Connexion
Abonnez-vous

Twitter met fin au SMS comme second facteur d’authentification pour les utilisateurs gratuits

Twitter met fin au SMS comme second facteur d’authentification pour les utilisateurs gratuits

Le 21 février 2023 à 07h54

Les personnes utilisant Twitter sans abonnement Blue ont un mois pour changer de méthode. Le service a décidé de réserver le SMS aux seuls abonnés Blue, citant des raisons de sécurité.

Les autres méthodes disponibles pour le second facteur – l’application dédiée et les clés de sécurité physiques – sont toujours là. Le SMS étant la moins sécurisée des trois options, il est curieux que Twitter la réserve à son abonnement Blue.

Pour les personnes concernées, la solution la plus simple est d’installer une application comme Google ou Microsoft Authenticator et d’y lier le compte Twitter. De nombreuses solutions existent pour Android et iOS, et toutes ont le même fonctionnement, même si les fonctions autour peuvent varier.

Le fonctionnement sera ensuite le même : à chaque fois que l’on voudra connecter son compte dans un nouveau navigateur, une nouvelle application ou un autre appareil, l’Authenticator fournira un code à six chiffres.

Le 21 février 2023 à 07h54

Commentaires (76)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

l’envoi des SMS a un coût pour Twitter, et il paraît que des petits malins en abusaient pour se faire des sous…
mais c’est une bonne chose de virer l’authentification SMS (je trouve).

votre avatar

Dommage que l’article ne parle pas de solutions opensource en alternative aux Google et Microsoft Authenticator (ne pas oublier que ces applications sont des mouchards).



Sur Android il y a FreeOTP



Mais ça fonctionne aussi sur KeepassDX (meilleur client compatible format keepass sur Android en passant)

votre avatar

Justement je suis en train de creuser le sujet pour virer les deux Authenticator de Google et MS.



Je pensais naïvement qu’il y avait une synchro cloud mais non, donc si plus de téléphone c’est la galère.



J’ai vu que Bitwarden pouvait gérer les codes TOTP, on m’a parlé d’Aegis aussi sur android et là je ne connaissais pas FreeOTP….



Effectivement on aurait pu profiter de cette news (ou garder l’idée d’un prochain article) pour parler d’alternative open-source et débroussailler un peu tout ça :D

votre avatar

Oui Bitwarden aussi le propose. Cependant il n’y a pas la double authentification pour se connecter à Bitwarden dans la solution gratuite. Donc ça devient un peu critique je trouve. Mais je recommande Bitwarden.



Perso j’utilise KeepassDX.

votre avatar

Même la version gratuite propose la 2FA, elle est juste limité dans les choix à Email et TOTP.



Ces 2 autorisations ne sont pas bizarres, la première sert à vérifier que ton téléphone est à côté du périphérique demandant l’accès à ton compte, la 2eme pour permettre la copie du code dans le presse papier il me semble



l’appli MS fait à minima un backup, tu ne perds donc rien si tu changes de téléphone. Par contre en effet si tu n’as plus de téléphone du tout, t’es coincé, mais c’est souvent le cas aujourd’hui quand t’as plus de tel.

votre avatar

Hors sujet : avec Bitwarden, il n’est pas possible de forcer les utilisateurs qui se connectent à la base à activer le 2FA. C’est laissé à leur choix.
Et ça m’embête.
Quelqu’un a un truc pour forcer l’option 2FA pour toute les personne qui se connecte à la base pour la première fois?

votre avatar

J’utiliser bitwarden (auto-hébergé) et ça fonctionne bien, synchro comprise :love:

votre avatar

Jette un œil sur aegis ou authentificator pro (tout ceci sont open source )



github.com GitHubgithub.com GitHubEt pour ios
github.com GitHub



( ce qui est bien ici c’est que tt ces applications permettent lexport)

votre avatar

Le trousseau d’Apple pour rester dans les GAFA 😅

votre avatar

Bonjour,
Pouvez vous fournir des sources qui prouvent que ces applications sont des mouchards?

votre avatar

Ne jamais utiliser FreeOTP, malheureux !



