Twitter et la sécurité, ce n'est pas vraiment ça, et ce, depuis des années maintenant. En cause, la gestion des comptes pilotés par différents collaborateurs, qui doivent s'échanger un mot de passe. Une pratique qui ne devrait plus exister en 2015... et qui va enfin commencer à disparaître. Mais seulement pour les adeptes de TweetDeck.
Quel est le point commun entre les comptes Twitter d'Auchan, de l'agence AP et du quotidien Le Monde ? Tous trois ont été piratés ces dernières années. Et à chaque fois, le service de micro blogging a été pointé du doigt du fait de sa politique plus que laxiste sur le terrain de la sécurité, préférant faire évoluer son offre publicitaire plutôt que de renforcer la gestion des comptes, notamment ceux des entreprises.
L'histoire d'amour de Twitter c'est la publicité, pas la sécurité
Car dans le même temps, les cas d'accès frauduleux sur Facebook ou Google+ n'ont pas été légion. Et pour cause, des mesures ont été prises depuis longtemps pour limiter les possibilités à ce niveau. Car, pour rappel, il y a une différence fondamentale entre Twitter et ses concurrents : ces derniers proposent à chacun de créer des comptes spécifiques pour présenter leur entreprise ou leurs services et qui diffèrent d'un compte personnel, notamment au niveau de leur gestion. Ainsi, il est possible d'en déléguer l'accès à un tiers en lui attribuant différents niveaux de droits selon ses attributions.
Sur Twitter, une telle différenciation n'existe pas, et l'accès à un compte ne peut être délégué que d'une manière : en distribuant le mot de passe. Cela implique que cet élément essentiel pour la sécurité doit être partagé d'une manière ou d'une autre, et modifié dès qu'un employé y ayant eu accès quitte l'entreprise. Autant dire que pour ceux qui gèrent de nombreux comptes à titre profesionnel, c'est un véritable calvaire.
Des options insuffisantes et un accès partagé réservé à certains outils seulement
Au fil du temps, Twitter a été accusé de ne se préoccuper que de ses évolutions publicitaires, à raison. Ainsi, le site a mis en place quelques procédures comme l'authentification en deux étapes, souvent mise en avant lorsqu'un problème survient. Mais là encore, ce n'est pas une solution adéquate puisque celle-ci consiste à associer un compte à un numéro de téléphone mobile. Si plusieurs personnes doivent gérer un même compte, comment faire dans la pratique ? Le souci est simplement déporté, sans être résolu.
C'est d'autant plus rageant que Twitter a bien mis en place une gestion partagée des comptes... mais uniquement pour ce qui est des statistiques et des publicités. Là encore, la vision mercantile de l'entreprise avait pris le pas sur le confort et la sécurité de l'ensemble des utilisateurs, laissant béant un problème de sécurité pourtant identifié de longue date.
Twitter permet désormais de déléguer un accès, mais de manière plutôt limitée
Mais à force de contestations et de trimestres déficitaires, Twitter semble commencer à entendre raison. Ainsi, on vient d'apprendre qu'une gestion déléguée des comptes était désormais proposée... mais uniquement via TweetDeck. En effet, l'équipe ne semble toujours pas prête à proposer nativement un tel service, et se contente de le faire via son outil de gestion multi-comptes, largement utilisé en entreprise. De quoi résoudre partiellement le problème, qui perdurera donc sur mobile par exemple, TweetDeck n'y étant plus proposé depuis des mois.
Dans la pratique, il suffit à un utilisateur disposant d'un accès à un compte via Tweetdeck de se rendre dans ses paramètres pour ajouter un tiers, qui pourra y avoir alors accès et le contrôler. Une fois ajouté, l'utilisateur concerné sera contacté par mail afin de lui proposer d'accepter ou de refuser cette invitation. Si tel est le cas, le compte principal sera à son tour informé par email.
