Twitter met fin au SMS comme second facteur d’authentification pour les utilisateurs gratuits
Le 21 février 2023 à 07h54
1 min
Internet
Internet
Les personnes utilisant Twitter sans abonnement Blue ont un mois pour changer de méthode. Le service a décidé de réserver le SMS aux seuls abonnés Blue, citant des raisons de sécurité.
Les autres méthodes disponibles pour le second facteur – l’application dédiée et les clés de sécurité physiques – sont toujours là. Le SMS étant la moins sécurisée des trois options, il est curieux que Twitter la réserve à son abonnement Blue.
Pour les personnes concernées, la solution la plus simple est d’installer une application comme Google ou Microsoft Authenticator et d’y lier le compte Twitter. De nombreuses solutions existent pour Android et iOS, et toutes ont le même fonctionnement, même si les fonctions autour peuvent varier.
Le fonctionnement sera ensuite le même : à chaque fois que l’on voudra connecter son compte dans un nouveau navigateur, une nouvelle application ou un autre appareil, l’Authenticator fournira un code à six chiffres.
Le 21 février 2023 à 07h54
Commentaires (76)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 21/02/2023 à 08h39
l’envoi des SMS a un coût pour Twitter, et il paraît que des petits malins en abusaient pour se faire des sous…
mais c’est une bonne chose de virer l’authentification SMS (je trouve).
Le 21/02/2023 à 08h46
Dommage que l’article ne parle pas de solutions opensource en alternative aux Google et Microsoft Authenticator (ne pas oublier que ces applications sont des mouchards).
Sur Android il y a FreeOTP
Mais ça fonctionne aussi sur KeepassDX (meilleur client compatible format keepass sur Android en passant)
Le 21/02/2023 à 08h59
Justement je suis en train de creuser le sujet pour virer les deux Authenticator de Google et MS.
Je pensais naïvement qu’il y avait une synchro cloud mais non, donc si plus de téléphone c’est la galère.
J’ai vu que Bitwarden pouvait gérer les codes TOTP, on m’a parlé d’Aegis aussi sur android et là je ne connaissais pas FreeOTP….
Effectivement on aurait pu profiter de cette news (ou garder l’idée d’un prochain article) pour parler d’alternative open-source et débroussailler un peu tout ça
Le 21/02/2023 à 09h06
Oui Bitwarden aussi le propose. Cependant il n’y a pas la double authentification pour se connecter à Bitwarden dans la solution gratuite. Donc ça devient un peu critique je trouve. Mais je recommande Bitwarden.
Perso j’utilise KeepassDX.
Le 21/02/2023 à 11h23
Même la version gratuite propose la 2FA, elle est juste limité dans les choix à Email et TOTP.
Ces 2 autorisations ne sont pas bizarres, la première sert à vérifier que ton téléphone est à côté du périphérique demandant l’accès à ton compte, la 2eme pour permettre la copie du code dans le presse papier il me semble
l’appli MS fait à minima un backup, tu ne perds donc rien si tu changes de téléphone. Par contre en effet si tu n’as plus de téléphone du tout, t’es coincé, mais c’est souvent le cas aujourd’hui quand t’as plus de tel.
Le 21/02/2023 à 13h17
Hors sujet : avec Bitwarden, il n’est pas possible de forcer les utilisateurs qui se connectent à la base à activer le 2FA. C’est laissé à leur choix.
Et ça m’embête.
Quelqu’un a un truc pour forcer l’option 2FA pour toute les personne qui se connecte à la base pour la première fois?
Le 21/02/2023 à 09h11
J’utiliser bitwarden (auto-hébergé) et ça fonctionne bien, synchro comprise
Le 21/02/2023 à 10h19
Jette un œil sur aegis ou authentificator pro (tout ceci sont open source )
GitHub GitHubEt pour ios
GitHub
( ce qui est bien ici c’est que tt ces applications permettent lexport)
Le 21/02/2023 à 09h27
Le trousseau d’Apple pour rester dans les GAFA 😅
Le 21/02/2023 à 10h42
Bonjour,
Pouvez vous fournir des sources qui prouvent que ces applications sont des mouchards?
Le 21/02/2023 à 14h30
Ne jamais utiliser FreeOTP, malheureux !