Cela a peut-être changé depuis l’époque où je m’en servais (mais je ne pense pas, l’application étant considérée comme abandonnée, il me semble), mais dessus il n’y a aucune fonctionnalité d’export/import (on ne peut même pas voir les secrets dans l’app).
Du coup, on ne peut pas sauvegarder/transférer ses codes, et le jour où on change de téléphone (ou qu’on le perd/casse), on est bien embêté…



J’ai fait une fois cette erreur, depuis j’utilise Aegis qui est aussi open-source.

votre avatar

Je viens de check, FreeOTP propose une option de backup/restore. Après perso j’utilise KeepassXC/DX, et sur pc tu peux bien récupérer la clé d’origine, donc c’est ok.

votre avatar

Après techniquement, tu as tes master code quelque part en cas de perte du téléphone d’une quelconque façon. Généralement 5 à 10. Chaque service le propose lors de l’activation de la double authentification.
Discord, Epic Games, Google etc … C’est un code de connexion unique qui te permet de t’en sortir en cas de force majeur.



Mais c’est clair que l’import export c’est la base. J’ai été bien emmerdé une fois à cause de cette impossibilité :transpi:
Obligé de désactiver 2FA partout pour ensuite le réactiver partout. (Changement d’OS sur le tel, ou changement de tel, en vrai je sais plus, mais on s’en fou)

votre avatar

Tu as loupé le virage avec FreeOTP+ je pense :non:. Mais rien à redire sur Aegis, j’aime bien aussi.

votre avatar

J’ai effectivement eu ce message en ouvrant l’appli il y a 2 semaines => erreur lorsque j’ai suivi la procédure pour enlever les sms en double authent !
Même message ce week-end => toujours la même erreur à la fin (et pourtant l’appli s’est mise à jour entre temps)



Par contre pour nous faire peur en nous disant qu’on ne pourra plus accéder à notre compte si on ne l’enlève pas avant, ça s’est bien écrit !

votre avatar

Thanatosus a dit:


Rien que le fait que ça soit la propriété de Google et Microsoft est suffisant.



Sinon Microsoft Authenticator contient (vu avec Exodus):




  • Google analytics

  • Microsoft Visual Studio App Center Analytics

  • OpenTelemetry (OpenCensus, OpenTracing)

  • Microsoft Visual Studio App Center Crashes

  • Google Firebase Analytics



et a pour autorisation bizarre (pour ce genre d’app):




  • Accéder à ta localisation en arrière plan

  • Lire et modifier le contenu de la mémoire



Google Authenticator n’a pas de tracker signalé mais ils sont intégrés dans l’application. Pas d’autorisation bizarre à signaler.



Pour les deux, ces applications ont accès complet à Internet (comme toutes les app android), et peuvent communiquer, en particulier Google, via les google app, et ça ya pas moyen de le désactiver (sauf avoir un android stock en installant une rom sans google apps). J’ai pas testé si les applications fonctionnent en leur coupant manuellement internet (via les paramètres avancés de Android et/ou un parefeu) parce que j’installerai jamais ces merdes sur mon téléphone.



Mais bref dans le doute, installe une application opensource.

votre avatar

:yes:



Et j’aurai bien pris sur moi de faire de l’analyse de traffic pour voir, mais flemme, les trackers et permissions sont déjà rédibitoires pour moi.

votre avatar

Encore du grand marba, ça ne nous avait pas manqué.
Oh mon dieu les développeurs mettent des produits pour remonter les bugs/crashs sur une application critique d’identité/sécurité.
Rien qui ne puisse justifier l’appellation de “mouchard”, in fine.



En complément à cette réponse, déjà complète, l’intérêt de l’application de MS (et très certainement pareil pour celle de Google) n’est pas juste de faire du “simple” 2FA, mais bien d’être la porte des technologies de Conditional Access (MFA) de Microsoft, que ce soit en perso ou en pro. Ce n’est pas vraiment les mêmes technologies / contraintes, et je pense que dans les prochaines années le 2FA “simple” ne sera très certainement plus suffisant en termes de sécurité.



