Twitter a annoncé son intention de retirer une méthode populaire d’authentification à deux facteurs pour les clients non payants la semaine dernière. Non seulement cela pourrait rendre votre compte plus vulnérable aux attaques, mais cela pourrait même saper la sécurité de la plate-forme dans son ensemble et créer un dangereux précédent pour d’autres sites.
L’authentification à deux facteurs, ou 2FA, ajoute une couche de sécurité au-delà de la protection par mot de passe. Les mots de passe faibles qui sont facilement devinés par les pirates, les fuites de mots de passe ou les attaques de phishing qui peuvent leurrer les détails du mot de passe d’un utilisateur peuvent tous conduire à un accès indésirable à un compte tiers.
Avec 2FA, un utilisateur a une autre garde en place. La simple saisie d’un mot de passe ne suffit pas pour accéder au compte, et à la place, l’utilisateur reçoit une notification par SMS ou utilise une application d’authentification ou une clé de sécurité pour approuver l’accès.
« L’authentification à deux facteurs ne devrait pas être derrière un mur payant », a déclaré Rachel Tobac, PDG de l’organisation de sensibilisation à la sécurité SocialProof Security, à Engadget, « surtout pas le niveau le plus introductif de deux facteurs que nous trouvons la plupart des utilisateurs quotidiens ».
À partir du 20 mars, les non-abonnés à Twitter ne pourront plus utiliser l’authentification par SMS pour accéder à leurs comptes. La fonctionnalité sera automatiquement désactivée si les utilisateurs ne configurent pas une autre forme de 2FA. Cela met en danger les utilisateurs qui n’agissent pas rapidement pour mettre à jour leurs paramètres.
Si vous ne voulez pas payer 8 $ à 11 $ par mois pour un abonnement Twitter Blue, il existe encore quelques options pour sécuriser votre compte. Sous paramètres de sécurité et d’accès au compteles utilisateurs de Twitter peuvent choisir « application d’authentification » ou « clé de sécurité » comme méthode d’authentification à deux facteurs.
Les applications d’authentification logicielles telles que Duo, Authy, Google Authenticator et l’authentificateur 2FA intégré aux iPhones vous envoient une notification ou, dans le cas de Twitter, génèrent un jeton qui vous permettra de terminer votre connexion. Au lieu d’un simple mot de passe, vous devrez taper le code à six chiffres que vous voyez dans l’application d’authentification avant qu’il n’accorde l’accès à votre compte Twitter.
Les clés de sécurité fonctionnent de la même manière, nécessitant une étape supplémentaire pour accéder à un compte. Il s’agit d’une option matérielle qui se branche sur votre ordinateur ou se connecte sans fil pour confirmer votre identité. Les marques incluent Yubikey, Thetis, etc.
Les clés de sécurité sont souvent considérées comme plus sûres car un pirate devrait acquérir physiquement l’appareil pour entrer. Les méthodes 2FA qui nécessitent un code pour entrer, comme via un message texte ou une application d’authentification, sont hameçonnables, selon Tobac. En d’autres termes, les pirates peuvent inciter un utilisateur à abandonner ce code afin d’accéder au compte. Mais le matériel comme les clés de sécurité ne peut pas être accessible à distance de la même manière.
« Les cyber-attaquants ne se tiennent pas à côté de vous lorsqu’ils vous piratent. Ils vous piratent par téléphone, e-mail, SMS ou DM sur les réseaux sociaux », a déclaré Tobac.
Pourtant, mettre n’importe quel 2FA derrière un paywall le rend plus inaccessible pour les utilisateurs, surtout si la version placée derrière le paywall est aussi largement utilisée que l’authentification basée sur le texte. Moins de personnes peuvent être enclines à le configurer, ou elles peuvent ignorer les pop-ups de Twitter pour mettre à jour leurs comptes afin de pouvoir recommencer à tweeter, a déclaré Tobac.
Sans 2FA, il est beaucoup plus facile pour les acteurs non autorisés d’accéder à votre compte. Des comptes plus compromis font de Twitter une plate-forme moins sécurisée avec plus de potentiel d’attaques et d’usurpation d’identité.
« Lorsqu’il est plus facile pour nous de prendre le contrôle des comptes, les mythes et la désinformation augmentent et les mauvais acteurs vont augmenter sur le site car il est plus facile d’accéder à un compte avec un large public que vous pouvez tweeter ce que vous voulez en faisant semblant d’être eux « , a déclaré Tobac.
Elon Musk, PDG de Twitter impliquait que Paywalling SMS basé sur 2FA permettrait à l’entreprise d’économiser de l’argent. La décision controversée intervient après un exode de la confidentialité et de la sécurité sur Twitter l’automne dernier. Au milieu des licenciements, des responsables de haut niveau comme l’ancienne responsable de la sécurité de l’information Lea Kissner et l’ancien responsable de l’intégrité et de la sécurité Yoel Roth ont quitté l’entreprise.
Tous les produits recommandés par Engadget sont sélectionnés par notre équipe éditoriale, indépendante de notre maison mère. Certaines de nos histoires incluent des liens d’affiliation. Si vous achetez quelque chose via l’un de ces liens, nous pouvons gagner une commission d’affiliation. Tous les prix sont corrects au moment de la publication.