Cela a peut-être changé depuis l’époque où je m’en servais (mais je ne pense pas, l’application étant considérée comme abandonnée, il me semble), mais dessus il n’y a aucune fonctionnalité d’export/import (on ne peut même pas voir les secrets dans l’app).
Du coup, on ne peut pas sauvegarder/transférer ses codes, et le jour où on change de téléphone (ou qu’on le perd/casse), on est bien embêté…
J’ai fait une fois cette erreur, depuis j’utilise Aegis qui est aussi open-source.
Le 21/02/2023 à 14h36
Je viens de check, FreeOTP propose une option de backup/restore. Après perso j’utilise KeepassXC/DX, et sur pc tu peux bien récupérer la clé d’origine, donc c’est ok.
Le 21/02/2023 à 14h39
Après techniquement, tu as tes master code quelque part en cas de perte du téléphone d’une quelconque façon. Généralement 5 à 10. Chaque service le propose lors de l’activation de la double authentification.
Discord, Epic Games, Google etc … C’est un code de connexion unique qui te permet de t’en sortir en cas de force majeur.
Mais c’est clair que l’import export c’est la base. J’ai été bien emmerdé une fois à cause de cette impossibilité
Obligé de désactiver 2FA partout pour ensuite le réactiver partout. (Changement d’OS sur le tel, ou changement de tel, en vrai je sais plus, mais on s’en fou)
Le 21/02/2023 à 15h01
Tu as loupé le virage avec FreeOTP+ je pense . Mais rien à redire sur Aegis, j’aime bien aussi.
Le 21/02/2023 à 08h57
J’ai effectivement eu ce message en ouvrant l’appli il y a 2 semaines => erreur lorsque j’ai suivi la procédure pour enlever les sms en double authent !
Même message ce week-end => toujours la même erreur à la fin (et pourtant l’appli s’est mise à jour entre temps)
Par contre pour nous faire peur en nous disant qu’on ne pourra plus accéder à notre compte si on ne l’enlève pas avant, ça s’est bien écrit !
Le 21/02/2023 à 10h57
Rien que le fait que ça soit la propriété de Google et Microsoft est suffisant.
Sinon Microsoft Authenticator contient (vu avec Exodus):
et a pour autorisation bizarre (pour ce genre d’app):
Google Authenticator n’a pas de tracker signalé mais ils sont intégrés dans l’application. Pas d’autorisation bizarre à signaler.
Pour les deux, ces applications ont accès complet à Internet (comme toutes les app android), et peuvent communiquer, en particulier Google, via les google app, et ça ya pas moyen de le désactiver (sauf avoir un android stock en installant une rom sans google apps). J’ai pas testé si les applications fonctionnent en leur coupant manuellement internet (via les paramètres avancés de Android et/ou un parefeu) parce que j’installerai jamais ces merdes sur mon téléphone.
Mais bref dans le doute, installe une application opensource.
Le 21/02/2023 à 11h27
Et j’aurai bien pris sur moi de faire de l’analyse de traffic pour voir, mais flemme, les trackers et permissions sont déjà rédibitoires pour moi.
Le 21/02/2023 à 11h39
Encore du grand marba, ça ne nous avait pas manqué.
Oh mon dieu les développeurs mettent des produits pour remonter les bugs/crashs sur une application critique d’identité/sécurité.
Rien qui ne puisse justifier l’appellation de “mouchard”, in fine.
En complément à cette réponse, déjà complète, l’intérêt de l’application de MS (et très certainement pareil pour celle de Google) n’est pas juste de faire du “simple” 2FA, mais bien d’être la porte des technologies de Conditional Access (MFA) de Microsoft, que ce soit en perso ou en pro. Ce n’est pas vraiment les mêmes technologies / contraintes, et je pense que dans les prochaines années le 2FA “simple” ne sera très certainement plus suffisant en termes de sécurité.
Le SMS/Appel étant la pire technologie pour faire du MFA, une bien bonne idée que de remplacer ça par des applications conçues pour.
Le 21/02/2023 à 11h57
Google Analytics est un mouchard par définition, juste.