Le SMS/Appel étant la pire technologie pour faire du MFA, une bien bonne idée que de remplacer ça par des applications conçues pour.

votre avatar

Google Analytics est un mouchard par définition, juste.

votre avatar

Ben voyons. Google analytics c’est essentiel pour améliorer une app :roll:



Et c’est vrai qu’il y a absolument d’espionner les utilisateurs d’une application aussi basique pour l’améliorer. C’est juste une application qui te sort un code allo. Ce qu’il faut pas lire des fois…

votre avatar

Je vois. Merci pour votre retour. Comme les autres ont dis plus haut, a pars GAnalytics qui est une peste, je ne vois pas de soucis en télémétrie limitée orientée développement, elle sert énormément au debug (conso mémoire par exemple). Sachant la fragmentation énorme des divers produit Android contrairement a iOS par exemple, c’est une aide non négligeable pour les développeurs.



Je me permettrais une observation. Je vois que vous portez un rejet stricte et complet envers les produits propriétaires. C’est votre point de vue. Juste au titre personnel je trouve que cela affecte l’objectivité de l’analyse finale. Apres comme j’aime bien dire “Autant il y a d’informaticiens, autant il y a d’opinions”.
Bonne journée a vous!

votre avatar

dada051 a dit:


Par contre en effet si tu n’as plus de téléphone du tout, t’es coincé, mais c’est souvent le cas aujourd’hui quand t’as plus de tel.


Si tu utilises FreeOTP et que tu fais un export des secrets sur une machine autre (ou papier), si tu perds ton téléphone tu reste tranquille. Là oú le SMS 2FA ne peu plus t’aider.

votre avatar

le jour où ton tel a un souci, t’a rarement le papier avec toi, ou l’autre machine…

votre avatar

Oui mais tu vas pouvoir aller retrouver ton papier ou ta machine rapidement.

votre avatar

Je trouve ça dommage de pas laisser le SMS pour les autres. Même si je suis parmi les premiers à dire que c’est pas une bonne feature de sécurité, c’est un peu mieux que rien. Et Twitter devrait juste améliorer son processus d’envoi de code. Ils ne sont pas les seuls à le faire, mais je ne connais pas d’autres gros poissons qui ont retireé cette fonctiinnalité.



Ce que j’espère c’est que certains utilisateurs vont en profiter pour s’intéresser aux apps comme FreeOTP, voire aux clés de sécurité.

votre avatar

Une bonne occasion d’activer la 2FA sur Twitter, j’avoue que je vais tellement peu dessus que je ne l’avais pas fait, mais sait-on jamais ce qu’on pourrait faire avec mon compte.



Sinon, j’utilise Authy pour la 2FA, c’est ouvert mais ça fait le job et j’ai la synchro avec le PC que Google Authenticator ne faisait pas (même pas possible d’exporter pour autre chose qu’un autre Google Authenticator…)
Alors oui, ça augmente les points d’entrée des pirates, mais en probabilité j’ai plus de chance de m’auto-bloquer en cassant mon smartphone, moment où il me faudra aller trouver un mot de passe de secours planqué dans un fichier crypté sur un stockage cloud, qui va lui-même me demander une 2FA pour y accéder, que je n’aurai plus.

votre avatar

dada051 a dit:


Même la version gratuite propose la 2FA, elle est juste limité dans les choix à Email et TOTP.


Ah mais c’est super, merci pour l’info !




Ces 2 autorisations ne sont pas bizarres, la première sert à vérifier que ton téléphone est à côté du périphérique demandant l’accès à ton compte, la 2eme pour permettre la copie du code dans le presse papier il me semble


Non, on parle de la localisation (GPS, etc.). Non la deuxième ne permet pas ça. Et ces deux autorisations ne sont pas demandés par Google Authenticator, donc elles sont suspectes.

votre avatar

Si tu t’intéresses à la façon dont fonctionne les autorisations Android, tu comprendras (notamment, l’accès au nom du réseau Wifi est conditionné à l’autorisation “localisation”).

votre avatar

Si tu t’intéresses à comment fonctionne les gafam, ils se fichent des autorisations. Facebook a bien contourné les autorisations plus restrictives des nouvelles versions d’android juste pour continuer à pomper les données. Google est capable de contourner toutes les protections vu que techniquement ils sont root sur ton tel avec les gapps. Donc bon, faut pas croire être en sécurité si tu laisses entrer le loup dans la bergerie.

