Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Twitter teste un système de sécurité renforcée à deux étapes

Il n'est jamais trop tard pour bien faire

Twitter teste un système de sécurité renforcée à deux étapes

Le 25 avril 2013 à 06h18

Secoué cette semaine par l'affaire du piratage du compte officiel de l'agence Associated Press, Twitter travaillerait depuis quelque temps sur un système de sécurité à deux étapes nous apprend Wired. Testé en interne, ce système pourrait être appliqué d'ici peu aux comptes du réseau social.

Twitter AP hack

De trop nombreux comptes piratés

Ces dernières années, les piratages et autres détournements de comptes Twitter ont été nombreux. De Barack Obama à Britney Spears, en passant par CBS, Fox News, Reuters, Justin Bieber, Selena Gomez, Joseph Blatter (FIFA), la Diplomatie Française, Burger King, Jeep, et donc AP avant-hier, les cas ne manquent pas. Sans même parler des 250 000 comptes Twitter compromis au début de l'année. La plupart des piratages ont été sans grandes conséquences, mais les cas d'AP ou encore de Fox News ont été plus problématiques.

Toutes ces attaques affaiblissent la confiance que l'on peut donner à Twitter. Ce dernier se devait donc de réagir. Outre le passage classique du nom et du mot de passe, une seconde authentification basée sur l'envoi d'un SMS sur le téléphone de l'utilisateur pourrait être exploitée par Twitter nous apprend Wired. Un système souvent utilisé par les banques lors d'un paiement par exemple.

 

Certains sites de courriels ou encore de réseaux sociaux remarquant des changements de comptes sur la même machine, une nouvelle localisation de l'utilisateur ou encore une activation sur un tout nouvel appareil, exploitent aussi ce système afin de réduire les risques de détournements. Nous pourrions d'ailleurs faire remarquer que Twitter aurait pu mettre en place une telle politique depuis longtemps.

 

Fox News Twitter

 

Ce système de sécurité sera-t-il généralisé ou juste imposé aux comptes certifiés connus, les plus susceptibles d'être attaqués ? Difficile à dire pour le moment, mais dès lors que d'autres sites l'exploitent déjà pour n'importe lequel de leurs utilisateurs, il n'y a pas de raison que cette politique soit limitée. Il faut en tout cas s'attendre à des tests auprès de certains comptes dans les semaines ou mois à venir. Le système, sans être parfait, permettra au moins d'éviter qu'un banal phishing suffise pour annoncer un attentat à la Maison Blanche et l'assassinat de Barack Obama sur le compte officiel de la plus grande agence de presse au monde.

 

Mais selon Sean Sullivan, conseiller en sécurité chez F-Secure, si cette double identification sera suffisante pour la plupart des comptes individuels, pour les comptes exploités par des groupes, ce qui peut être le cas pour les grandes sociétés ou les organes de presse, il faudrait aller encore plus loin et mettre en place un administrateur.

Commentaires (27)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

J’aimerais que paypal active ce genre de système, ca aurait du être les premiers et ce seront les derniers..

A moins que ca existe déjà et que je n’ai pas réussi a trouver l’option sur leur site qui date de 2000..

votre avatar

Et pourquoi pas comme sur Android le Unlock Facial aussi ^^

votre avatar

Hm… et pour ceux qui n’ont pas de téléphone mobile ?

C’est déjà assez pénible lorsqu’on est bloqué pour un paiement, mais si ça se généralise…



Tout ça parce que les utilisateurs ne sont pas foutus d’avoir des MDP introuvables, et que ceux qui développent les softs d’authentification sont des billes…



Par ailleurs, il faut bien comprendre qu’aucun système n’est sûr à 100% et que TOUS finissent par se faire hacker.

Le SMS ? et si le portable est volé ?

votre avatar







pecos a écrit :



Hm… et pour ceux qui n’ont pas de téléphone mobile ?

C’est déjà assez pénible lorsqu’on est bloqué pour un paiement, mais si ça se généralise…



Tout ça parce que les utilisateurs ne sont pas foutus d’avoir des MDP introuvables, et que ceux qui développent les softs d’authentification sont des billes…



Par ailleurs, il faut bien comprendre qu’aucun système n’est sûr à 100% et que TOUS finissent par se faire hacker.

Le SMS ? et si le portable est volé ?





Le principe c’est justement d’avoir deux facteurs : le mot de passe ET le portable.

quelque chose que tu connais et quelque chose que tu as.

