Twitter permet maintenant d'utiliser l'authentification à deux facteurs sans numéro de téléphone

Mais il faudra activer la confirmation via une application pour continuer à profiter de 2FA

Twitter permet maintenant d’utiliser l’authentification à deux facteurs sans numéro de téléphone
mais il faudra activer la confirmation via une application pour continuer à profiter de 2FA hors du web

À l’heure actuelle où les données sont considérées comme une mine d’or pour les pirates, la sécurité des données des utilisateurs constitue pour les fournisseurs de services en ligne une préoccupation majeure. Twitter qui n’est pas épargné par ce problème a annoncé en mai dernier la mise à jour de sa norme d’authentification à deux facteurs FIDO U2F en adoptant le protocole FIDO2 WebAuthn. Côté utilisateur, cette modification n’entraîne pas vraiment grand changement. Mais en arrière-plan, cela permet à Twitter d’utiliser l’authentification à 2 facteurs avec un plus grand nombre de navigateurs et d’authentificateurs, ce qui n’était pas le cas avec FIDO U2F.

Dans la pratique, l’authentification à deux facteurs (abrégée 2FA en anglais) se présente comme une couche de sécurité supplémentaire qui exige en plus du mot de passe usuel, un autre code envoyé par le fournisseur de service à l’utilisateur ou une mesure de sécurité supplémentaire avant de donner accès à l’utilisateur. Sur Twitter, l’utilisateur peut choisir parmi trois méthodes pour s’authentifier sur la plateforme avec l’authentification à deux facteurs activée. Ce sont notamment l’authentification avec un code de sécurité envoyé sur le téléphone mobile de l’utilisateur, l’authentification avec une confirmation de connexion via une application mobile et l’authentification avec une clé de sécurité physique connectée à l’ordinateur ou au mobile.

Jusqu’alors, l’activation de l’authentification à deux facteurs exigeait que vous communiquiez votre numéro de téléphone à la plateforme Twitter, peu importe la méthode 2FA choisie. Depuis hier, Twitter a mis à jour cette mesure de sécurité et déclare maintenant qu’à « partir d’aujourd’hui, vous pouvez vous inscrire à 2FA sans numéro de téléphone ». Lorsque la plateforme utilisait l’authentification à deux facteurs avec les SMS seulement, cette exigence était compréhensible. Mais avec les autres méthodes 2FA, exiger le numéro de téléphone pour s’authentifier n’a manifestement plus de sens.


En outre, il est notoire que les numéros de téléphone mobile sont également vulnérables aux attaques par permutation de cartes SIM. Cette attaque consiste pour l’acteur malveillant à duper un employé de fournisseurs de services téléphoniques afin qu'il transfère certaines informations de la carte SIM de la victime comme le numéro ICCID à 20 chiffres sur la carte SIM du pirate. Quand il y parvient, il est en mesure de faire toutes les opérations couramment réalisées avec le numéro de la victime. En août dernier, le compte Twitter de Jack Dorsey, le PDG de Twitter, a été piraté après que les pirates ont utilisé cette attaque. Avec le numéro de téléphone du CEO, ils ont publié au nom de ce dernier des injures raciales, une alerte à la bombe et d’autres messages grossiers sur la plateforme Twitter.

Comme autre inconvénient lié à l’utilisation des numéros de téléphone sur Twitter, nous rappelons que le réseau social a été obligé en début d’année de reconnaître ouvertement que des numéros de téléphone et adresses électroniques fournis à des fins de publicité (par exemple, pour l’authentification à deux facteurs) ont été utilisés par inadvertance à des fins publicitaires. Toutes choses qui viennent rappeler qu’il n’est plus bon de lier son numéro de téléphone à la plateforme Twitter.

Si donc vous aviez déjà associé votre numéro de téléphone à 2FA de votre compte Twitter, Kayvon Beykpour, chef de produit chez Twitter, précise que « vous pouvez le dissocier dans la section “Compte” de vos paramètres tout en maintenant 2FA activé ».


Après avoir désactivé l’authentification 2FA par SMS, certains utilisateurs rapportent qu’ils n’ont plus accès à l’authentification à deux facteurs malgré le fait que la méthode 2FA par clé de sécurité soit activée. Et ce souci est confirmé par Jared Miller, un ingénieur chez Twitter, qui explique qu’il est nécessaire d’avoir une deuxième méthode d’authentification 2FA en plus de l’activation de la méthode de clé de sécurité, car cette dernière n’est actuellement pas prise en charge en dehors du web.


Miller ajoute que « si vous souhaitez désactiver les SMS, vous devez également disposer d’une application de sécurité mobile. Nous savons que cela pourrait ne pas être idéal, mais nous allons continuer à y travailler ». En résumé, si vous utilisez l’application mobile Twitter et que vous voulez désactiver l’authentification 2FA par SMS, il faudra activer l’authentification 2FA via une application pour pouvoir continuer à profiter de cette couche de sécurité et non avec la méthode de clé de sécurité qui en fait n’est pas prise en charge en dehors du web.

Source : Twitter

Et vous ?

Que pensez-vous de cette nouvelle décision de Twitter de permettre l’utilisation de 2FA sans numéro de téléphone ?

Allez-vous retirer votre numéro de téléphone de votre compte Twitter ?

Ou allez-vous le laisser sur la plateforme pour continuer à utiliser la méthode 2FA avec les SMS ?

Voir aussi

La technique très simple qui a permis de pirater le compte Twitter de Jack Dorsey, pour ensuite envoyer des tweets racistes à plus de 4 millions de personnes avant d’être sécurisé
Twitter informe qu’il pourrait avoir utilisé des données d’utilisateurs sans permission pour de la publicité à cause d’une faille de sécurité
Twitter renforce sa sécurité pour mieux protéger ses utilisateurs, le site utilise désormais la technologie de la confidentialité persistante
Sécurité : 370 mots de passe bannis sur Twitter, le site de micro-blogging interdit les plus évidents
WebAuthn : le W3C et l’Alliance FIDO finalisent la norme pour les connexions sans mot de passe, et appellent les sites et entreprises à l’adopter