Twitter : la double authentification arrive, mais pas pour tous

Twitter : la double authentification arrive, mais pas pour tous

Pas de SMS, pas de sécurité renforcée

Avatar de l'auteur

Sébastien Gavois

Publié dansInternet

23/05/2013
22
Twitter : la double authentification arrive, mais pas pour tous

Après Dropbox, c'est au tour de Twitter d'activer l'authentification en deux étapes pour ses utilisateurs. Cette méthode permet de mieux sécuriser votre compte en exigeant, en plus de votre mot de passe, un code envoyé via SMS. Malheureusement, les opérateurs français ne semblent pas encore pris en charge par le réseau social... il faudra donc être patient.

undefined

 

Suite à une fuite de données l'année dernière, Dropbox avait alors décidé de mettre en place une double authentification. Deux méthodes sont disponibles : par SMS ou bien via une application générant une clé de sécurité, comme Google Authenticator par exemple.

Twitter attaqué en février, la double authentification en juin

Début février c'était au tour de Twitter d'être la cible d'une attaque d'envergure dont les conséquences étaient relativement lourdes : des fuites de données pour 250 000 comptes. Les utilisateurs impactés avaient été contactés et, par sécurité, les mots de passe réinitialisés. Plus récemment, le compte d'Associated Press se faisait pirater, ce qui avait été jusqu'à ébranler la bourse à cause de la fausse annonce de deux explosions à la Maison Blanche.

 

Afin de renforcer la sécurité de ses comptes utilisateurs, Twitter vient de mettre en place une double vérification, via l'envoi d'un SMS seulement comme seconde authentification. Un choix que regretteront surement certains, d'autant qu'il faut que votre opérateur soit pris en charge... ce qui n'est pas encore le cas partout dans le monde. 

Un code via SMS et les opérateurs français pas encore supportés... dommage 

En effet, afin d'activer la double authentification, deux prérequis sont indispensables : disposer d'une adresse mail et d'un numéro de téléphone vérifiés. Mais, ce dernier point pose souci en France puisque les quatre opérateurs qui disposent de leur propre réseau (Bouygues Telecom, Free Mobile, Orange et SFR) ne sont pas encore en « connexion » avec Twitter.

 

Twitter ajoutez téléphone Twitter ajoutez téléphone

 

Si vous pouvez dépasser cette étape, il faudra ensuite vous rendre dans les paramètres de votre compte et cocher la case Sécurité du compte - Demander un code de vérification lorsque je me connecte. Pour les applications tierces, il est possible de générer un code temporaire afin de s'identifier et de les autoriser à accéder à votre compte.

 

Le site de micro-blogging en profite, là encore, pour rappeler l'importance de choisir un mot de passe suffisamment complexe, ce qui est la base même de la sécurité et pas que sur Twitter. Pour rappel, vous trouverez un sujet sur la gestion des mots de passe sur notre forum, n'hésitez pas à le consulter.

 

Voici pour finir une vidéo de présentation :

 

22
Avatar de l'auteur

Écrit par Sébastien Gavois

Tiens, en parlant de ça :

livre dématérialisé

Des chercheurs ont élaboré une technique d’extraction des données d’entrainement de ChatGPT

Toxique de répétition

17:15IA et algorithmesSciences et espace 2
Un chien avec des lunettes apprend sur une tablette

Devenir expert en sécurité informatique en 3 clics

Ou comment briller en société (de service)

16:53Sécurité 6
Logo ownCloud

ownCloud : faille béante dans les déploiements conteneurisés utilisant graphapi

Dangereuse, mais spécifique ?

15:57Sécurité 11

Sommaire de l'article

Introduction

Twitter attaqué en février, la double authentification en juin

livre dématérialisé

Des chercheurs ont élaboré une technique d’extraction des données d’entrainement de ChatGPT

IA et algorithmesSciences et espace 2
Un chien avec des lunettes apprend sur une tablette

Devenir expert en sécurité informatique en 3 clics

Sécurité 6
Logo ownCloud

ownCloud : faille béante dans les déploiements conteneurisés utilisant graphapi

Sécurité 11
Le SoC Graviton4 d’Amazon AWS posé sur une table

Amazon re:invent : SoC Graviton4 (Arm), instance R8g et Trainium2 pour l’IA

Hardware 1
Logo Comcybergend

Guéguerre des polices dans le cyber (OFAC et ComCyberMi)

Sécurité 10

#LeBrief : faille 0-day dans Chrome, smartphones à Hong Kong, 25 ans de la Dreamcast

