Connexion
Abonnez-vous

Twitter étend enfin l’authentification à deux facteurs plus loin que le seul SMS

Twitter étend enfin l’authentification à deux facteurs plus loin que le seul SMS

Le 26 novembre 2019 à 09h19

Le service prend en charge cette authentification depuis longtemps, mais seulement via le texto. D’un point de vue sécurité, on fait bien mieux depuis longtemps.

Les utilisateurs ont maintenant le choix : en plus ou à la place du classique SMS, ils peuvent obtenir un QR code pour l’intégrer dans une application de type Authenticator. En outre, le support des clés physiques se retrouve nettement étendu, puisque Twitter supporte désormais le standard FIDO2 WebAuthn.

Il est plus que recommandé de se débarrasser du SMS pour basculer sur une application ou une clé physique. La protection apportée est nettement meilleure. Dans un cas comme dans l’autre, l’objectif reste de vous fournir un code unique, valable 30 secondes, servant à valider la connexion depuis un autre appareil.

Ce type de sécurité est courant depuis des années et on comprenait mal que Twitter n’y soit pas encore passé. Si vous n’osez pas franchir le cas de la clé physique, les applications ne manquent pas : tapez Authenticator dans une boutique d’applications et les résultats seront nombreux : Google, LastPass, Microsoft et autres. Les capacités sont presque toujours les mêmes puisque basées sur un standard.

On remarquera également que ces ajouts permettent de déclarer une couche supplémentaire de sécurité sans avoir plus besoin de renseigner un numéro de téléphone dans Twitter. Ce dernier précise que d’autres options seront ajoutées à l’avenir, notamment pour les clés physiques. 

Le 26 novembre 2019 à 09h19

Commentaires (10)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Il était temps, vindieu !

votre avatar

Cela fait plus d’un an que j’utilise la 2FA par OTP sur Twitter… je suis surpris de cette news, mais bon, bonne nouvelle pour ceux qui n’avaient pas encore cette fonctionnalité

votre avatar







BarbossHack a écrit :



Cela fait plus d’un an que j’utilise la 2FA par OTP sur Twitter… je suis surpris de cette news, mais bon, bonne nouvelle pour ceux qui n’avaient pas encore cette fonctionnalité







Same here


votre avatar

Question conne mais en quoi une app d’authentification est plus sécurisée que le sms pour le 2FA? (Autrement qu ayant les communications chiffrées?)

votre avatar

C’est simple, si quelqu’un pirate ton compte associé à ton app d’authentification, il pourra accéder à ton compte twitter sans que tu ne reçoives de sms. C’est top 😁

votre avatar

Ce qui est nouveau, ce n’est pas le support du second facteur, qui est, comme tu le dis, disponible depuis longtemps. Ce qui est nouveau, c’est le support FIDO2 Webauthn, et surtout le fait que tu n’ai plus besoin d’enregistrer au préalable ton numéro de téléphone et activer le 2FA par SMS pour avoir ensuite accès aux autres second facteurs supportés.



De même, jusqu’à il y a peu, désactiver le second facteur par SMS faisait sauter toute authentification forte, même si un clef de sécurité ou une application tierce était utilisée.

votre avatar

C’est ça : le SMS n’est pas chiffré, et on peut facilement forger ce qu’il faut pour recevoir les SMS envoyés vers ton numéro.

votre avatar







PSXBH a écrit :



Ce qui est nouveau, ce n’est pas le support du second facteur, qui est, comme tu le dis, disponible depuis longtemps. Ce qui est nouveau, c’est le support FIDO2 Webauthn, et surtout le fait que tu n’ai plus besoin d’enregistrer au préalable ton numéro de téléphone et activer le 2FA par SMS pour avoir ensuite accès aux autres second facteurs supportés.



De même, jusqu’à il y a peu, désactiver le second facteur par SMS faisait sauter toute authentification forte, même si un clef de sécurité ou une application tierce était utilisée.







Alors il y a une erreur dans le brief :)

« Le service prend en charge cette authentification depuis longtemps, mais seulement via le texto. »


votre avatar







zebignasty a écrit :



Question conne mais en quoi une app d’authentification est plus sécurisée que le sms pour le 2FA? (Autrement qu ayant les communications chiffrées?)







Otiel a écrit :



C’est ça : le SMS n’est pas chiffré, et on peut facilement forger ce qu’il faut pour recevoir les SMS envoyés vers ton numéro.



Et même sans ca, 90% du temps on voit le code permettant l’authentification directement depuis les notifications, sans même avoir à dévérouiller le tél…


votre avatar

Y’a eu le cas avec le patron de Twitter : quelqu’un s’est fait passé pour lui et a recu une carte sim de remplacement avec le numéro du patron de Twitter. Du coup, il avait accès aux SMS.

Il y a de nombreux moyens de récupérer les SMS en plus.



Le 2FA est sensé être : 1/ Quelque chose que tu sais (le mot de passe) et 2/ Quelque chose que tu possèdes. Tu ne possède pas le SMS, c’est eux qui te l’envoient. Du coup, c’est pas du vrai 2FA. Par contre, l’application 2FA c’est toi qui la possède, et tu en fais ce que tu veux. Tu peux l’avoir sur ton téléphone, ton desktop, une clé USB qui va afficher directement les codes etc.



Aucune interception ne doit être possible.

Twitter étend enfin l’authentification à deux facteurs plus loin que le seul SMS

Fermer