Après deux semaines de chaos extrême sur Twitter, les utilisateurs rejoignent et fuient le site en masse. Plus discrètement, beaucoup examinent probablement leurs comptes, vérifient leurs paramètres de sécurité et téléchargent leurs données. Mais certains utilisateurs signalent des problèmes lorsqu’ils tentent de générer des codes d’authentification à deux facteurs par SMS : soit les SMS n’arrivent pas, soit ils sont retardés de plusieurs heures.
Les codes à deux facteurs glitchy SMS signifient que les utilisateurs pourraient se voir exclure de leurs comptes et en perdre le contrôle. Ils pourraient également se retrouver dans l’incapacité de modifier leurs paramètres de sécurité ou de télécharger leurs données à l’aide de la fonction d’accès de Twitter. La situation fournit également un premier indice que des problèmes au sein de l’infrastructure de Twitter remontent à la surface.
Tous les utilisateurs n’ont pas de problèmes pour recevoir des codes d’authentification par SMS, et ceux qui s’appuient sur une application d’authentification ou un jeton d’authentification physique pour sécuriser leur compte Twitter n’ont peut-être pas de raison de tester le mécanisme. Mais les utilisateurs signalent eux-mêmes des problèmes sur Twitter depuis le week-end, et WIRED a confirmé que sur au moins certains comptes, les textes d’authentification sont retardés de plusieurs heures ou ne viennent pas du tout. L’effondrement survient moins de deux semaines après que Twiter a licencié environ la moitié de ses employés, soit environ 3 700 personnes. Depuis lors, les ingénieurs, les spécialistes des opérations, le personnel informatique et les équipes de sécurité ont été mis à rude épreuve pour tenter d’adapter les offres de Twitter et de créer de nouvelles fonctionnalités selon le programme du nouveau propriétaire Elon Musk.
Les rapports indiquent que l’entreprise a peut-être licencié trop d’employés trop rapidement et qu’elle a tenté de réembaucher certains travailleurs. Pendant ce temps, Musk a déclaré publiquement qu’il ordonnait au personnel de désactiver certaines parties de la plate-forme. “Une partie de la journée consistera à désactiver les bloatwares” microservices “”, a-t-il tweeté ce matin. “Moins de 20% sont réellement nécessaires pour que Twitter fonctionne !”
Le service des communications de Twitter, qui n’existerait plus, n’a pas renvoyé la demande de commentaires de WIRED sur les problèmes liés aux codes d’authentification à deux facteurs par SMS. Musk n’a pas répondu à un tweet demandant un commentaire.
“Une panne temporaire de l’authentification multifacteur pourrait avoir pour effet de bloquer les utilisateurs sur leurs comptes. Mais l’inquiétude encore plus inquiétante est que cela encouragera les utilisateurs à désactiver complètement l’authentification multifacteur, ce qui les rendra moins sûrs », déclare Kenneth White, codirecteur de l’Open Crypto Audit Project et ingénieur en sécurité de longue date. “Il est difficile de dire exactement ce qui a causé le problème signalé par tant de personnes, mais cela pourrait certainement résulter de modifications à grande échelle des services Web qui ont été annoncées.”
Les SMS ne sont pas le moyen le plus sûr de recevoir des codes d’authentification, mais de nombreuses personnes comptent sur ce mécanisme, et les chercheurs en sécurité s’accordent à dire que c’est mieux que rien. Par conséquent, même les pannes intermittentes ou sporadiques sont problématiques pour les utilisateurs et pourraient les mettre en danger.
Le système de livraison de code d’authentification par SMS de Twitter a rencontré à plusieurs reprises des problèmes de stabilité au fil des ans. En août 2020, par exemple, le support Twitter a tweeté : « Nous examinons les codes de vérification de compte qui ne sont pas transmis par SMS ou appel téléphonique. Désolé pour la gêne occasionnée, et nous vous tiendrons au courant pendant que nous poursuivons notre travail pour résoudre ce problème. » Trois jours plus tard, la société a ajouté : « Nous avons encore du travail à faire pour corriger la livraison du code de vérification, mais nous progressons. Nous sommes désolés pour la frustration que cela a causée et apprécions votre patience pendant que nous continuons à travailler dessus. Nous espérons que cela sera bientôt réglé pour ceux d’entre vous qui ne reçoivent pas de code. »