votre avatar

Alors moi, je ne crois rien, d’abord parce que j’utilise même pas ces applis, et que s’ils s’en fichent des autorisations, pourquoi ils s’embeteraient à les demander.
On sait très bien que les gafam font des trucs pas jolis avec nos données perso (et dans données perso, j’entends autant les infos qu’on donne comme prénom nom codes etc, que nos comportements) mais ça n’empêche pas qu’ils aient besoin de certaines de ces données pour faire une bonne appli (sans crash, bonne UX…)

votre avatar

Ah lalalalala … le MFA a peut être un objectif vertueux, mais la mise en oeuvre du truc laisse à désirer.
Maintenant qu’ils viennent nous dire que les SMS / Appels coûtent cher, c’est du bull-shit. Ils veulent prendre le contrôle total de nos terminaux (PC, téléphone, …) à l’image du modèle Apple. L’appel / SMS sont des solutions que les GAFAM ne contrôlent pas. Tout se pilote depuis la SIM de l’opérateur téléphonique dans laquelle ils n’ont pas accès aux données stockées (tout est multi-chiffré avec des arbres de clés) ; et ça les rend malade.



[Parano OFF] Cette démarche s’observe facilement quand on regarde avec un peu d’attention la direction que Microsoft prend : Windows à abonnement dans une AD mondiale. Il faut avoir le contrôle total sur TOUT les utilisateurs.



Aujourd’hui tout n’est pas encore complètement verrouillé. Il est encore temps de mettre au point des approches et des outils autonomes, fiables et surtout garantissant la sécurité et la liberté des utilisateurs.

votre avatar

C’est super cher les SMS t’as pas idée. Pour un petit business ça va. Pour des millions d’utilisateurs comme Twitter c’est très vite un ENORME trou dans le budget.



A priori pour Twitter c’est plus de 60 millions de $ à l’année : twitter.com TwitterCe n’est pas rien quand ton entreprise est déficitaire… alors si en plus le 2FA SMS c’est pas sécurisé, pas plus mal de dégager ça.

votre avatar

Ok, 60 millions de $ par an … sur un chiffre d’affaire de combien de milliards ?



Fournir un mécanisme intrusif et propriétaire (comprendre qu’ils centralisent dans leur datacenter l’application et son système MFA) n’est pas une bonne pratique de sécurité. L’avantage des SMS, c’est que tu as plusieurs fournisseurs dans la boucle (l’appli d’un côté, l’opérateur téléphonique de l’autre). Dans le cas des authenticator, le jour où le fournisseur de l’appli/MFA est attaqué, c’est tout le mécanisme de défense qui s’écroule.



Et puis, il y a beaucoup d’aspects non pratiques dans l’utilisation des MFA via des authenticator GAFAM. S’ils veulent que ce soit vraiment user-friendly, il faut qu’ils fournissent des périphériques dédiés à l’usage MFA (avec la connectivité nécessaire ou pas dans le cas de calculettes de génération de code basée sur une horloge).

votre avatar

Le SMS est pas fiable, je vois vraiment pas l’intérêt de le défendre : theverge.com The Verge

votre avatar

Si c’est un soucis de fiabilité pourquoi le laisser aux abonnés blue ?

votre avatar

Pour forcer les gens un peu soucieux de leur compte twitter à passer à la caisse, mais chut…

votre avatar

Oui … je sais … mon but c’était de voir comment Hugues1337 allait s’en sortir.
L’idée est de mettre en avant le soucis derrière sa défense de twitter.



En sois le premier argument (60 millions à l’année) est suffisant.
Mais le 2 eme argument (c’est pas fiable) ne fonctionne pas car il est laissé pour les utilisateurs payants de twitter (qui sont certainement les utilisateurs qui devraient être le mieux protégés).

votre avatar

dada051 a dit:


Alors moi, je ne crois rien, d’abord parce que j’utilise même pas ces applis, et que s’ils s’en fichent des autorisations, pourquoi ils s’embeteraient à les demander.