0
Mur d’OVHcloud à Roubaix, avec le logo OVHcloud

OVHcloud Summit 2023 : SecNumCloud, IA et Local Zones

HardwareInternet 2
algorithmes de la CAF

Transparence, discriminations : les questions soulevées par l’algorithme de la CAF

IA et algorithmesSociété numérique 53

Plainte contre l’alternative paiement ou publicité comportementale de Meta

DroitIA et algorithmes 28
Nuage (pour le cloud) avec de la foudre

Économie de la donnée et services de cloud : l’Arcep renforce ses troupes

DroitInternet 0
De vieux ciseaux posés sur une surface en bois

Plus de 60 % des demandes de suppression reçues par Google émanent de Russie

Société numérique 4
Une vieille boussole posée sur un plan en bois

La Commission européenne et Google proposent deux bases de données de fact-checks

DroitInternet 3

#LeBrief : des fichiers Google Drive disparaissent, FreeBSD 14, caméras camouflées, OnePlus 12

0

Le poing Dev – round 6

Next 143

Produits dangereux sur le web : nouvelles obligations en vue pour les marketplaces

Droit 9
consommation de l'ia

Usages et frugalité : quelle place pour les IA dans la société de demain ?

IA et algorithmes 12

La NASA établit une liaison laser à 16 millions de km, les essais continuent

Sciences et espace 17
Concept de CPU

Semi-conducteurs : un important accord entre l’Europe et l’Inde

Hardware 7

#LeBrief : PS5 Slim en France, Valeo porte plainte contre NVIDIA, pertes publicitaires X/Twitter

0
Un mélange entre une réunion d’Anonymous et de tête d’ampoules, pour le meilleur et le pire

651e édition des LIDD : Liens Intelligents Du Dimanche

Internet 30
Bannière de Flock avec des bomes sur un fond rouge

#Flock, le grand remplacement par les intelligences artificielles

Flock 34
Un Sébastien transformé en lapin par Flock pour imiter le Quoi de neuf Docteur des Looney Tunes

Quoi de neuf à la rédac’ #9 : LeBrief 2.0, ligne édito, dossiers de fond

Next 65
Pilule rouge et bleue avec des messages codés

Encapsulation de clés et chiffrement d’enveloppes

Sécurité 31
Empreinte digital sur une capteur

Empreintes digitales : les capteurs Windows Hello loin d’être exemplaires

Sécurité 20

#LeBrief : succès du test d’Ariane 6, réparer plutôt que remplacer, Broadcom finalise le rachat de VMware

0

Hébergeurs, éditeurs, espaces de conversation ? La difficile régulation des réseaux sociaux

Réseaux sociauxSociété numérique 23
Puces en silicium

Silicium : un matériau indispensable et omniprésent, mais critique

HardwareSciences et espace 25
Panneau solaire bi-face Sunology Play

Panneaux solaires en autoconsommation : on décortique le kit Play de Sunology

Hardware 29
The eyes and ears of the army, Fort Dix, N.J.

Un think tank propose d’autoriser les opérations de « hack back »

Sécurité 13

#LeBrief : Ariane 6 sur le banc de test, arrestation algorithmique, entraînement d’IA par des mineurs

0
Logo de Google sur un ordinateur portable

Chrome : Google corrige plusieurs failles sévères, dont une déjà exploitée

Logiciel 2

vieux téléphones portables

Des cadres supérieurs invités à n’utiliser que des téléphones jetables à Hong Kong

Sécurité 21

La Dreamcast de Sega fête ses 25 ans

Hardware 22

Pilule rouge et bleue avec des messages codés

Démantèlement d’un groupe ukrainien de rançongiciels

Sécurité 5

Commentaires (22)


Thald'
Il y a 11 ans

Je suis pas pressé.
Ils peuvent se gratter pour que je lâche mon numéros de mobile.

tout comme mon nom, prénom, groupe sanguin, et un prélèvement ADN <img data-src=" />


vince120 Abonné
Il y a 11 ans

Les opérateurs français ne sont pas supportés parce qu’on est trop en avance sur toute la technologie© <img data-src=" />


molybdène Abonné
Il y a 11 ans

Et si on perd son portable, on fait comment pour récupérer notre compte ?


Groumfy
Il y a 11 ans






molybdène a écrit :

Et si on perd son portable, on fait comment pour récupérer notre compte ?



Et surtout, ça reporte la sécurité chez l’opérateur de télécom. Mais si tout le monde se gausse avec la double authentification, moi je veux bien …


A force, les vrais pirates vont s’intéresser aux opérateurs, et ça sera le jackpot.



sydbarrett55
Il y a 11 ans

Perso, je pourrais plus me passer de l’application Google Authenticator <img data-src=" />
C’est vraiment trop pratique.