Un mot de passe c’est toujours crackable, par contre avec la double authentification il faut aussi te voler ton téléphone c’est déjà plus difficile de faire les deux..


votre avatar







DDReaper a écrit :



Le principe c’est justement d’avoir deux facteurs : le mot de passe ET le portable.

quelque chose que tu connais et quelque chose que tu as.

Un mot de passe c’est toujours crackable, par contre avec la double authentification il faut aussi te voler ton téléphone c’est déjà plus difficile de faire les deux..





Plus difficile, mais pas impossible.

Donc ce n’est pas SÛR.



Et je parie que ces solutions “sûres” vont un jour amener les banques à abaisser leur niveau de responsabilité en matière de paiement dématérialisé.



C’est à dire à considérer que, si un portable a servi à l’authentification, le paiement est réputé avoir été effectué par le client, et donc qu’il est définitif et se doit d’être honoré.

(contrairement à un paiement par CB qui, si le code à 4 chiffres n’a pas été utilisé, doit, sur demande du client, être remboursé.)



Et voilà comme on l’aura encore une fois dans le C… <img data-src=" />


votre avatar

en même temps j’ai du mal à voir où ce serait la responsabilité de la banque…

Rien n’est SÛR mais c’est mieux qu’un simple mot de passe…

le mieux pour le moment serait le triple auth mais on y est pas encore (avec ce que tu connais, ce que tu as et ce que tu es)

votre avatar







pecos a écrit :



Plus difficile, mais pas impossible.

Donc ce n’est pas SÛR.





C’est largement suffisant pour un compte twitter. Et si tu parts de ce postulat aucun système n’est sûr donc ça sert à rien de l’évoquer.



Et franchement avoir 60 mot de passes pour les utilisateurs c’est juste pas possible. Déjà que moi ça me gonfle et je me considère comme un utilisateur avancé alors le péquin moyen je comprends très bien qu’il foute le même mot de passe à 6 lettres sur tous ses comptes.


votre avatar







pecos a écrit :



Plus difficile, mais pas impossible.

Donc ce n’est pas SÛR.



Et je parie que ces solutions “sûres” vont un jour amener les banques à abaisser leur niveau de responsabilité en matière de paiement dématérialisé.



C’est à dire à considérer que, si un portable a servi à l’authentification, le paiement est réputé avoir été effectué par le client, et donc qu’il est définitif et se doit d’être honoré.

(contrairement à un paiement par CB qui, si le code à 4 chiffres n’a pas été utilisé, doit, sur demande du client, être remboursé.)



Et voilà comme on l’aura encore une fois dans le C… <img data-src=" />







Bah si tu fais pas une déclaration de vol entre temps ce sera sans doute comme ça.



Mais bon, la double authentification c’est quand même plus sécurisé.


votre avatar







XdiZ a écrit :



Et pourquoi pas comme sur Android le Unlock Facial aussi ^^





Le truc que m’a montré un collègue et où je l’ai déverrouillé en faisant des grimaces ?


votre avatar







ArchangeBlandin a écrit :



Le truc que m’a montré un collègue et où je l’ai déverrouillé en faisant des grimaces ?





<img data-src=" />


votre avatar

Ceci dit il existe quelque service sympathique pour tester la fiabilité d’un mot de passe pour un compte twitter

votre avatar







pecos a écrit :



Et je parie que ces solutions “sûres” vont un jour amener les banques à abaisser leur niveau de responsabilité en matière de paiement dématérialisé.





Et voilà comme on l’aura encore une fois dans le C… <img data-src=" />







C’est déjà le cas avec les carte visa et mastercard qui ont un secureID … (qui n’as de secure que le nom, vu les implementation foireuse que j’ai pu voir).



Relis bien le contrat de ta carte visa ou mastercard si tu en as une …


votre avatar







RaYz a écrit :



C’est largement suffisant pour un compte twitter. Et si tu parts de ce postulat aucun système n’est sûr donc ça sert à rien de l’évoquer.



Et franchement avoir 60 mot de passes pour les utilisateurs c’est juste pas possible. Déjà que moi ça me gonfle et je me considère comme un utilisateur avancé alors le péquin moyen je comprends très bien qu’il foute le même mot de passe à 6 lettres sur tous ses comptes.







Tu as la même clefs pour ta voiture, ton vélo, ton coffr eà la banque, ta maison, ta boite aux lettres ?

Moi elles sont toutes différentes et pourtant je sais laquelle va où.



De plus, je ne pense pas que tu ait autant de compte que ça. Mail, PCi, Facebook, Steam, 23 sites plaisirs et quoi d’autres ?



