Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Twitter : la double authentification arrive, mais pas pour tous

Pas de SMS, pas de sécurité renforcée

Twitter : la double authentification arrive, mais pas pour tous

Le 23 mai 2013 à 08h15

Après Dropbox, c'est au tour de Twitter d'activer l'authentification en deux étapes pour ses utilisateurs. Cette méthode permet de mieux sécuriser votre compte en exigeant, en plus de votre mot de passe, un code envoyé via SMS. Malheureusement, les opérateurs français ne semblent pas encore pris en charge par le réseau social... il faudra donc être patient.

undefined

 

Suite à une fuite de données l'année dernière, Dropbox avait alors décidé de mettre en place une double authentification. Deux méthodes sont disponibles : par SMS ou bien via une application générant une clé de sécurité, comme Google Authenticator par exemple.

Twitter attaqué en février, la double authentification en juin

Début février c'était au tour de Twitter d'être la cible d'une attaque d'envergure dont les conséquences étaient relativement lourdes : des fuites de données pour 250 000 comptes. Les utilisateurs impactés avaient été contactés et, par sécurité, les mots de passe réinitialisés. Plus récemment, le compte d'Associated Press se faisait pirater, ce qui avait été jusqu'à ébranler la bourse à cause de la fausse annonce de deux explosions à la Maison Blanche.

 

Afin de renforcer la sécurité de ses comptes utilisateurs, Twitter vient de mettre en place une double vérification, via l'envoi d'un SMS seulement comme seconde authentification. Un choix que regretteront surement certains, d'autant qu'il faut que votre opérateur soit pris en charge... ce qui n'est pas encore le cas partout dans le monde. 

Un code via SMS et les opérateurs français pas encore supportés... dommage 

En effet, afin d'activer la double authentification, deux prérequis sont indispensables : disposer d'une adresse mail et d'un numéro de téléphone vérifiés. Mais, ce dernier point pose souci en France puisque les quatre opérateurs qui disposent de leur propre réseau (Bouygues Telecom, Free Mobile, Orange et SFR) ne sont pas encore en « connexion » avec Twitter.

 

Twitter ajoutez téléphone Twitter ajoutez téléphone

 

Si vous pouvez dépasser cette étape, il faudra ensuite vous rendre dans les paramètres de votre compte et cocher la case Sécurité du compte- Demander un code de vérification lorsque je me connecte. Pour les applications tierces, il est possible de générer un code temporaire afin de s'identifier et de les autoriser à accéder à votre compte.

 

Le site de micro-blogging en profite, là encore, pour rappeler l'importance de choisir un mot de passe suffisamment complexe, ce qui est la base même de la sécurité et pas que sur Twitter. Pour rappel, vous trouverez un sujet sur la gestion des mots de passe sur notre forum, n'hésitez pas à le consulter.

 

Voici pour finir une vidéo de présentation :

 

Commentaires (22)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar







Aegis1383 a écrit :



Je ne sais pas sur Twitter (mais il n’y a pas de raison qu’il en soit autrement), en règle générale, il est possible d’obtenir un code maître ou une série de codes maîtres à imprimer et conserver en lieu sûr.



Il suffit de se connecter avec l’un de ces codes maîtres puis changer son mot de passe et le numéro de téléphone (sinon ça sert à rien <img data-src=" />)



Le code maître ne déclenche pas l’envoi du SMS.







Donc, ça revient à reporter la sécurité du compte sur un mot de passe uniquement (le code maitre).



Du coup, autant n’utiliser qu’un mot de passe que l’on retient plutôt qu’un mot de passe noté sur une feuille.


votre avatar







molybdène a écrit :



Donc, ça revient à reporter la sécurité du compte sur un mot de passe uniquement (le code maitre).



Du coup, autant n’utiliser qu’un mot de passe que l’on retient plutôt qu’un mot de passe noté sur une feuille.







Absolument, c’est une possibilité aussi.



Le mot de passe maître est juste un “super” mot de passe assez long et compliqué.



S’il est possible de retenir un mot de passe long et compliqué, pas de souci, pas besoin de double auth.