Florent_ATo
Il y a 11 ans






Groumfy a écrit :

Et surtout, ça reporte la sécurité chez l’opérateur de télécom. Mais si tout le monde se gausse avec la double authentification, moi je veux bien …

A force, les vrais pirates vont s’intéresser aux opérateurs, et ça sera le jackpot.



Et quand on sais quelles passoires servent de SI chez les opérateurs, y’a de quoi trembler.



Thald’ a écrit :

Je suis pas pressé.
Ils peuvent se gratter pour que je lâche mon numéros de mobile.

tout comme mon nom, prénom, groupe sanguin, et un prélèvement ADN <img data-src=" />



Espérons que Twitter propose une solution à la Google ou Blizzard à terme :)



vince120 Abonné
Il y a 11 ans

Et puis avec le report sur le numéro, au moins, si qqn vole un portable, il peut tout récupérer…

Et le plus fort, c’est qu’avec la double auth, on est sûr que “une blonde qui twitt” est bien la responsable de l’accident :http://fr.news.yahoo.com/vante-davoir-renvers%C3%A9-cycliste-twitter-164705191.h…


Aegis1383
Il y a 11 ans






molybdène a écrit :

Et si on perd son portable, on fait comment pour récupérer notre compte ?



Je ne sais pas sur Twitter (mais il n’y a pas de raison qu’il en soit autrement), en règle générale, il est possible d’obtenir un code maître ou une série de codes maîtres à imprimer et conserver en lieu sûr.

Il suffit de se connecter avec l’un de ces codes maîtres puis changer son mot de passe et le numéro de téléphone (sinon ça sert à rien <img data-src=" />)

Le code maître ne déclenche pas l’envoi du SMS.


“Et puis avec le report sur le numéro, au moins, si qqn vole un portable, il peut tout récupérer… ”


Nope. Il faudrait pour ça que le gars qui a volé le portable ait aussi le mot de passe du compte. Ca fait beaucoup, non ? ;-)

Le seul truc qu’il recevra quand je me connecterai à mon compte, c’est le SMS avec un code à 4 chiffres. Il saura, certes, que j’essaie d’accéder à mon compte en ce moment, mais c’est tout. D’où l’intérêt alors du code maître pour changer tout ça…



RaYz
Il y a 11 ans






molybdène a écrit :

Et si on perd son portable, on fait comment pour récupérer notre compte ?


Blocage de carte SIM. Envoie de la nouvelle carte SIM et voilà.



Thald'
Il y a 11 ans






Florent_ATo a écrit :

Espérons que Twitter propose une solution à la Google ou Blizzard à terme :)



Même pas. Je donne toujours que des conneries.
Jean cule, 06 65 54 43 21, 1 Rue de Rivoli 75001 Paris.

Hop là.



molybdène Abonné
Il y a 11 ans






Aegis1383 a écrit :

Je ne sais pas sur Twitter (mais il n’y a pas de raison qu’il en soit autrement), en règle générale, il est possible d’obtenir un code maître ou une série de codes maîtres à imprimer et conserver en lieu sûr.

Il suffit de se connecter avec l’un de ces codes maîtres puis changer son mot de passe et le numéro de téléphone (sinon ça sert à rien <img data-src=" />)

Le code maître ne déclenche pas l’envoi du SMS.



Donc, ça revient à reporter la sécurité du compte sur un mot de passe uniquement (le code maitre).

Du coup, autant n’utiliser qu’un mot de passe que l’on retient plutôt qu’un mot de passe noté sur une feuille.



Aegis1383
Il y a 11 ans






molybdène a écrit :

Donc, ça revient à reporter la sécurité du compte sur un mot de passe uniquement (le code maitre).

Du coup, autant n’utiliser qu’un mot de passe que l’on retient plutôt qu’un mot de passe noté sur une feuille.



Absolument, c’est une possibilité aussi.

Le mot de passe maître est juste un “super” mot de passe assez long et compliqué.

S’il est possible de retenir un mot de passe long et compliqué, pas de souci, pas besoin de double auth.

La double auth est, disons, un bon compromis pour les gens qui se contentent d’un mot de passe à 8 ou 10 caractères qu’ils peuvent facilement mémoriser.
On va dire, c’est un 2ème rempart quand le 1er rempart d’un mot de passe faible tombe.



anonyme_69fdc79a4b020ce61113b2e6caed371d
Il y a 11 ans






Groumfy a écrit :

Et surtout, ça reporte la sécurité chez l’opérateur de télécom. Mais si tout le monde se gausse avec la double authentification, moi je veux bien …

A force, les vrais pirates vont s’intéresser aux opérateurs, et ça sera le jackpot.