Le 21/02/2023 à 12h33
Ben voyons. Google analytics c’est essentiel pour améliorer une app
Et c’est vrai qu’il y a absolument d’espionner les utilisateurs d’une application aussi basique pour l’améliorer. C’est juste une application qui te sort un code allo. Ce qu’il faut pas lire des fois…
Le 21/02/2023 à 23h16
Je vois. Merci pour votre retour. Comme les autres ont dis plus haut, a pars GAnalytics qui est une peste, je ne vois pas de soucis en télémétrie limitée orientée développement, elle sert énormément au debug (conso mémoire par exemple). Sachant la fragmentation énorme des divers produit Android contrairement a iOS par exemple, c’est une aide non négligeable pour les développeurs.
Je me permettrais une observation. Je vois que vous portez un rejet stricte et complet envers les produits propriétaires. C’est votre point de vue. Juste au titre personnel je trouve que cela affecte l’objectivité de l’analyse finale. Apres comme j’aime bien dire “Autant il y a d’informaticiens, autant il y a d’opinions”.
Bonne journée a vous!
Le 21/02/2023 à 11h29
Si tu utilises FreeOTP et que tu fais un export des secrets sur une machine autre (ou papier), si tu perds ton téléphone tu reste tranquille. Là oú le SMS 2FA ne peu plus t’aider.
Le 21/02/2023 à 11h40
le jour où ton tel a un souci, t’a rarement le papier avec toi, ou l’autre machine…
Le 21/02/2023 à 11h54
Oui mais tu vas pouvoir aller retrouver ton papier ou ta machine rapidement.
Le 21/02/2023 à 11h32
Je trouve ça dommage de pas laisser le SMS pour les autres. Même si je suis parmi les premiers à dire que c’est pas une bonne feature de sécurité, c’est un peu mieux que rien. Et Twitter devrait juste améliorer son processus d’envoi de code. Ils ne sont pas les seuls à le faire, mais je ne connais pas d’autres gros poissons qui ont retireé cette fonctiinnalité.
Ce que j’espère c’est que certains utilisateurs vont en profiter pour s’intéresser aux apps comme FreeOTP, voire aux clés de sécurité.
Le 21/02/2023 à 11h34
Une bonne occasion d’activer la 2FA sur Twitter, j’avoue que je vais tellement peu dessus que je ne l’avais pas fait, mais sait-on jamais ce qu’on pourrait faire avec mon compte.
Sinon, j’utilise Authy pour la 2FA, c’est ouvert mais ça fait le job et j’ai la synchro avec le PC que Google Authenticator ne faisait pas (même pas possible d’exporter pour autre chose qu’un autre Google Authenticator…)
Alors oui, ça augmente les points d’entrée des pirates, mais en probabilité j’ai plus de chance de m’auto-bloquer en cassant mon smartphone, moment où il me faudra aller trouver un mot de passe de secours planqué dans un fichier crypté sur un stockage cloud, qui va lui-même me demander une 2FA pour y accéder, que je n’aurai plus.
Le 21/02/2023 à 11h41
Ah mais c’est super, merci pour l’info !
Non, on parle de la localisation (GPS, etc.). Non la deuxième ne permet pas ça. Et ces deux autorisations ne sont pas demandés par Google Authenticator, donc elles sont suspectes.
Le 21/02/2023 à 11h51
Si tu t’intéresses à la façon dont fonctionne les autorisations Android, tu comprendras (notamment, l’accès au nom du réseau Wifi est conditionné à l’autorisation “localisation”).
Le 21/02/2023 à 12h37
Si tu t’intéresses à comment fonctionne les gafam, ils se fichent des autorisations. Facebook a bien contourné les autorisations plus restrictives des nouvelles versions d’android juste pour continuer à pomper les données. Google est capable de contourner toutes les protections vu que techniquement ils sont root sur ton tel avec les gapps. Donc bon, faut pas croire être en sécurité si tu laisses entrer le loup dans la bergerie.
Le 21/02/2023 à 12h57
Alors moi, je ne crois rien, d’abord parce que j’utilise même pas ces applis, et que s’ils s’en fichent des autorisations, pourquoi ils s’embeteraient à les demander.
