les utilisateurs à activer 2FA en réduisant les factures mensuelles des clients.
La doublure argentée – si nous pouvons l’appeler ainsi – est que Twitter ne supprime pas complètement 2FA. Vous pouvez toujours protéger votre compte avec une 2FA solide sans payer un centime à Elon Musk.
Que vous ayez ou non abandonné votre compte Twitter au profit de services alternatifs et décentralisés comme Mastodon et d’autres, vous voudrez toujours prendre des mesures avant le 20 mars pour sécuriser votre compte au cas où quelqu’un entrerait par effraction et commencerait à tweeter en votre nom. .
Au lieu d’utiliser des codes 2FA envoyés par SMS, vous avez besoin d’un 2FA basé sur une application, qui est beaucoup plus sécurisé et aussi rapide que la réception d’un SMS. (De nombreux sites, services et applications en ligne proposent également une 2FA basée sur une application.) Au lieu d’avoir un code envoyé sur votre téléphone par SMS, vous pouvez générer un code via une application d’authentification sur votre téléphone, comme Duo, Authy ou Google Authenticator. pour n’en nommer que quelques-uns. C’est d’autant plus sécurisé que le code ne quitte jamais votre appareil.
Pour configurer cela, assurez-vous d’abord que votre application d’authentification est installée sur votre téléphone. Allez sur votre compte Twitter, puis allez sur Paramètres et confidentialitéalors Sécurité et accès au comptealors Sécurité. Une fois que vous êtes sur le Authentification à deux facteurs paramètres, puis sélectionnez Application d’authentification. Suivez attentivement les invites – vous devrez peut-être saisir le mot de passe de votre compte pour commencer. Une fois que vous avez terminé, vous pourrez vous connecter en utilisant votre mot de passe, puis un code généré à partir de votre application d’authentification.
N’oubliez pas qu’il s’agit d’un moyen beaucoup plus sécurisé d’accéder à votre compte Twitter, ce qui signifie que si vous perdez votre téléphone, il peut être très difficile de revenir sur votre compte. C’est pourquoi vous devez conserver une trace de vos codes de sauvegarde, qui vous permettent d’accéder à votre compte si vous êtes bloqué, stockés en toute sécurité dans votre gestionnaire de mots de passe. Vous pouvez trouver vos codes de secours au même endroit où vous avez configuré votre 2FA basée sur l’application.