La double auth est, disons, un bon compromis pour les gens qui se contentent d’un mot de passe à 8 ou 10 caractères qu’ils peuvent facilement mémoriser.

On va dire, c’est un 2ème rempart quand le 1er rempart d’un mot de passe faible tombe.


votre avatar







Groumfy a écrit :



Et surtout, ça reporte la sécurité chez l’opérateur de télécom. Mais si tout le monde se gausse avec la double authentification, moi je veux bien …



A force, les vrais pirates vont s’intéresser aux opérateurs, et ça sera le jackpot.







D’où l’intérêt d’un Google Authenticator où rien ne passe par l’opérateur, car tu as saisi/flashé la clef secrète directement dans le tél.


votre avatar







molybdène a écrit :



Donc, ça revient à reporter la sécurité du compte sur un mot de passe uniquement (le code maitre).



Du coup, autant n’utiliser qu’un mot de passe que l’on retient plutôt qu’un mot de passe noté sur une feuille.









Aegis1383 a écrit :



Absolument, c’est une possibilité aussi.



Le mot de passe maître est juste un “super” mot de passe assez long et compliqué.



S’il est possible de retenir un mot de passe long et compliqué, pas de souci, pas besoin de double auth.



La double auth est, disons, un bon compromis pour les gens qui se contentent d’un mot de passe à 8 ou 10 caractères qu’ils peuvent facilement mémoriser.

On va dire, c’est un 2ème rempart quand le 1er rempart d’un mot de passe faible tombe.







<img data-src=" />

Les codes maîtres ne sont pas des super mot de passe mais des super code pour la deuxième authentification : login && password && (standard code || master code)


votre avatar







molybdène a écrit :



Et si on perd son portable, on fait comment pour récupérer notre compte ?





Sous Google où il y a déjà cette option, tu as un numéro standard (celui qui sert la plupart du temps), un numéro de secours et un code de secours. Faut vraiment pas être chanceux pour tout perdre d’un coup.


votre avatar

j’espère qu’il ne vont pas forcer à tous le faire.

j’ai pas l’intention de recevoir des sms autre que ma banque.

votre avatar







Groumfy a écrit :



Et surtout, ça reporte la sécurité chez l’opérateur de télécom. Mais si tout le monde se gausse avec la double authentification, moi je veux bien …





A force, les vrais pirates vont s’intéresser aux opérateurs, et ça sera le jackpot.







Non … dans double authentification il y a “double”. Ça rajoute un niveau de sécurité qui en effet repose sur l’opérateur dans le cas des SMS. Mais si l’opérateur est compromis il faut quand même avoir ton mot de passe.


votre avatar

Dans l’absolu, moi je ne suis pas contre, bien au contraire…



Surtout que certains sites permettent de reconnaître, via un cookie ou un jeton, un ordinateur dit “fiable”. Ainsi, la 2ème auth n’est pas demandée à chaque fois sur cet ordi (pratique en cas de connexions fréquentes).



Quoiqu’il en soit, c’est toujours une fonction facultative donc bon…



Si ça devient obligatoire, là oui, ça craint. Mais je ne pense pas que les sites mettent une telle obligation de sitôt… <img data-src=" />









dj0- a écrit :



<img data-src=" />

Les codes maîtres ne sont pas des super mot de passe mais des super code pour la deuxième authentification : login && password && (standard code || master code)







My bad… merci pour la rectification <img data-src=" />


votre avatar







bzc a écrit :



Non … dans double authentification il y a “double”. Ça rajoute un niveau de sécurité qui en effet repose sur l’opérateur dans le cas des SMS. Mais si l’opérateur est compromis il faut quand même avoir ton mot de passe.







Je parle de la perte ou du vol d’un smartphone.



Hypothèse : le mot de passe de messagerie est enregistré dans un smartphone à l’écran déverrouillé.



Du coup, on peut lancer des opérations de récupération du mot de passe sur les sites. Le mail de récup arrive dans la boite, et roule.





votre avatar

A noter que la façon d’authentifier est assez ridicule. Il faut envoyer un sms surtaxé pour valider son numéro !