On sait très bien que les gafam font des trucs pas jolis avec nos données perso (et dans données perso, j’entends autant les infos qu’on donne comme prénom nom codes etc, que nos comportements) mais ça n’empêche pas qu’ils aient besoin de certaines de ces données pour faire une bonne appli (sans crash, bonne UX…)
Le 21/02/2023 à 12h14
Ah lalalalala … le MFA a peut être un objectif vertueux, mais la mise en oeuvre du truc laisse à désirer.
Maintenant qu’ils viennent nous dire que les SMS / Appels coûtent cher, c’est du bull-shit. Ils veulent prendre le contrôle total de nos terminaux (PC, téléphone, …) à l’image du modèle Apple. L’appel / SMS sont des solutions que les GAFAM ne contrôlent pas. Tout se pilote depuis la SIM de l’opérateur téléphonique dans laquelle ils n’ont pas accès aux données stockées (tout est multi-chiffré avec des arbres de clés) ; et ça les rend malade.
[Parano OFF] Cette démarche s’observe facilement quand on regarde avec un peu d’attention la direction que Microsoft prend : Windows à abonnement dans une AD mondiale. Il faut avoir le contrôle total sur TOUT les utilisateurs.
Aujourd’hui tout n’est pas encore complètement verrouillé. Il est encore temps de mettre au point des approches et des outils autonomes, fiables et surtout garantissant la sécurité et la liberté des utilisateurs.
Le 21/02/2023 à 12h52
C’est super cher les SMS t’as pas idée. Pour un petit business ça va. Pour des millions d’utilisateurs comme Twitter c’est très vite un ENORME trou dans le budget.
A priori pour Twitter c’est plus de 60 millions de $ à l’année : TwitterCe n’est pas rien quand ton entreprise est déficitaire… alors si en plus le 2FA SMS c’est pas sécurisé, pas plus mal de dégager ça.
Le 21/02/2023 à 13h42
Ok, 60 millions de $ par an … sur un chiffre d’affaire de combien de milliards ?
Fournir un mécanisme intrusif et propriétaire (comprendre qu’ils centralisent dans leur datacenter l’application et son système MFA) n’est pas une bonne pratique de sécurité. L’avantage des SMS, c’est que tu as plusieurs fournisseurs dans la boucle (l’appli d’un côté, l’opérateur téléphonique de l’autre). Dans le cas des authenticator, le jour où le fournisseur de l’appli/MFA est attaqué, c’est tout le mécanisme de défense qui s’écroule.
Et puis, il y a beaucoup d’aspects non pratiques dans l’utilisation des MFA via des authenticator GAFAM. S’ils veulent que ce soit vraiment user-friendly, il faut qu’ils fournissent des périphériques dédiés à l’usage MFA (avec la connectivité nécessaire ou pas dans le cas de calculettes de génération de code basée sur une horloge).
Le 22/02/2023 à 12h05
Le SMS est pas fiable, je vois vraiment pas l’intérêt de le défendre : The Verge
Le 22/02/2023 à 12h34
Si c’est un soucis de fiabilité pourquoi le laisser aux abonnés blue ?
Le 22/02/2023 à 12h51
Pour forcer les gens un peu soucieux de leur compte twitter à passer à la caisse, mais chut…
Le 22/02/2023 à 13h32
Oui … je sais … mon but c’était de voir comment Hugues1337 allait s’en sortir.
L’idée est de mettre en avant le soucis derrière sa défense de twitter.
En sois le premier argument (60 millions à l’année) est suffisant.
Mais le 2 eme argument (c’est pas fiable) ne fonctionne pas car il est laissé pour les utilisateurs payants de twitter (qui sont certainement les utilisateurs qui devraient être le mieux protégés).
Le 21/02/2023 à 13h12
Parce que tout le monde ne peut pas contourner les autorisations. Ça demande d’utiliser des failles du système Android, ce qui ne doit pas être très légal.
En fait, ça revient à dire : « Je peux cliquer sur n’importe quel exécutable téléchargé sur le net, j’ai un antivirus ».
On peut faire une bonne appli sans forcément faire de tracking. Et désolé, faire une application qui enregistre un code et qui en génère, ça demande pas d’avoir de tracking. Pour l’UX, ils ont cas faire des tests en laboratoire avec des gens qu’ils payent.