Notez que vous pouvez décider de refuser toute invitation au sein de vos paramètres de sécurité via de nouvelles options apparaissant dans la section « Twitter pour les équipes », ou n'autoriser que vos amis à le faire :
Deux niveaux d'accès sont proposés : contributeur ou administrateur. Ce dernier aura tous les pouvoirs, sauf celui de se connecter au compte via une autre plateforme. Cela est pour le moment réservé à ceux qui disposent du mot de passe, et sont donc l'équivalent du propriétaire du compte. Le contributeur, lui, peut effectuer toutes les actions possibles, mais pas celle de gestion des accès comme l'ajout ou la suppression de membres. Il peut par contre publier des tweets, suivre des utilisateurs, créer des listes, etc.
Un accès partagé effectif et pratique, mais limité et insuffisant
Si cette nouveauté est une bonne nouvelle, cela n'est pas suffisant. Les limites sont en effet nombreuses et cela ne résoudra pas vraiment tous les problèmes. Tout d'abord, parce que cela est réservé aux comptes TweetDeck qui se connectent via un compte Twitter. Une manière pour l'équipe de convertir encore un peu plus de monde et faire abandonner la connexion classique. De plus, cela n'est semble-t-il pas encore ouvert à tous les comptes. Dans notre cas, ceux qui compte le plus de followers ne proposaient pas cette possibilité.
Ensuite, parce qu'une telle fonctionnalité devrait être native, et les comptes partagés utilisés en entreprise devraient être gérés de manière différente d'un compte personnel. Cela aurait été possible en généralisant ce qui est déjà en place pour l'accès aux statistiques et à la publicité. Or ce n'est pas ici le cas, Twitter ayant décidé de faire au plus simple. L'utilisateur principal devra ainsi toujours passer par un mot de passe pour se connecter et gérer chaque compte qu'il contrôle. On ne peut d'ailleurs que vous conseiller de changer ce dernier et de révoquer l'accès à TweetDeck depuis les options des applications tierces, pour ensuite migrer vers un accès partagé avec vos différents collaborateurs.
L'arrivée d'options spécifiques à la gestion par équipe dans les paramètres de sécurité laisse néanmoins penser que cela pourra arriver dans un second temps, que l'on peut espérer pas trop lointain. Car s'il est sans doute important pour Twitter de faire rentrer de l'argent en proposant une offre publicitaire concrète et complète, cela n'aura pas de sens si les utilisateurs quittent le service parce qu'il n'évolue pas et ne propose pas les outils dont ils ont réellement besoin. Les entreprises, elles, peuvent aussi décider de préférer des réseaux où ses équipes sont capables d'assurer un niveau de sécurité suffisant au quotidien, plutôt que celui qui, même après quelques années de soucis plus ou moins graves, continue à miser sur le partage du mot de passe.
Espérons donc que la prise de conscience des équipes de Twitter est réelle et que cette étape n'est qu'une première qui sera rapidement suivie par d'autre. Avec le travail effectué en parrallèle sur des points comme la gestion de la messagerie, il semblerait que ce soit le cas. Mais avec Twitter, nous ne sommes jamais à l'abri d'une déception.
Commentaires (8)
#1
Très intéressant, merci pour l’info.
Effectivement c’est une vraie galère en usage pro.
J’en ai un autre du même genre, c’est avec Youtube, obligé de donner ses accès pour que le presta puisse paramétrer du live (obligé de faire la jonction)…
#2
Pourtant c’est possible de déléguer sur YouTube non ? (via G+ de mémoire)
#3
J’en profite pour demander à ceux qui utilise TweetDeck justement, vous les voyez vous, les gif animés ?
Depuis la dernière màj on est sensé les voir directement dedans mais je n’ai toujours rien (sur 2 PC).
#4
Ah tiens je ne savais pas, merci pour la piste ! :-)
(ah le bon vieux “si tu sais, partage…”)
#5
Je dois être complétement demeuré mais je vois toujours pas bien l’intéret de Twitter pour le commun des mortels…
Pourtant je l’utilise un peu, je sais m’en servir… mais je trouve ça trop limité, trop commercial et trop abétissant… c’est, d’après moi, le niveau zéro de l’informatique…
#6
#7