Parce que tout le monde ne peut pas contourner les autorisations. Ça demande d’utiliser des failles du système Android, ce qui ne doit pas être très légal.



En fait, ça revient à dire : « Je peux cliquer sur n’importe quel exécutable téléchargé sur le net, j’ai un antivirus ».




On sait très bien que les gafam font des trucs pas jolis avec nos données perso (et dans données perso, j’entends autant les infos qu’on donne comme prénom nom codes etc, que nos comportements) mais ça n’empêche pas qu’ils aient besoin de certaines de ces données pour faire une bonne appli (sans crash, bonne UX…)


On peut faire une bonne appli sans forcément faire de tracking. Et désolé, faire une application qui enregistre un code et qui en génère, ça demande pas d’avoir de tracking. Pour l’UX, ils ont cas faire des tests en laboratoire avec des gens qu’ils payent.



Bref il n’y a aucune raison de leur faire confiance (bien au contraire) et il n’y a aucune raison de ne pas utiliser un concurrent opensource sans tracking qui fonctionne tout aussi bien.

votre avatar

Pour avoir comparer MS Authenticator avec plein d’autres (Google, Authy, opensource etc…), aucune n’arrive au niveau de celle de MS, sauf à se contenter de gérer du TOTP. Celle de MS fait bien plus, et n’importe quelle appli cherche à avoir à minima des rapports de crash, même les opensource.



Tu dois pouvoir, en tout cas dans ma boite, on ne peut pas avoir de compte Bitwarden sans 2FA

votre avatar

Salut,
En fait, on a un fork, Vaultwarden.
C’est peut être pour cela que niveau fichier de conf, on peut seulement autoriser des méthodes de 2FA et pas l’imposer (du moins ce que mit mon pote admin sys qui a installé le produit). Vu sur leurs forums des personnes qui se plaignaient de ça, mais me rappelle plus à quand les posts remontaient.
Si j’ai tort et qu’il y a moyen avec Vaultwarden, je serai content de l’apprendre :) Et s’il n’y a pas moyen et quelqu’un a trouvé comment faire, chapeau et je suis preneur!
Et sinon je me résoudrai à suivre la piste de Marba et préparerai le bâton discours pédagogique pour certains des utilisateurs.

votre avatar

darkjack a dit:


Hors sujet : avec Bitwarden, il n’est pas possible de forcer les utilisateurs qui se connectent à la base à activer le 2FA. C’est laissé à leur choix. Et ça m’embête. Quelqu’un a un truc pour forcer l’option 2FA pour toute les personne qui se connecte à la base pour la première fois?


Si c’est toi le manager de ton propre serveur, tu peux voir qui l’a activé ou non déjà.

votre avatar

Salut, ok, je regarderai!

votre avatar

dada051 a dit:


Celle de MS fait bien plus


Elle fait quoi de plus ?

votre avatar

OK, donc tu sais même pas de quoi tu parles en fait, je lâche l’affaire.

votre avatar

dada051 a dit:


OK, donc tu sais même pas de quoi tu parles en fait, je lâche l’affaire.


J’ai dit que je n’installerai pas ces app parce qu’elles sont propriétaires et pleines de trackers. C’était pourtant clair.



Tu lâches l’affaire un peu vite, je te pose une question simple pourtant. Qu’est ce qu’apporte l’application MS par rapport à une autre ?

votre avatar

t’es pas obligé de l’installer pour à minima te renseigner sur les fonctionnalités (mais tu t’es embêté à savoir par contre ce qu’elle contenait comme trackers…)
En plus de gérer la génération de TOTP, elle permet la gestion des mots de passes, de carte bancaires, des identités vérifiés, la connexion “passwordless”…..

votre avatar

Du coup, à l’image de Microsoft, c’est une application qui fait plus qu’une chose et dans le cas des utilisateurs laisés par Twitter, elle n’a aucun intérêt face aux autres comme FreeOTP+, Aegis, andOTP etc. Elle a même des inconvénients :




  • plus lourde (98 Mo vs. 9 Mo [FreeOTP+])

  • contient des trackers (Google Analytics, Microsoft Analytics)

  • requiert un compte Microsoft (pour accéder à plein de fonctionnalités que tu as listé)



Donc il y a un intérêt dans un environnement enfermé chez Microsoft seulement.

votre avatar

dada051 a dit:


t’es pas obligé de l’installer pour à minima te renseigner sur les fonctionnalités (mais tu t’es embêté à savoir par contre ce qu’elle contenait comme trackers…) En plus de gérer la génération de TOTP, elle permet la gestion des mots de passes, de carte bancaires, des identités vérifiés, la connexion “passwordless”…..