Bref il n’y a aucune raison de leur faire confiance (bien au contraire) et il n’y a aucune raison de ne pas utiliser un concurrent opensource sans tracking qui fonctionne tout aussi bien.
Le 21/02/2023 à 13h34
Pour avoir comparer MS Authenticator avec plein d’autres (Google, Authy, opensource etc…), aucune n’arrive au niveau de celle de MS, sauf à se contenter de gérer du TOTP. Celle de MS fait bien plus, et n’importe quelle appli cherche à avoir à minima des rapports de crash, même les opensource.
Tu dois pouvoir, en tout cas dans ma boite, on ne peut pas avoir de compte Bitwarden sans 2FA
Le 22/02/2023 à 14h08
Salut,
En fait, on a un fork, Vaultwarden.
C’est peut être pour cela que niveau fichier de conf, on peut seulement autoriser des méthodes de 2FA et pas l’imposer (du moins ce que mit mon pote admin sys qui a installé le produit). Vu sur leurs forums des personnes qui se plaignaient de ça, mais me rappelle plus à quand les posts remontaient.
Si j’ai tort et qu’il y a moyen avec Vaultwarden, je serai content de l’apprendre :) Et s’il n’y a pas moyen et quelqu’un a trouvé comment faire, chapeau et je suis preneur!
Et sinon je me résoudrai à suivre la piste de Marba et préparerai le
bâtondiscours pédagogique pour certains des utilisateurs.Le 21/02/2023 à 13h24
Si c’est toi le manager de ton propre serveur, tu peux voir qui l’a activé ou non déjà.
Le 22/02/2023 à 11h17
Salut, ok, je regarderai!
Le 21/02/2023 à 13h43
Elle fait quoi de plus ?
Le 21/02/2023 à 13h49
OK, donc tu sais même pas de quoi tu parles en fait, je lâche l’affaire.
Le 21/02/2023 à 13h51
J’ai dit que je n’installerai pas ces app parce qu’elles sont propriétaires et pleines de trackers. C’était pourtant clair.
Tu lâches l’affaire un peu vite, je te pose une question simple pourtant. Qu’est ce qu’apporte l’application MS par rapport à une autre ?
Le 21/02/2023 à 13h55
t’es pas obligé de l’installer pour à minima te renseigner sur les fonctionnalités (mais tu t’es embêté à savoir par contre ce qu’elle contenait comme trackers…)
En plus de gérer la génération de TOTP, elle permet la gestion des mots de passes, de carte bancaires, des identités vérifiés, la connexion “passwordless”…..
Le 21/02/2023 à 15h12
Du coup, à l’image de Microsoft, c’est une application qui fait plus qu’une chose et dans le cas des utilisateurs laisés par Twitter, elle n’a aucun intérêt face aux autres comme FreeOTP+, Aegis, andOTP etc. Elle a même des inconvénients :
Donc il y a un intérêt dans un environnement enfermé chez Microsoft seulement.
Le 21/02/2023 à 13h58
Ouais c’est bitwarden quoi, en un peu plus intégré. Je ne sais pas ce que c’est les “identités vérifiés” en revanche ?
Par contre le Conditional Access (mfa) c’est intéressant, mais ça revient à sous-traiter ta sécurité chez MS quoi.
Le 21/02/2023 à 14h15
C’est un BitWarden en un peu plus intégré en effet. Ce qui ne signifie pas forcément que tu es enfermé dans le monde MS, mais c’est plus fluide quand tu utilises leurs services. Les identités vérifiées, j’ai pas tout saisi le concept (pas eu l’occasion de tester) mais ça fait un peu penser à du OAuth “généralisé” (mais sans certitudes), il y a p-e un équivalent normé.
Le 21/02/2023 à 14h19
Enfin tout ça pour dire que ce n’est pas une simple app de génération de TOTP, et que les autorisations demandés semblent bien nécessaires pour réaliser les fonctionnalités proposées par l’app (j’ai oublié de citer l’autocomplete des forms dans une app ou un site web, qui peut justifier la demande d’accès à la mémoire)
Le 21/02/2023 à 14h29
ok je vois. C’est intéressant pour les entreprises, mais l’approche est fermé, et l’objectif est encore plus d’intégration fermée. Pas tellement envie de gérer la sécurité de mon parc via MS
Le 21/02/2023 à 14h41
Le 21/02/2023 à 15h05
Normalement tu es sensé garder un backup physique non chiffré. Ou alors chiffré de manière à ce que tu puisse le déchiffrer de tête. Typiquement j’ai les clés secrètes des TOTP sur un papier caché (à deux lieux géographiques séparés) et quelques autres clés. L’idée c’est qu’en cas de perte totale (ordinateur et smartphone). Je peux récupérer le(s) papiers et retrouver tout mes accès.
