À partir d'aujourd'hui, Twitter désactive l'authentification à deux facteurs (2FA) basée sur SMS pour tous les utilisateurs sauf payants à la suite d'une décision qui, à l'instar d'autres mesures récentes du géant des médias sociaux, a suscité une controverse qui s'est répercutée bien au-delà de la Twitterverse.

"Bien qu'historiquement une forme populaire de 2FA, malheureusement, nous avons vu le 2FA basé sur un numéro de téléphone être utilisé - et abusé - par de mauvais acteurs", lit la déclaration de Twitter annonçant le changement à la mi-février.

Au fil des ans, l'entreprise et nombre de ses utilisateurs - y compris l'ancien PDG de Twitter, Jack Dorsey – ont appris à leurs dépens que les numéros de téléphone ne constituent pas de bons identifiants et que les SMS sont vulnérables au piratage.

Avance rapide (presque) vers le présent et le PDG actuel de la plateforme Elon Musk avait ceci à dire sur Twitter abandonnant 2FA : "Twitter se fait arnaquer par les compagnies de téléphone pour 60 millions de dollars/an de faux messages SMS 2FA."

Avant de dire "bon débarras de SMS 2FA", cependant, considérez que l'utilisation de n'importe quelle méthode 2FA est bien meilleure que de se fier uniquement à votre mot de passe. Cela soulève alors la question : avez-vous préparé la disparition des SMS gratuits 2FA afin d'éviter de mettre votre Twitter compte à risque accru de piratage? Ces dernières semaines, Twitter a poussé les utilisateurs vers une autre méthode de connexion en deux étapes, mais si ceux-ci n'ont pas fait le travail, c'est vraiment le moment d'agir.

Voici comment vous pouvez améliorer la sécurité de votre compte Twitter sans SMS 2FA - et le garder plus sécurisé que jamais. Même si vous appartenez au 0.2 % des utilisateurs de Twitter qui paient des abonnements à la plate-forme, continuez à lire - une grande partie de ces conseils peut également vous être utile.

Comment fonctionne l'authentification 2FA - et comment elle échoue

Comme vous le savez probablement déjà, 2FA ajoute une couche de protection précieuse à votre compte et est particulièrement utile si votre mot de passe est volé. C'est dommage, alors, que seulement 2.6 % des comptes Twitter actifs avait au moins une méthode 2FA activée au second semestre 2021 (contre encore plus maigre 2.3 % un an auparavant). Parmi ceux-ci, les trois quarts utilisaient les SMS comme deuxième facteur d'authentification.

Cette forme de 2FA - qui a été développée pour la première fois au milieu des années 1990 (à l'époque, ils utilisaient des téléavertisseurs pour cela) - est devenue de loin la méthode 2FA la plus populaire sur les plateformes de messagerie et de médias sociaux, les magasins en ligne et les banques.

Évidemment, attendre un SMS avec un code et entrer le code après avoir saisi votre mot de passe est un moyen pratique d'améliorer la sécurité de votre compte. Mais bien que n'importe quel deuxième facteur soit bien meilleur qu'aucun, 2FA sur les messages texte est connu depuis longtemps pour être sensible à diverses attaques car les textes entrants ne sont pas cryptés et peuvent être interceptés, lus ou redirigés par des attaquants déterminés avec une relative facilité. En 2016, le National Institute of Standards and Technology (NIST) des États-Unis a appelé à la suppression progressive de la 2FA basée sur les SMS.

Ces dernières années, une multitude de rapports d'attaquants ont eu accès aux comptes en ligne de personnes suite, par exemple, à des Escroqueries par échange de carte SIM. Ces escroqueries impliquent des criminels incitant les opérateurs téléphoniques à transférer le numéro de téléphone de leur cible vers un appareil sous leur contrôle. À partir de là, ils peuvent pénétrer dans les comptes bancaires, les réseaux sociaux et autres comptes des victimes qui utilisent le même numéro de téléphone pour 2FA. Nul autre que l'ancien chef de Twitter, Jack Dorsey, a été victime de cette attaque en 2019.

Au fil des ans, les chercheurs en sécurité, y compris ceux d'ESET, ont trouvé de nombreux exemples de logiciels malveillants capables de contourner les protections 2FA des utilisateurs.

