Le service prend en charge cette authentification depuis longtemps, mais seulement via le texto. D’un point de vue sécurité, on fait bien mieux depuis longtemps.
Les utilisateurs ont maintenant le choix : en plus ou à la place du classique SMS, ils peuvent obtenir un QR code pour l’intégrer dans une application de type Authenticator. En outre, le support des clés physiques se retrouve nettement étendu, puisque Twitter supporte désormais le standard FIDO2 WebAuthn.
Il est plus que recommandé de se débarrasser du SMS pour basculer sur une application ou une clé physique. La protection apportée est nettement meilleure. Dans un cas comme dans l’autre, l’objectif reste de vous fournir un code unique, valable 30 secondes, servant à valider la connexion depuis un autre appareil.
Ce type de sécurité est courant depuis des années et on comprenait mal que Twitter n’y soit pas encore passé. Si vous n’osez pas franchir le cas de la clé physique, les applications ne manquent pas : tapez Authenticator dans une boutique d’applications et les résultats seront nombreux : Google, LastPass, Microsoft et autres. Les capacités sont presque toujours les mêmes puisque basées sur un standard.
On remarquera également que ces ajouts permettent de déclarer une couche supplémentaire de sécurité sans avoir plus besoin de renseigner un numéro de téléphone dans Twitter. Ce dernier précise que d’autres options seront ajoutées à l’avenir, notamment pour les clés physiques.
Commentaires (10)
Il était temps, vindieu !
Cela fait plus d’un an que j’utilise la 2FA par OTP sur Twitter… je suis surpris de cette news, mais bon, bonne nouvelle pour ceux qui n’avaient pas encore cette fonctionnalité
Question conne mais en quoi une app d’authentification est plus sécurisée que le sms pour le 2FA? (Autrement qu ayant les communications chiffrées?)
C’est simple, si quelqu’un pirate ton compte associé à ton app d’authentification, il pourra accéder à ton compte twitter sans que tu ne reçoives de sms. C’est top 😁
Ce qui est nouveau, ce n’est pas le support du second facteur, qui est, comme tu le dis, disponible depuis longtemps. Ce qui est nouveau, c’est le support FIDO2 Webauthn, et surtout le fait que tu n’ai plus besoin d’enregistrer au préalable ton numéro de téléphone et activer le 2FA par SMS pour avoir ensuite accès aux autres second facteurs supportés.
De même, jusqu’à il y a peu, désactiver le second facteur par SMS faisait sauter toute authentification forte, même si un clef de sécurité ou une application tierce était utilisée.
C’est ça : le SMS n’est pas chiffré, et on peut facilement forger ce qu’il faut pour recevoir les SMS envoyés vers ton numéro.
Y’a eu le cas avec le patron de Twitter : quelqu’un s’est fait passé pour lui et a recu une carte sim de remplacement avec le numéro du patron de Twitter. Du coup, il avait accès aux SMS.
Il y a de nombreux moyens de récupérer les SMS en plus.
Le 2FA est sensé être : 1/ Quelque chose que tu sais (le mot de passe) et 2/ Quelque chose que tu possèdes. Tu ne possède pas le SMS, c’est eux qui te l’envoient. Du coup, c’est pas du vrai 2FA. Par contre, l’application 2FA c’est toi qui la possède, et tu en fais ce que tu veux. Tu peux l’avoir sur ton téléphone, ton desktop, une clé USB qui va afficher directement les codes etc.
Aucune interception ne doit être possible.