Le 21/02/2023 à 15h46
Alors, la sauvegarde est sur une vieille console portable non connecté à internet sur lequel j’ai le QR de l’export en photo.
Pour ce qui est des master code de chaque service, ils sont stockés dans une archive chiffré via VeraCrypt et le mot de passe de déchiffrement est dans ma tête uniquement. Bien entendu cette archive est sur divers supports.
Y’a peut être plus simple, plus safe, mais ça me convient très bien pour le moment
Je peux être archaïque parfois
Le 21/02/2023 à 15h50
Si j’en crois les informations publiées en juillet 2022 par twitter Twitter
En 2021, seuls 2.6% des comptes avaient activé le 2FA, et parmi ceux-ci 75% utilisaient le SMS (et éventuellement autre chose, vu que le total dépasse 100%)
Donc bon, le 2FA par SMS n’est peut-être pas le top, mais c’est mieux que ce que faisaient 97.4% des comptes twitter, et par conséquent les “raisons de sécurité” sont une excuse bien bidon.
Le 21/02/2023 à 15h59
Merde, j’ai oublié de te demander pourquoi tu m’as posé cette question ?
Tu parlais bien de l’import export à la base ou tu parlais des codes uniques ? Pour ma seconde question, tu me diras, j’ai répondu aux deux t’façon
2.6% seulement ?! Je sais que le 2FA c’est pas imparable mais quand même. Bon après, Twitter c’est pas une boite mail ou un service où t’as payé des trucs dessus mais ça paraît tellement bas ce nombre.
Le 22/02/2023 à 07h11
Finalement, toutes les solutions exposées ici pour garantir l’identité d’un utilisateur ne feront jamais mieux que les certificats (qui malheureusement ne sont pas user-friendly à manipuler pour Mme michu).
Je me demande si l’utilisation de clés RSA (celles du SSH) ne serait pas p’tet pas plus pratique. Imaginons qu’on ai une appli qui gère la création / installation de paire de clés ainsi que la diffusion de la clé publique sur les sites où on a un compte. Le fait de gérer dans la même appli la paire de clés et la diffusion de la clé publique permettrait d’effectuer une rotation de clé en cas de compromission.
Il faudrait voir quel serait les possibilités d’authentification par clés RSA sur les serveurs d’applis web. :)
Le 22/02/2023 à 07h43
Moi je pense généralement à GPG. Il y a déjà des vecteurs de diffusion (keybase), c’est solide.
Le 22/02/2023 à 09h27
À part la NSA dans mon téléphone, niveau vie privée ça va.
Ah mais c’est sur, c’est une aide non négligeable pour les dev. Sauf que c’est acquis aujourd’hui que chaque personne doit avoir un mouchard temps réel pour faire des retours à la fois sur les bugs, l’UX etc. En gros on fait le boulot de testeurs, UX et QA gratos quoi. Comment ça se fait que c’est autant accepté aujourd’hui ? Je dis pas que c’est pas pratique hein.
On parle d’une solution de sécurité critique, le fait que ça soit propriétaire devrait vous alarmer. Le fait que ça soit MS encore plus. Mais bon gardez vos œillères, on en reparle à la prochaine fuite de la NSA.
Le 22/02/2023 à 10h33
Votre discours est assez proche de discours des complotistes. Le monde n’est pas rose, certes. Mais a force d’être paranoïaque on ne vit plus. Bon courage a vous.
Le 22/02/2023 à 11h42
Amusant que la vraie sécurité sois vue comme de la paranoïa. Ce sont pourtant les bonnes pratiques de l’ANSSI - dont le boulot est de fournir des éléments de sécurité concrets - qui indiquent que le bon 2FA serait la possession d’une clé de sécurité. Cela me paraît plus avancé que simplement choisir une application open-source populaire sans trackers. Sont-ils fous à lier ces grands paranos ?
