Encore une fois, des changements sont en cours chez Twitter : le réseau social appartenant à Elon Musk a annoncé que la sécurisation des comptes via l'authentification à deux facteurs (2FA) par SMS sera désormais une option exclusive pour les utilisateurs payants de Twitter Blue.
Selon le billet de blog expliquant ce changement, vous ne pourrez plus configurer l'authentification à deux facteurs par SMS après le 30 mars, sauf si vous payez un abonnement à Twitter Blue. Si vous utilisez actuellement cette méthode pour protéger l'accès à votre compte, vous avez 30 jours pour vous abonner à Twitter Blue ou passer à une autre méthode 2FA, comme une application d'authentification ou une clé de sécurité.
"Nous encourageons les non-abonnés à Twitter Blue à envisager d'utiliser une application d'authentification ou une méthode de clé de sécurité", indique Twitter dans son communiqué. "Ces méthodes vous obligent à être en possession physique de la méthode d'authentification et constituent un excellent moyen de garantir la sécurité de votre compte."
Effective March 20, 2023, only Twitter Blue subscribers will be able to use text messages as their two-factor authentication method. Other accounts can use an authentication app or security key for 2FA. Learn more here:https://t.co/wnT9Vuwh5nFebruary 18, 2023
Payez ou partez
Dans son blog, Twitter mentionne l'abus du système SMS 2FA par de "mauvais intervenants" comme l'une des raisons de ce changement. D'après un tweet d'Elon Musk, il semble que Twitter perdait notamment une somme d'argent considérable à cause de comptes robots abusant de la méthode SMS 2FA.
Désormais, si vous voulez vous en tenir aux SMS pour configurer Twitter sur de nouveaux appareils, vous devrez payer pour ce droit. Twitter Blue coûte 8 euros par mois, ou 11 euros par mois si vous vous inscrivez via Android ou iOS, et il est également disponible pour une année entière pour 84 euros. Parmi les autres avantages, vous pouvez modifier vos tweets et annuler la publication de tweets.
Bien qu'il ne s'agisse peut-être pas du pire changement que Twitter ait connu sous la direction de Musk, cette décision a suscité une grande colère - sur Twitter, bien sûr - de la part de ceux qui considèrent que le réseau fait payer l'une des mesures de sécurité indispensables.
Analyse : configurer l'authentification à deux facteurs, installer une application
L'authentification à deux facteurs est absolument nécessaire sur Twitter (détaillée dans le centre d'assistance) et partout ailleurs : elle ajoute un niveau de protection supplémentaire qui signifie que vous devez fournir quelque chose d'autre qu'un nom d'utilisateur et un mot de passe pour vous connecter à votre compte sur des appareils inconnus (des informations que l'on peut vous soutirer ou qui peuvent être divulguées en ligne).
Cette "autre chose" peut être un message texte envoyé sur votre téléphone, mais à ce stade, les SMS sont l'option la plus vulnérable pour le 2FA. Les messages texte peuvent en effet être interceptés et redirigés, et il est bien plus judicieux d'installer une application gratuite sur votre téléphone pour générer un code d'authentification à la place - parmi les applications disponibles figurent Authenticator de Google et Authy.
La vulnérabilité de l'authentification par SMS amène à se demander pourquoi Twitter ne l'a pas tout simplement abandonnée, mais il semblerait que certains utilisateurs aient encore réellement besoin de cette fonctionnalité. La proportion de ce groupe n'est pas claire, mais tous ceux qui en font encore partie vont en tous cas devoir payer pour avoir le privilège de recevoir leurs codes 2FA par SMS.
L'un des risques serait que les utilisateurs de 2FA par SMS qui ne veulent pas payer désactivent tout simplement le 2FA - ce que nous ne recommandons absolument pas. Pour que votre compte soit aussi sécurisé que possible, configurez 2FA et utilisez une application mobile comme méthode d'authentification, que vous soyez abonné ou non à Twitter Blue.