Ouais c’est bitwarden quoi, en un peu plus intégré. Je ne sais pas ce que c’est les “identités vérifiés” en revanche ?



Par contre le Conditional Access (mfa) c’est intéressant, mais ça revient à sous-traiter ta sécurité chez MS quoi.

votre avatar

C’est un BitWarden en un peu plus intégré en effet. Ce qui ne signifie pas forcément que tu es enfermé dans le monde MS, mais c’est plus fluide quand tu utilises leurs services. Les identités vérifiées, j’ai pas tout saisi le concept (pas eu l’occasion de tester) mais ça fait un peu penser à du OAuth “généralisé” (mais sans certitudes), il y a p-e un équivalent normé.

votre avatar

Enfin tout ça pour dire que ce n’est pas une simple app de génération de TOTP, et que les autorisations demandés semblent bien nécessaires pour réaliser les fonctionnalités proposées par l’app (j’ai oublié de citer l’autocomplete des forms dans une app ou un site web, qui peut justifier la demande d’accès à la mémoire)

votre avatar

ok je vois. C’est intéressant pour les entreprises, mais l’approche est fermé, et l’objectif est encore plus d’intégration fermée. Pas tellement envie de gérer la sécurité de mon parc via MS

votre avatar

(reply:2120922:phantom-lord)



Et où tu l’enregistres ton backup ? Et où est-ce que tu enregistres le mot de passe qui chiffrera le backup ?



:troll:

votre avatar

Normalement tu es sensé garder un backup physique non chiffré. Ou alors chiffré de manière à ce que tu puisse le déchiffrer de tête. Typiquement j’ai les clés secrètes des TOTP sur un papier caché (à deux lieux géographiques séparés) et quelques autres clés. L’idée c’est qu’en cas de perte totale (ordinateur et smartphone). Je peux récupérer le(s) papiers et retrouver tout mes accès.

votre avatar

Alors, la sauvegarde est sur une vieille console portable non connecté à internet sur lequel j’ai le QR de l’export en photo.



Pour ce qui est des master code de chaque service, ils sont stockés dans une archive chiffré via VeraCrypt et le mot de passe de déchiffrement est dans ma tête uniquement. Bien entendu cette archive est sur divers supports.



Y’a peut être plus simple, plus safe, mais ça me convient très bien pour le moment :fume:



Je peux être archaïque parfois :phibee:

votre avatar

Si j’en crois les informations publiées en juillet 2022 par twitter transparency.twitter.com Twitter



En 2021, seuls 2.6% des comptes avaient activé le 2FA, et parmi ceux-ci 75% utilisaient le SMS (et éventuellement autre chose, vu que le total dépasse 100%)



Donc bon, le 2FA par SMS n’est peut-être pas le top, mais c’est mieux que ce que faisaient 97.4% des comptes twitter, et par conséquent les “raisons de sécurité” sont une excuse bien bidon.

votre avatar


Et où tu l’enregistres ton backup ? Et où est-ce que tu enregistres le mot de passe qui chiffrera le backup ?



:troll:


Merde, j’ai oublié de te demander pourquoi tu m’as posé cette question ?



Tu parlais bien de l’import export à la base ou tu parlais des codes uniques ? Pour ma seconde question, tu me diras, j’ai répondu aux deux t’façon :transpi:



2.6% seulement ?! Je sais que le 2FA c’est pas imparable mais quand même. Bon après, Twitter c’est pas une boite mail ou un service où t’as payé des trucs dessus mais ça paraît tellement bas ce nombre.

votre avatar

Finalement, toutes les solutions exposées ici pour garantir l’identité d’un utilisateur ne feront jamais mieux que les certificats (qui malheureusement ne sont pas user-friendly à manipuler pour Mme michu).