Le 23/02/2023 à 17h47
Tu me poses une question. Je te réponds. Je t’en pose une. Pis plus rien.
J’me suis fais chier à être précis en plus.
Le 22/02/2023 à 11h20
On parle de sécurité, donc il ne faut faire confiance à rien, c’est le principe, ça n’est pas “être parano”…
Le 22/02/2023 à 13h43
L’envoi d’un SMS coute de l’argent à Twitter ?
Le 22/02/2023 à 13h58
A part cette affirmation, peux tu poser sur la table des preuves tangibles et vérifiables ?
Le SMS a peut être des lacunes, mais bon, dans le cadre d’une authent’ MFA, il y a le facteur de temporalité : tu es sensé recevoir le SMS que quand tu as cliqué sur la page de connexion. Tout autre réception de SMS non sollicitée est un élément suspect.
Le 22/02/2023 à 14h35
Je suis persuadé qu’il y avait eu des articles sur nextinpact, mais je ne les retrouve pas :/
Mais il y a eu des soucis via du sim swapping
Il y a cet article, mais je ne sais plus si c’était ça.
Alors oui dans le cas du sim swapping c’est l’opérateur qui fait nawak, mais je crois qu’il ne peut pas être considéré comme un intermédiaire de confiance.
Le 22/02/2023 à 16h29
Je vois.
Bref, la calculette OTP en spécifique reste la meilleure solution au final.
Le 22/02/2023 à 16h41
Next INpact
(j’étais tombé dessus en cherchant pour le sms)
Mais je crois que oui, un truc physique (carte, clé, …) + mot de passe me semble être la bonne piste.
Après tout dépend de ce qu’il faut protéger.
Pour rester proche du sujet, c’est ce qu’ils ont fait chez twitter (en interne) : Twitter
(certain qu’il y a un article sur nextinpact qui en parle, mais je ne le retrouve pas)
Le 22/02/2023 à 17h18
C’est.pour cela que l’usage du SMS a été interdite pour les banques il me semble
Le 22/02/2023 à 22h57
Ça n’a pas été interdit, c’est juste plus compliqué qu’un simple code SMS :
soit par l’application de la banque avec comme possibilité : saisie du code personnel, empreinte biométrique, ou caractéristique personnelle (je ne sais pas ce que ça signifie, autre critère biométrique peut-être ?).
soit toujours par code SMS, mais avec en plus le mot de passe d’accès à l’espace bancaire en ligne à rentrer (ou avec un boîtier fourni par la banque, mais je n’ai jamais vu, ni entendu parler d’une banque qui fasse ça…).
source
Le 23/02/2023 à 07h31
Ah oui en effet quand la caisse d’épargne a mis en place l’authentification via l’application je croyais me souvenir qu’ils ne faisaient plus via SMS.
Le 23/02/2023 à 08h37
C’est ce qu’ils ont annoncé (le message pendant plusieurs mois à chaque achat avec 3D secure, disant que les SMS ne marcheront plus la semaine suivante et qu’il fallait installer l’application) pour forcer les gens à installer leur appli.
Mais c’est impossible de l’imposer complètement à cause des gens qui n’ont pas de smartphone ou un pas compatible avec l’appli.
Le 23/02/2023 à 08h31
Oui c’est bien ça, identifiant + MDP + SMS (dans mon cas hors contexte paiement, juste connexion à l’espace personnel)
Merci pour vos précisions
Le 23/02/2023 à 06h56
En fait la Caisse d’Epargne fait le 3D secure en double facteur (SMS + mot de passe) en plus du cryptogramme (CVV2) au dos de la CB. Et ça c’est pour les clients qui n’utilisent pas l’appli mobile qui fonctionne comme un authenticator GAFAM.
Le 22/02/2023 à 21h59
C’est pourtant toujours utilisé, notamment chez la caisse d’épargne par exemple
Le 23/02/2023 à 08h11
Oui, et comme tout bon OTP logiciel, ça se lie au terminal presque d’une manière génétique.
Et quand il faut changer, c’est la misère modèle pour adulte.