Le “grand public” va dire “oui” quand le navigateur lui proposera d’enregistrer son mot de passe, donc en avoir des différents et aussi simple.



NB : je ne compte pas les sites de ton travail car, de base, tu ne devrais pas avoir les mêmes mots de passe pour une question de sécurité.


votre avatar







5h31k a écrit :



Tu as la même clefs pour ta voiture, ton vélo, ton coffr eà la banque, ta maison, ta boite aux lettres ?

Moi elles sont toutes différentes et pourtant je sais laquelle va où.





C’est pas vraiment la même chose, j’ai pas besoin de retenir la forme de la clé pour ouvrir ma voiture, d’autant plus qu’elles sont toutes dans la même trousseau <img data-src=" />







5h31k a écrit :



De plus, je ne pense pas que tu ait autant de compte que ça. Mail, PCi, Facebook, Steam, 23 sites plaisirs et quoi d’autres ?





Sérieusement si. Facilement plus de 60 avec le temps. Que j’utilise régulièrement après il doit pas y en avoir plus d’une vingtaine c’est vrai







5h31k a écrit :



Le “grand public” va dire “oui” quand le navigateur lui proposera d’enregistrer son mot de passe, donc en avoir des différents et aussi simple.





Avec un système de synchro pour quand tu changes de PC là oui le problème est réglé. Mais alors le jour ou on te pique ton PC ou le mot de passe qui te permet d’accéder à la synchro là t’es bien dans la merde.


votre avatar







RaYz a écrit :



C’est pas vraiment la même chose, j’ai pas besoin de retenir la forme de la clé pour ouvrir ma voiture, d’autant plus qu’elles sont toutes dans la même trousseau <img data-src=" />





Désolé mais j’ai pas trouvé d’autres références :‘(







RaYz a écrit :



Sérieusement si. Facilement plus de 60 avec le temps. Que j’utilise régulièrement après il doit pas y en avoir plus d’une vingtaine c’est vrai





Je parlais de régulièrement oui et même une vingtaine pour du perso ca reste énorme.







RaYz a écrit :



Avec un système de synchro pour quand tu changes de PC là oui le problème est réglé. Mais alors le jour ou on te pique ton PC ou le mot de passe qui te permet d’accéder à la synchro là t’es bien dans la merde.





Opera permet la synchronisation entre tout les PC et te permet de définir un mot de passe général pour pouvoir accéder à tes infos (signets, mot de passes, extensions…)


votre avatar







5h31k a écrit :



Opera permet la synchronisation entre tout les PC et te permet de définir un mot de passe général pour pouvoir accéder à tes infos (signets, mot de passes, extensions…)





Oui je sais bien, c’est pour ça que je souligne le fait que si on chope ton mot de passe de synchro t’es pas très bien <img data-src=" />


votre avatar







ArchangeBlandin a écrit :



Le truc que m’a montré un collègue et où je l’ai déverrouillé en faisant des grimaces ?





Ton collègue c’est ton frère jumeau ? :p


votre avatar







XdiZ a écrit :



Ton collègue c’est ton frère jumeau ? :p







Même pas, c’était assez marrant, il voulait nous montrer son super nouveau gadget sur son téléphone et hop, je le débloque…

Il a jeté l’appli à la poubelle de suite.


votre avatar







ArchangeBlandin a écrit :



Même pas, c’était assez marrant, il voulait nous montrer son super nouveau gadget sur son téléphone et hop, je le débloque…

Il a jeté l’appli à la poubelle de suite.





Ah je parle pas d’une appz du playstore, mais de la fonction native d’Android (v4) je crois.

Je l’ai testé avec plusieurs personnes, des hommes, des femmes, des chiens, personne a pu débloquer mon téléphone.


votre avatar







DDReaper a écrit :



J’aimerais que paypal active ce genre de système, ca aurait du être les premiers et ce seront les derniers..

A moins que ca existe déjà et que je n’ai pas réussi a trouver l’option sur leur site qui date de 2000..





+1000

Rarement vu un site aussi mal foutu surtout qu’on est loin d’une startup. Une compatibilité Yubikey / Google authentificator serait un vrai plus !







XdiZ a écrit :



Ah je parle pas d’une appz du playstore, mais de la fonction native d’Android (v4) je crois.

Je l’ai testé avec plusieurs personnes, des hommes, des femmes, des chiens, personne a pu débloquer mon téléphone.





Je confirme le système est plutot efficace en natif, en plus la modif récente demandant de bouger un peu pour ne pas avoir affaire à une photo je trouve sa sympa.