Il n’y a pas de petites économies… <img data-src=" />



(En plus quand on sait qu’on peut spoofer l’MSISDN d’un SMS, cette façon de faire fait assez rigoler. C’est comme si on demandait d’envoyer un mail aux sites sur lesquels on veut s’inscrire pour vérifier qu’on est bien titulaire de l’adresse… Bidon.)

votre avatar

Pourquoi ne pas proposer une solution comme google avec une appli type secureId ? Ca évite les sms, et pas besoin de filer son numéro.

votre avatar

C’est une technique pour récupérer le numéro de téléphone, rien de plus.

votre avatar

Je suis pas pressé.

Ils peuvent se gratter pour que je lâche mon numéros de mobile.



tout comme mon nom, prénom, groupe sanguin, et un prélèvement ADN <img data-src=" />

votre avatar

Les opérateurs français ne sont pas supportés parce qu’on est trop en avance sur toute la technologie© <img data-src=" />

votre avatar

Et si on perd son portable, on fait comment pour récupérer notre compte ?

votre avatar







molybdène a écrit :



Et si on perd son portable, on fait comment pour récupérer notre compte ?







Et surtout, ça reporte la sécurité chez l’opérateur de télécom. Mais si tout le monde se gausse avec la double authentification, moi je veux bien …





A force, les vrais pirates vont s’intéresser aux opérateurs, et ça sera le jackpot.


votre avatar

Perso, je pourrais plus me passer de l’application Google Authenticator <img data-src=" />

C’est vraiment trop pratique.

votre avatar







Groumfy a écrit :



Et surtout, ça reporte la sécurité chez l’opérateur de télécom. Mais si tout le monde se gausse avec la double authentification, moi je veux bien …



A force, les vrais pirates vont s’intéresser aux opérateurs, et ça sera le jackpot.







Et quand on sais quelles passoires servent de SI chez les opérateurs, y’a de quoi trembler.







Thald’ a écrit :



Je suis pas pressé.

Ils peuvent se gratter pour que je lâche mon numéros de mobile.



tout comme mon nom, prénom, groupe sanguin, et un prélèvement ADN <img data-src=" />







Espérons que Twitter propose une solution à la Google ou Blizzard à terme :)


votre avatar

Et puis avec le report sur le numéro, au moins, si qqn vole un portable, il peut tout récupérer…



Et le plus fort, c’est qu’avec la double auth, on est sûr que “une blonde qui twitt” est bien la responsable de l’accident :http://fr.news.yahoo.com/vante-davoir-renvers%C3%A9-cycliste-twitter-164705191.h…

votre avatar







molybdène a écrit :



Et si on perd son portable, on fait comment pour récupérer notre compte ?







Je ne sais pas sur Twitter (mais il n’y a pas de raison qu’il en soit autrement), en règle générale, il est possible d’obtenir un code maître ou une série de codes maîtres à imprimer et conserver en lieu sûr.



Il suffit de se connecter avec l’un de ces codes maîtres puis changer son mot de passe et le numéro de téléphone (sinon ça sert à rien <img data-src=" />)



Le code maître ne déclenche pas l’envoi du SMS.





“Et puis avec le report sur le numéro, au moins, si qqn vole un portable, il peut tout récupérer… ”





Nope. Il faudrait pour ça que le gars qui a volé le portable ait aussi le mot de passe du compte. Ca fait beaucoup, non ? ;-)



Le seul truc qu’il recevra quand je me connecterai à mon compte, c’est le SMS avec un code à 4 chiffres. Il saura, certes, que j’essaie d’accéder à mon compte en ce moment, mais c’est tout. D’où l’intérêt alors du code maître pour changer tout ça…


votre avatar







molybdène a écrit :



Et si on perd son portable, on fait comment pour récupérer notre compte ?





Blocage de carte SIM. Envoie de la nouvelle carte SIM et voilà.


votre avatar







Florent_ATo a écrit :



Espérons que Twitter propose une solution à la Google ou Blizzard à terme :)







Même pas. Je donne toujours que des conneries.

Jean cule, 06 65 54 43 21, 1 Rue de Rivoli 75001 Paris.



Hop là.


Twitter : la double authentification arrive, mais pas pour tous

  • Twitter attaqué en février, la double authentification en juin

Fermer