Je me demande si l’utilisation de clés RSA (celles du SSH) ne serait pas p’tet pas plus pratique. Imaginons qu’on ai une appli qui gère la création / installation de paire de clés ainsi que la diffusion de la clé publique sur les sites où on a un compte. Le fait de gérer dans la même appli la paire de clés et la diffusion de la clé publique permettrait d’effectuer une rotation de clé en cas de compromission.



Il faudrait voir quel serait les possibilités d’authentification par clés RSA sur les serveurs d’applis web. :)

votre avatar

Moi je pense généralement à GPG. Il y a déjà des vecteurs de diffusion (keybase), c’est solide.

votre avatar

Thanatosus a dit:


Comme les autres ont dis plus haut, a pars GAnalytics qui est une peste


À part la NSA dans mon téléphone, niveau vie privée ça va. :reflechis:




je ne vois pas de soucis en télémétrie limitée orientée développement, elle sert énormément au debug (conso mémoire par exemple). Sachant la fragmentation énorme des divers produit Android contrairement a iOS par exemple, c’est une aide non négligeable pour les développeurs.


Ah mais c’est sur, c’est une aide non négligeable pour les dev. Sauf que c’est acquis aujourd’hui que chaque personne doit avoir un mouchard temps réel pour faire des retours à la fois sur les bugs, l’UX etc. En gros on fait le boulot de testeurs, UX et QA gratos quoi. Comment ça se fait que c’est autant accepté aujourd’hui ? Je dis pas que c’est pas pratique hein.




Je me permettrais une observation. Je vois que vous portez un rejet stricte et complet envers les produits propriétaires. C’est votre point de vue. Juste au titre personnel je trouve que cela affecte l’objectivité de l’analyse finale. Apres comme j’aime bien dire “Autant il y a d’informaticiens, autant il y a d’opinions”. Bonne journée a vous!


On parle d’une solution de sécurité critique, le fait que ça soit propriétaire devrait vous alarmer. Le fait que ça soit MS encore plus. Mais bon gardez vos œillères, on en reparle à la prochaine fuite de la NSA.

votre avatar

Votre discours est assez proche de discours des complotistes. Le monde n’est pas rose, certes. Mais a force d’être paranoïaque on ne vit plus. Bon courage a vous.

votre avatar

Amusant que la vraie sécurité sois vue comme de la paranoïa. Ce sont pourtant les bonnes pratiques de l’ANSSI - dont le boulot est de fournir des éléments de sécurité concrets - qui indiquent que le bon 2FA serait la possession d’une clé de sécurité. Cela me paraît plus avancé que simplement choisir une application open-source populaire sans trackers. Sont-ils fous à lier ces grands paranos ?

votre avatar

Tu me poses une question. Je te réponds. Je t’en pose une. Pis plus rien. :heben:



J’me suis fais chier à être précis en plus.

votre avatar

Thanatosus a dit:


Votre discours est assez proche de discours des complotistes. Le monde n’est pas rose, certes. Mais a force d’être paranoïaque on ne vit plus. Bon courage a vous.


On parle de sécurité, donc il ne faut faire confiance à rien, c’est le principe, ça n’est pas “être parano”…

votre avatar

Les autres méthodes disponibles pour le second facteur – l’application dédiée et les clés de sécurité physiques – sont toujours là. Le SMS étant la moins sécurisée des trois options, il est curieux que Twitter la réserve à son abonnement Blue.


L’envoi d’un SMS coute de l’argent à Twitter ?

votre avatar

Hugues1337 a dit:


Le SMS est pas fiable, je vois vraiment pas l’intérêt de le défendre : theverge.com The Verge


A part cette affirmation, peux tu poser sur la table des preuves tangibles et vérifiables ?
Le SMS a peut être des lacunes, mais bon, dans le cadre d’une authent’ MFA, il y a le facteur de temporalité : tu es sensé recevoir le SMS que quand tu as cliqué sur la page de connexion. Tout autre réception de SMS non sollicitée est un élément suspect.

votre avatar

Je suis persuadé qu’il y avait eu des articles sur nextinpact, mais je ne les retrouve pas :/



Mais il y a eu des soucis via du sim swapping



Il y a cet article, mais je ne sais plus si c’était ça.




