Twitter a annoncé hier qu’à partir du 20 mars, il n’autorisera ses utilisateurs à sécuriser leurs comptes avec une authentification à deux facteurs basée sur SMS que s’ils paient pour un abonnement Twitter Blue. L’authentification à deux facteurs, ou 2FA, oblige les utilisateurs à se connecter avec un nom d’utilisateur et un mot de passe, puis un «facteur» supplémentaire tel qu’un code numérique. Les experts en sécurité conseillent depuis longtemps que les gens utilisent une application génératrice pour obtenir ces codes. Mais les recevoir dans des messages texte SMS est une alternative populaire, donc la suppression de cette option pour les utilisateurs non rémunérés a laissé les experts en sécurité se gratter la tête.
La décision à deux facteurs de Twitter est la dernière d’une série de changements politiques controversés depuis qu’Elon Musk a acquis la société l’année dernière. Le service payant Twitter Blue – le seul moyen d’obtenir une coche bleue vérifiée sur les comptes Twitter actuellement – coûte 11 $ par mois sur Android et iOS et moins pour un abonnement sur ordinateur uniquement. Les utilisateurs démarrés à partir de l’authentification à deux facteurs basée sur SMS auront la possibilité de basculer vers une application d’authentification ou une clé de sécurité physique.
“Bien qu’historiquement une forme populaire de 2FA, malheureusement, nous avons vu la 2FA basée sur le numéro de téléphone être utilisée – et abusée – par de mauvais acteurs”, a écrit Twitter dans un article de blog publié vendredi soir. “Donc, à partir d’aujourd’hui, nous n’autoriserons plus les comptes à s’inscrire à la méthode SMS/SMS de 2FA à moins qu’ils ne soient abonnés à Twitter Blue.”
Dans un rapport de juillet 2022 sur la sécurité des comptes, Twitter a déclaré que seulement 2,6 % de ses utilisateurs actifs ont activé tout type d’authentification à deux facteurs. Parmi ces utilisateurs, près de 75 % utilisaient la version SMS. Près de 29 % utilisaient des applications d’authentification et moins de 1 % avaient ajouté une clé d’authentification physique.
L’authentification à deux facteurs par SMS n’est pas sécurisée car les attaquants peuvent détourner les numéros de téléphone des cibles ou utiliser d’autres techniques pour intercepter les textes. Mais les experts en sécurité soulignent depuis longtemps que l’utilisation de SMS à deux facteurs est nettement meilleure que l’absence de deuxième facteur d’authentification activé.
De plus en plus, des géants de la technologie comme Apple et Google ont éliminé l’option SMS à deux facteurs et ont fait passer les utilisateurs (généralement sur plusieurs mois ou années) à d’autres formes d’authentification. Les chercheurs craignent que le changement de politique de Twitter ne sème la confusion chez les utilisateurs en leur laissant si peu de temps pour terminer la transition et en faisant apparaître les SMS à deux facteurs comme une fonctionnalité premium.
« Le blog Twitter a raison de souligner que l’authentification à deux facteurs qui utilise des messages texte est fréquemment utilisée abusivement par de mauvais acteurs. Je reconnais qu’elle est moins sécurisée que les autres méthodes 2FA », déclare Lorrie Cranor, directrice du laboratoire de confidentialité et de sécurité utilisable de Carnegie Mellon. « Mais si leur motivation est la sécurité, ne voudraient-ils pas également sécuriser les comptes payants ? Cela n’a aucun sens d’autoriser la méthode la moins sécurisée pour les comptes payants uniquement.
Alors que la société affirme que ses changements à deux facteurs seront déployés à la mi-mars, les utilisateurs de Twitter avec SMS à deux facteurs activés ont commencé à rencontrer un écran de superposition contextuelle vendredi qui leur conseillait de supprimer complètement les deux facteurs ou de passer à ” l’application d’authentification ou les méthodes de clé de sécurité. »
On ne sait pas ce qui se passera si les utilisateurs ne désactivent pas les SMS à deux facteurs avant la nouvelle date limite. Le message dans l’application aux utilisateurs implique que les personnes qui ont encore activé le SMS à deux facteurs lorsque le changement se produit officiellement le 20 mars seront verrouillées sur leurs comptes. “Pour éviter de perdre l’accès à Twitter, supprimez l’authentification à deux facteurs par SMS d’ici le 19 mars 2023”, indique la notification. Mais le billet de blog de Twitter indique que le double facteur sera simplement désactivé le 20 mars si les utilisateurs ne l’ajustent pas avant cette date. “Après le 20 mars 2023, nous n’autoriserons plus les abonnés non-Twitter Blue à utiliser les SMS comme méthode 2FA”, a écrit la société. “À ce moment-là, les comptes avec SMS 2FA toujours activés le verront désactivé.”