Le truc c’est que y’a toujours une latence le temps que le mobile active la caméra frontale et vu que je suporte pas d’attendre pour déverouillé je préfère un système de code.


votre avatar







XdiZ a écrit :



Ah je parle pas d’une appz du playstore, mais de la fonction native d’Android (v4) je crois.

Je l’ai testé avec plusieurs personnes, des hommes, des femmes, des chiens, personne a pu débloquer mon téléphone.







C’était le truc natif d’android en fait.

Donc, il a désactivé la fonctionnalité, il n’a pas désinstallé l’appli.



Notons quelques trucs quand même : on a une couleur de cheveux proche, une couleurs d’yeux proche, une forme de visage similaire.

Ca ne fait pas de nous des jumeaux, très loin de ça, mais ça permet de débloquer son téléphone car les critères de reconnaissance sont faibles.


votre avatar







ExoDarkness a écrit :



Je confirme le système est plutot efficace en natif, en plus la modif récente demandant de bouger un peu pour ne pas avoir affaire à une photo je trouve sa sympa.

Le truc c’est que y’a toujours une latence le temps que le mobile active la caméra frontale et vu que je suporte pas d’attendre pour déverouillé je préfère un système de code.





Exactement, le Face Unlock ne sert à rien, car on perd plus de temps qu’autre chose…



Mon premier post de cet article était ironique. <img data-src=" />







ArchangeBlandin a écrit :



C’était le truc natif d’android en fait.

Donc, il a désactivé la fonctionnalité, il n’a pas désinstallé l’appli.



Notons quelques trucs quand même : on a une couleur de cheveux proche, une couleurs d’yeux proche, une forme de visage similaire.

Ca ne fait pas de nous des jumeaux, très loin de ça, mais ça permet de débloquer son téléphone car les critères de reconnaissance sont faibles.





Google doit se baser uniquement sur certains traits du visage, et heureusement. Imagine, demain tu as un spot sur le pif, alors que t’en avais pas lors de la création du “face lock”, et du coup ton téléphone ne se débloque pas. Ca serait chaud.


votre avatar







XdiZ a écrit :



Google doit se baser uniquement sur certains traits du visage, et heureusement. Imagine, demain tu as un spot sur le pif, alors que t’en avais pas lors de la création du “face lock”, et du coup ton téléphone ne se débloque pas. Ca serait chaud.





Oui mais y’a en seconde authentification le Ass-unlock si le logiciel arrive pas à te reconnaitre <img data-src=" />


votre avatar







XdiZ a écrit :



Exactement, le Face Unlock ne sert à rien, car on perd plus de temps qu’autre chose…



Mon premier post de cet article était ironique. <img data-src=" />





Google doit se baser uniquement sur certains traits du visage, et heureusement. Imagine, demain tu as un spot sur le pif, alors que t’en avais pas lors de la création du “face lock”, et du coup ton téléphone ne se débloque pas. Ca serait chaud.







C’est clair, ça ne peut pas être parfait, mais ça marche aussi avec une photo…

C’est super faible en sécurité si tu as déjà pu t’approcher de la personne.


votre avatar







ExoDarkness a écrit :



Oui mais y’a en seconde authentification le Ass-unlock si le logiciel arrive pas à te reconnaitre <img data-src=" />





hihiiii. Faut bien se frotter en sortant des WC alors …





ArchangeBlandin a écrit :



C’est clair, ça ne peut pas être parfait, mais ça marche aussi avec une photo…

C’est super faible en sécurité si tu as déjà pu t’approcher de la personne.





Une photo GIF qui cligne des yeux alors ^^

http://android-france.fr/2012/07/02/jelly-bean-face-unlock/


votre avatar







XdiZ a écrit :



hihiiii. Faut bien se frotter en sortant des WC alors …



Une photo GIF qui cligne des yeux alors ^^

http://android-france.fr/2012/07/02/jelly-bean-face-unlock/





Je sent que le topic dévie un peut <img data-src=" />

Oui j’avait vu la news sur le GIF mais bon la plupart des gens ne savent pas créé un gif si c’est pas dans instagram <img data-src=" />


votre avatar







XdiZ a écrit :



Une photo GIF qui cligne des yeux alors ^^

http://android-france.fr/2012/07/02/jelly-bean-face-unlock/







Du coup, oui, puisqu’ils ont changé le fonctionnement apparemment…

Mais reste que si les critères de reconnaissance faciale n’ont pas changé, je peux débloquer les appareils de mon collègue.


Twitter teste un système de sécurité renforcée à deux étapes

  • De trop nombreux comptes piratés

Fermer