La Federal Trade Commission (FTC) américaine vient d'infliger une amende de 150 millions de dollars à Twitter pour avoir enfreint ses promesses de confidentialité.
En 2010, la FTC avait reproché à la société de ne pas suffisamment sécuriser l'accès aux comptes de ses utilisateurs, et lui avait ordonné de mieux les protéger, sans pour autant monétiser leurs données.
En réponse, le réseau social les avait donc invités à utiliser leur numéro de téléphone en sus de leur adresse e-mail afin de leur proposer une double authentification, et de leur permettre de récupérer leur compte en cas d'oubli de leur mot de passe.
Mais Twitter s'en était aussi servi pour leur envoyer des publicités ciblées, en violation de l'ordonnance de la FTC. En sus de l'amende, la nouvelle ordonnance de la FTC lui interdit donc d'utiliser adresses e-mail et numéros de téléphone à des fins publicitaires, et l'oblige à expliquer à ses utilisateurs comment désactiver les publicités personnalisées, et de leur proposer des options d'authentification multi-facteurs qui n'obligent pas les utilisateurs à fournir un numéro de téléphone.
L'assemblée générale des actionnaires du réseau social a par ailleurs entériné le départ de deux soutiens d'Elon Musk. Jack Dorsey, le créateur de Twitter, a en effet démissionné, comme prévu, de son conseil d'administration, tout comme Egon Durban, qui n'a pas reçu suffisamment de voix pour pouvoir continuer à y figurer.
Commentaires (12)
#1
Gg
#2
L’étau se resserre autour d’Elon Musk, accusé par des investisseurs et aussi désormais par le gendarme boursier américain, d’avoir révélé plus tard que prévu par la loi son investissement dans Twitter, qu’il est en train d’acheter.
L’autorité de régulation des marchés financiers américains, la SEC, a publié vendredi une lettre adressée au multimilliardaire le 4 avril, date à laquelle il avait annoncé avoir atteint plus de 9% du capital de Twitter.
rachat-de-twitter-le-gendarme-boursier-a-reclame-des-explications
#3
Voilà pourquoi il faut éviter ces services qui imposent le 2FA
#3.1
Euh, non, il ne faut pas fuir le 2FA. En revanche, il faut fuir le 2FA qui fonctionne en envoyant un code par email ou SMS.
Le 2FA via TOTP ou clé de sécurité, ça devrait être obligatoire de nos jours.
#3.2
Ça revient exactement au même… sur les “services web” le 2FA sont toujours associés à un champ obligatoire mail et/ou tel.
Je serais ravi d’avoir un contre exemple (j’espère qu’il y’en a !), mais malheureusement le peu que j’ai côtoyé le 2FA imposé est toujours un moyen détourné de récupérer des infos personnelles supplémentaires.
Twitter, Creation de compte :
=> C’est normal ?
Telegram, Creation de compte :
=> C’est normal ?
Le 2FA chez microsoft :
=> C’est normal ?
#3.3
GitHub, Infomaniak, OVHCloud, Steam, l’instance Mastodon où je réside, la plupart des jeux vidéo en ligne sur lesquels je l’ai activé, et ceux que j’oublie, tous proposent un 2FA non lié à un numéro de téléphone mais à un générateur de code TOTP.
De mon point de vue, c’est plutôt la pratique de Google, Microsoft et compagnie qui est marginale pour le coup.
#3.4
Alors je ne sais pas pour Telegram, que je n’utilise pas, mais Twitter et MS tu peux utiliser des clés de sécurité.
Twitter tu peux également supprimer ton numéro de tel si jamais tu l’as fourni dans le passé et souhaite l’enlever (après je ne garanti pas qu’il ne le conservent pas quelque part)
#4
Quelle surprise ! (ou pas)
Je parie qu’ils sont loins d’être les seuls à le faire
#5
C’est faux tu ne peux pas créer de compte sans un numéro de tel c’est même l’objet de cet article pour Twitter !
Pour MS sans no de téléphone le message est le suivant :
C’est exactement ce que j’ai écrit dans mon premier message : ces services n’imposent pas le 2FA, ceux qui imposent le 2FA c’est uniquement pour rendre obligatoire et contrôler que le téléphone est valide.
Quand github va forcer le 2FA le téléphone va devenir obligatoire c’est certain !
#5.1
Et pour MS, je ne sais pas comment tu t’y prend, mais un numéro de tel n’est clairement pas obligatoire. Je n’ai pas de numéro de tel associé à mes comptes MS. J’utilise comme second facteur l’app Microsoft Authenticator et des Yubikey, mais pas de SMS et ils n’ont pas mon numéro de tel.
Le message que tu cites ressemble à une restriction Conditional Access mise en place par ton admin sur un compte Microsoft pro.
C’est faux et pas complètement factuel. Déjà Github est en train de rendre obligatoire la 2FA (c’est peut-être déjà le cas, je n’ai pas suivi), mais n’impose en rien l’utilisation d’un numéro de tel, par exemple.
Et encore une fois, ne pas utiliser de 2FA de nos jour c’est complètement idiot. C’est juste qu’il faut utiliser des TOTP, ou encore mieux des clés de sécurité. Les mails/SMS, au delà d’avoir à fournir une info de contact que tu préfèrerais garder pour toi, sont trop facile à récupérer pour un attaquant motivé.
#6
Faux, je n’ai plus de numéro de tel associé à mon compte Twitter.
Le sujet de l’article c’est qu’ils ont poussé les utilisateurs à fournir leur numéro de tel pour l’utiliser comme second facteur d’authentification, mais qu’ils ont abusé cela en s’en servant également pour envoyer des communications non sollicitées. Mais tu peux bien virer ton numéro de tel de ton compte Twitter (après, encore une fois, rien ne garanti qu’ils ne le gardent pas dans un coin)
#6.1
Il parle de création de compte, pas de suppression du numéro de téléphone après la création.
Et il a faux parce que l’on peut s’inscrire soit avec Google, soit avec Apple, soit avec un numéro de téléphone.
Avec Google, Google transmet à Twitter le nom, adresse mail du compte et la photo de profil.
Je n’ai pas de compte Apple pour voir ce qui est transféré dans ce cas.