Par exemple, un mot de passe associé à un code temporaire reçu par SMS, pourrait être intercepté ou faire l’objet d’une usurpation de type « SIM swapping ». L’ANSSI estime même qu’« une méthode d’authentification reposant sur la réception d’une valeur (comme un code à usage unique) au moyen d’un canal peu ou pas sécurisé (comme le SMS) est à proscrire », ce qui fait l’objet de sa 8e recommandation.


Alors oui dans le cas du sim swapping c’est l’opérateur qui fait nawak, mais je crois qu’il ne peut pas être considéré comme un intermédiaire de confiance.




L’étonnant profil du groupe cybercriminel LAPSUS$
Selon KrebsOnSecurity, LAPSUS$ recrute des complices sur plusieurs plateformes de médias sociaux depuis au moins novembre 2021. L’un des principaux membres, répondant aux surnoms de « Oklaqq » et « WhiteDoxbin », avait ainsi publié des annonces de recrutement sur Reddit l’année dernière, offrant aux employés de AT&T, T-Mobile et Verizon jusqu’à 20 000 dollars par semaine pour effectuer des « travaux internes », notamment usurper la carte SIM (« Sim swapping ») d’un ou deux clients par semaine.


votre avatar

Je vois.
Bref, la calculette OTP en spécifique reste la meilleure solution au final.

votre avatar

nextinpact.com Next INpact



(j’étais tombé dessus en cherchant pour le sms)



Mais je crois que oui, un truc physique (carte, clé, …) + mot de passe me semble être la bonne piste.



Après tout dépend de ce qu’il faut protéger.



Pour rester proche du sujet, c’est ce qu’ils ont fait chez twitter (en interne) : blog.twitter.com Twitter



(certain qu’il y a un article sur nextinpact qui en parle, mais je ne le retrouve pas)

votre avatar

C’est.pour cela que l’usage du SMS a été interdite pour les banques il me semble

votre avatar

(reply:2121124:dj0-)


Ça n’a pas été interdit, c’est juste plus compliqué qu’un simple code SMS :




  • soit par l’application de la banque avec comme possibilité : saisie du code personnel, empreinte biométrique, ou caractéristique personnelle (je ne sais pas ce que ça signifie, autre critère biométrique peut-être ?).



  • soit toujours par code SMS, mais avec en plus le mot de passe d’accès à l’espace bancaire en ligne à rentrer (ou avec un boîtier fourni par la banque, mais je n’ai jamais vu, ni entendu parler d’une banque qui fasse ça…).




source

votre avatar

Ah oui en effet quand la caisse d’épargne a mis en place l’authentification via l’application je croyais me souvenir qu’ils ne faisaient plus via SMS.

votre avatar

C’est ce qu’ils ont annoncé (le message pendant plusieurs mois à chaque achat avec 3D secure, disant que les SMS ne marcheront plus la semaine suivante et qu’il fallait installer l’application) pour forcer les gens à installer leur appli.



Mais c’est impossible de l’imposer complètement à cause des gens qui n’ont pas de smartphone ou un pas compatible avec l’appli.

votre avatar

Oui c’est bien ça, identifiant + MDP + SMS (dans mon cas hors contexte paiement, juste connexion à l’espace personnel)
Merci pour vos précisions :inpactitude:

votre avatar

(reply:2121124:dj0-)


En fait la Caisse d’Epargne fait le 3D secure en double facteur (SMS + mot de passe) en plus du cryptogramme (CVV2) au dos de la CB. Et ça c’est pour les clients qui n’utilisent pas l’appli mobile qui fonctionne comme un authenticator GAFAM.

votre avatar

C’est pourtant toujours utilisé, notamment chez la caisse d’épargne par exemple :roll:

votre avatar

Oui, et comme tout bon OTP logiciel, ça se lie au terminal presque d’une manière génétique.
Et quand il faut changer, c’est la misère modèle pour adulte.

Twitter met fin au SMS comme second facteur d’authentification pour les utilisateurs gratuits

Fermer