Par exemple, en 2016, Les chercheurs d'ESET ont repéré un cheval de Troie bancaire Android qui volait les identifiants de connexion pour 20 applications bancaires mobiles. Il a contourné les codes SMS, le logiciel malveillant a transmis tous les messages texte reçus aux criminels. Trois ans plus tard, ESET a découvert des applications malveillantes qui nouvelles techniques exploitées pour lire les notifications avec des mots de passe à usage unique (OTP) apparaissant sur l'écran de l'appareil.

Les protections 2FA et la posture de sécurité de Twitter ont fait l'objet d'un examen minutieux en 2020 lorsqu'un attaque de vishing contre son personnel à mené à détournement de quelque 130 comptes appartenant à des personnalités importantes. Dans le piratage, les attaquants ont renversé les protections 2FA de Twitter et ont utilisé les comptes de Barack Obama, Elon Musk et Bill Gates et d'autres pour colporter une arnaque Bitcoin.

Pour perpétrer le piratage, les criminels ont imité le site Web VPN légitime de Twitter où les employés saisissent leurs informations d'identification. Dès que les attaquants ont saisi les identifiants de connexion dans le vrai VPN Twitter et ont attendu que les employés reçoivent des mots de passe à usage unique. Une fois que les victimes ont rempli le mot de passe dans le faux VPN, les pirates étaient dedans.

Alors, quelles sont vos options 2FA sur Twitter maintenant ?

L'utilisation d'applications d'authentification gratuites pour 2FA restera gratuite et sera beaucoup plus sécurisée que les SMS https://t.co/pFMdxWPlai

- Elon Musk (@elonmusk) 18 février 2023

Il existe deux autres principaux types d'authentification 2FA que Twitter prend en charge et qui sont plus sécurisés que les messages texte.

Tout d'abord, vous pouvez utiliser une application d'authentification sur l'appareil telle que Microsoft Authenticator ou Google Authenticator, qui offre une sécurité solide et est plus flexible qu'une clé matérielle (nous en reparlerons plus tard).

Les applications d'authentification génèrent un code à usage unique que vous utilisez pour confirmer votre identité lorsque vous vous connectez à un site Web ou à une application. Cela peut ne pas sembler trop différent de l'authentification SMS 2FA, mais l'avantage de l'application est qu'au lieu d'avoir un code envoyé par SMS, le code apparaît dans l'application et est directement lié à l'appareil, plutôt qu'à votre numéro de téléphone. .

En corollaire, l'authentification basée sur les applications complique considérablement les choses pour quiconque souhaite lire ou voler votre code. (Malware qui peut voler des codes d'authentification n'est pas inconnu, toutefois.)

Paramètres 2FA de l'application Twitter avant le changement

Si vous souhaitez améliorer encore votre jeu de sécurité, envisagez d'obtenir une clé de sécurité matérielle que vous connectez via USB, NFC ou Bluetooth. Les clés physiques offrent un haut niveau de sécurité, notamment parce que les codes ne peuvent pas être interceptés ou redirigés. Afin de pénétrer dans votre compte, les criminels devraient voler la clé et mettre la main sur vos identifiants de connexion.

Un inconvénient possible est que vous devez porter la clé à chaque fois que vous souhaitez vous connecter. De plus, les clés actuellement disponibles ne sont pas universellement prises en charge par tous les appareils et plates-formes. Aussi, préparez-vous à des prix à partir d'environ 25 $ US. Les versions plus avancées, telles que celles avec reconnaissance d'empreintes digitales, peuvent vous coûter plus de 100 $ US.

Que pouvez-vous faire d'autre pour améliorer votre sécurité Twitter ?

Lorsque vous vous éloignez de l'A2F par SMS, assurez-vous de revoir les paramètres de sécurité et de confidentialité de votre compte. Entre autres choses, définissez un mot de passe fort et unique (si vous n'en utilisez pas déjà un) et envisagez de les prendre étapes pour rester en sécurité lors de l'utilisation de la plate-forme.

Et si vous êtes déjà abonné à Twitter Blue ou envisagez de le devenir, vous feriez mieux d'abandonner SMS 2FA au profit d'une application d'authentification ou d'une clé matérielle.

• Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
• Platoblockchain. Intelligence métaverse Web3. Connaissance Amplifiée. Accéder ici.
• La source: https://www.welivesecurity.com/2023/03/20/twitter-free-sms-2fa-secure-account/