L'authentification à deux facteurs de Twitter ne requiert plus votre numéro de téléphone

Dans le but de donner aux gens une expérience moins stressante, Twitter modifie son système de connexion. L'équipe de sécurité de la plate-forme de micro-blogging a annoncé hier dans un tweet que les utilisateurs disposeraient désormais d'options légèrement différentes d'authentification à deux facteurs (2FA). Voici le tweet en question:

Nous facilitons également la sécurisation de votre compte avec l'authentification à deux facteurs. A partir d'aujourd'hui, vous pouvez vous inscrire à 2FA sans numéro de téléphone. https://t.co/AxVB4QWFA1

- Sécurité sur Twitter (@TwitterSafety) 21 novembre 2019

Beaucoup d'entre vous diraient qu'une nouvelle majeure ne peut être annoncée en moins de 280 caractères. Certains pourraient soutenir que même si c'est possible, ce tweet n'est pas très excitant. Cependant, lorsque vous creuserez plus profondément, vous constaterez que l'annonce est significative.

Le système 2FA de Twitter peut désormais fonctionner sans votre numéro de téléphone

Le système 2FA de Twitter intègre trois options pour le deuxième facteur: vous pouvez vous faire attribuer un mot de passe à usage unique (OTP) par SMS; vous pouvez utiliser une application d'authentificateur mobile; ou vous pouvez utiliser un jeton matériel.

Jusqu'à présent, cependant, Twitter vous demandait de connecter votre numéro de téléphone à votre compte afin de permettre une authentification à deux facteurs, que vous souhaitiez ou non utiliser des messages texte. Ce n'était pas un défaut de conception, ni un système pour collecter des millions de numéros de téléphone et les vendre au plus bas soumissionnaire. C'était en fait un élément de sécurité.

Votre numéro de téléphone a joué un rôle de sécurité au cas où vous perdriez votre jeton ou ne pourriez pas accéder à l'application d'authentification par mobile. C'était là pour vous assurer que, quoi qu'il arrive, vous pourrez toujours accéder à votre compte sans trop de problèmes. Maintenant, vous n'êtes plus obligé de le fournir, et ceux d'entre vous qui l'ont déjà ajouté peuvent le supprimer sans désactiver 2FA. Quel est le raisonnement derrière cela?

Twitter sait à quel point les choses peuvent mal tourner si votre numéro de téléphone est compromis

Twitter ne supprime pas le 2FA basé sur le SMS, intrinsèquement défectueux. Vous pouvez toujours associer votre numéro de téléphone à votre compte et recevoir votre code ponctuel Twitter dans un message texte. À la place, le réseau social permet aux utilisateurs qui ne souhaitent pas partager leur numéro de téléphone d'utiliser une authentification à deux facteurs. Et certaines personnes, y compris nul autre que le PDG de Twitter, ont de bonnes raisons de ne pas vouloir partager leurs numéros de téléphone.

En septembre, Jack Dorsey a fait détourner son compte Twitter. Les criminels n'ont toutefois pas deviné son mot de passe et n'ont pas infiltré les systèmes de Twitter.. Au lieu de cela, ils ont monté ce que l’on appelle une attaque par échange de carte SIM.

Essentiellement, ils ont détourné le numéro de téléphone de Dorsey et ont utilisé l'ancien service de messagerie instantanée par SMS de Twitter pour diffuser du contenu offensant. Bien que l'option de tweeter via des messages texte ait été désactivée presque immédiatement, l'attaque a alerté tout le monde sur Twitter sur les dangers des numéros de téléphone détournés, et désormais, les personnes ont la possibilité de se protéger.

Pour être honnête, les utilisateurs réguliers qui n’ont pas l’influence et le nombre de suiveurs de personnes comme Jack Dorsey ne risquent pas d’être victimes d’une attaque par échange de carte SIM. Néanmoins, l’exposition de leurs coordonnées de contact présente d’autres risques, ce qui signifie que si vous avez déjà ajouté votre numéro de téléphone à votre compte, vous pouvez envisager de le supprimer. Vous pouvez le faire en allant dans Paramètres et confidentialité > Compte > Téléphone > Supprimer le numéro de téléphone.

Quoi que vous fassiez, assurez-vous que 2FA est activé. Pour ce faire, accédez à Paramètres et confidentialité > Compte > Sécurité > Authentification à deux facteurs.