D’où l’intérêt d’un Google Authenticator où rien ne passe par l’opérateur, car tu as saisi/flashé la clef secrète directement dans le tél.



dj0- Abonné
Il y a 11 ans






molybdène a écrit :

Donc, ça revient à reporter la sécurité du compte sur un mot de passe uniquement (le code maitre).

Du coup, autant n’utiliser qu’un mot de passe que l’on retient plutôt qu’un mot de passe noté sur une feuille.




Aegis1383 a écrit :

Absolument, c’est une possibilité aussi.

Le mot de passe maître est juste un “super” mot de passe assez long et compliqué.

S’il est possible de retenir un mot de passe long et compliqué, pas de souci, pas besoin de double auth.

La double auth est, disons, un bon compromis pour les gens qui se contentent d’un mot de passe à 8 ou 10 caractères qu’ils peuvent facilement mémoriser.
On va dire, c’est un 2ème rempart quand le 1er rempart d’un mot de passe faible tombe.



<img data-src=" />
Les codes maîtres ne sont pas des super mot de passe mais des super code pour la deuxième authentification : login && password && (standard code || master code)



loic_1715
Il y a 11 ans






molybdène a écrit :

Et si on perd son portable, on fait comment pour récupérer notre compte ?


Sous Google où il y a déjà cette option, tu as un numéro standard (celui qui sert la plupart du temps), un numéro de secours et un code de secours. Faut vraiment pas être chanceux pour tout perdre d’un coup.



Eagle1 Abonné
Il y a 11 ans

j’espère qu’il ne vont pas forcer à tous le faire.
j’ai pas l’intention de recevoir des sms autre que ma banque.


bzc Abonné
Il y a 11 ans






Groumfy a écrit :

Et surtout, ça reporte la sécurité chez l’opérateur de télécom. Mais si tout le monde se gausse avec la double authentification, moi je veux bien …


A force, les vrais pirates vont s’intéresser aux opérateurs, et ça sera le jackpot.



Non … dans double authentification il y a “double”. Ça rajoute un niveau de sécurité qui en effet repose sur l’opérateur dans le cas des SMS. Mais si l’opérateur est compromis il faut quand même avoir ton mot de passe.



Aegis1383
Il y a 11 ans

Dans l’absolu, moi je ne suis pas contre, bien au contraire…

Surtout que certains sites permettent de reconnaître, via un cookie ou un jeton, un ordinateur dit “fiable”. Ainsi, la 2ème auth n’est pas demandée à chaque fois sur cet ordi (pratique en cas de connexions fréquentes).

Quoiqu’il en soit, c’est toujours une fonction facultative donc bon…

Si ça devient obligatoire, là oui, ça craint. Mais je ne pense pas que les sites mettent une telle obligation de sitôt… <img data-src=" />






dj0- a écrit :

<img data-src=" />
Les codes maîtres ne sont pas des super mot de passe mais des super code pour la deuxième authentification : login && password && (standard code || master code)



My bad… merci pour la rectification <img data-src=" />



Groumfy
Il y a 11 ans






bzc a écrit :

Non … dans double authentification il y a “double”. Ça rajoute un niveau de sécurité qui en effet repose sur l’opérateur dans le cas des SMS. Mais si l’opérateur est compromis il faut quand même avoir ton mot de passe.



Je parle de la perte ou du vol d’un smartphone.

Hypothèse : le mot de passe de messagerie est enregistré dans un smartphone à l’écran déverrouillé.

Du coup, on peut lancer des opérations de récupération du mot de passe sur les sites. Le mail de récup arrive dans la boite, et roule.




Antwan
Il y a 11 ans

A noter que la façon d’authentifier est assez ridicule. Il faut envoyer un sms surtaxé pour valider son numéro !
Il n’y a pas de petites économies… <img data-src=" />

(En plus quand on sait qu’on peut spoofer l’MSISDN d’un SMS, cette façon de faire fait assez rigoler. C’est comme si on demandait d’envoyer un mail aux sites sur lesquels on veut s’inscrire pour vérifier qu’on est bien titulaire de l’adresse… Bidon.)


aypierre
Il y a 11 ans

Pourquoi ne pas proposer une solution comme google avec une appli type secureId ? Ca évite les sms, et pas besoin de filer son numéro.


Mudman
Il y a 11 ans

C’est une technique pour récupérer le numéro de téléphone, rien de plus.