Twitter vient de mettre en place un générateur de code dans ses applications pour Android et iOS. Il permet de fournir un code de sécurité pour la double authentification. Il s'agit d'une alternative au SMS, toujours envoyé quoi qu'il arrive. Explications.
Twitter propose depuis longtemps la double authentification par SMS, une méthode finalement classique et que l’on retrouve chez des nombreux éditeurs. C’était d’ailleurs jusqu’à maintenant la seule de ce type offerte par Twitter.
Un générateur de code dans les clients officiels
Depuis peu, les applications pour Android et iOS contiennent cependant un générateur de code. Pour le trouver, il faut se rendre dans les paramètres de l’application, via la roue crantée de l’onglet « Moi ». On se dirige alors dans la section Compte, puis dans Sécurité. Là, une nouvelle entrée est disponible : « Générateur de code de connexion ». L’ouvrir affiche un code qui n’est valable que 30 secondes et renouvelé automatiquement. Il contient six chiffres, comme ceux envoyés par SMS.
Mais pourquoi permettre à un générateur de code de fonctionner si le smartphone n’est pas en mesure de recevoir des SMS ? Parce qu’il existe des situations où l’appareil ne capte aucun réseau cellulaire, mais a tout de même accès à du Wi-Fi.
Les générateurs tiers sont également pris en charge
Au cas où l’utilisateur se servirait déjà d’une application tierce pour générer des codes (comme celles de Google, LastPass ou Microsoft), il est également possible de configurer un lien. Il faut utiliser cependant l’interface web complète du service depuis un ordinateur et se rendre dans les paramètres du compte. On clique ensuite sur la zone « Sécurité et confidentialité » puis sur « Configurer une application génératrice de code ».
Un QR code et une clé de sécurité s’affichent alors, qu’il faudra scanner ou entrer manuellement dans l’application choisie.
Une méthode pratique, mais le SMS reste la solution par défaut
Plusieurs remarques cependant. Le générateur de code n’est fonctionnel que si la vérification de connexion est activée (double authentification). Si elle ne l’est pas, rien d’autre n’apparaitra dans cette section. La vérification passe par l’ajout du numéro de téléphone qui est – évidemment – la condition sine qua non pour recevoir un SMS en cas de problème.
D’autre part, bien que ce générateur puisse être très pratique, Twitter ne propose pas de désactiver le SMS. Dans tous les cas, pour chaque demande, un texto sera quand même envoyé. L'utilisateur peut l'ignorer et aller chercher le code dans le générateur, qu'il soit interne ou tiers.
Notons également que ce générateur peut être pratique dans une équipe gérant un compte Twitter collectif. La double authentification est en effet liée à un seul numéro de téléphone. Il suffisait donc que le collègue l’utilisant ne soit pas disponible pour bloquer l'identification au compte.
Dans tous les cas, il faut posséder la dernière révision de Twitter pour Android ou iOS
Commentaires (13)
#1
Il me semblait que les SMS ne devait plus être utilisé pour l’envoi d’OTP non ?
#2
En plus cela peut être très utile pour ceux qui n’ont tout simplement pas (ou plus) de GSM.
#3
Bon je viens de l’activer, je trouve que c’est un peu confus. Grosso modo, tu te connectes, ça t’envoie le SMS par défaut mais tu peux choisir d’utiliser ton code sur Google Authenticator ou le code sur le générateur de l’application Twitter. Et ces 3 codes semblent différents.
J’avoue, je ne comprends pas trop comment ils s’y retrouvent, surtout quand il n’y a pas de demandes de codes de l’application tiers quand tu la configures pour la première fois (comme on peut trouver sur Dropbox ou Lastpass par exemple).
#4
Ha je n’étais pas au courant, il y a des failles de sécurités ?
#5
Et l’authentification par U2F via clé USB (de l’alliance FIDO), c’est pour quand ?
#6
Pirates (social engineering au niveau de l’opérateur) et Etats (hacking de l’opérateur étatique) détournent les SMS, comme le rapporte cet article de WIRED :
That kind of social engineering is more than hypothetical. Earlier this month, Black Lives Matter activist DeRay McKesson found that his Twitter account was hacked to tweet pro-Donald Trump messages, despite having two-factor authentication in place. The hackers, as he tells it, had called up Verizon, impersonated him, and convinced the company to redirect his text messages to a different SIM card, intercepting his one-time login codes. And activists in Iran and in Russia both recently found that their Telegram accounts were being hacked, likely by state-owned telecom companies helping those authoritarian governments to hijack the SMS messages Telegram uses to log users in.
#7
Ca risque d’être difficile (mais pas impossible, certes, OTG roulaize), sur mobile, probablement la plateforme majoritaire pour Twitter (ayant commencé comme réseau social SMS, en plus du web).
#8
Merci =)
On peut partir aussi du principe que l’OTP via code n’est pas 100 % sécurisé puisqu’une application avec l’accès à l’écran dans les droits peut lire le code et l’envoyer au pirate.
Pareil pour les applications avec accès aux notifications et la réception de SMS avec code. Pour moi le plus efficace est la Yubikey ou l’authentification avec une boite de dialogue “Oui” “Non” sur le mobile comme ce que propose Microsoft et Google.
#9
Du coup, dans l’hypothèse d’un pirate ou d’un Etat, on peut imaginer que si “application avec l’accès à l’écran dans les droits peut lire le code et l’envoyer au pirate”, elle peut aussi simuler la pression sur “[Oui] sur le mobile comme ce que propose Microsoft et Google.” Quant à la méthode Yubikey, elle a aussi ses limites, comme le laisse penser le piratage de Gemalto par la NSA, ou encore comme semblent le permettre nos propres lois sécuritaires sur la communication des moyens de déchiffrement.
Il n’y a sans doute pas de méthode infaillible, juste des méthodes rendant le piratage difficile et improbable ?
#10
Je suis d’accord, de toute façon aucun système n’est fiable, ça limite juste la casse en cas de tentative de piratage de compte en masse. N’importe quel pirate peut accéder à n’importe quoi du moment qu’on lui en laisse le temps et les moyens.
#11
Pas très bien compris le fonctionnement.
J’ai bien la vérification de connexion d’activée (depuis des lustres), sauf que moi elle m’envoie une notification push sur mon tel que je dois accepter.
J’ai ensuite scanné le QR Code avec Google Authenticator, tout semble correct.
Pourtant, quand j’ai déco, puis reconnecté il m’a juste envoyé la notification push, à aucun moment il m’a demandé d’entrer un code de vérif..
Il faut obligatoirement les sms ? Ou la vérification de connexion via push suffit ?
#12
A noter que ça fonctionne également avec l’appli Authenticator sur UbuntuTouch (oui, pour les rares que ça intéresse :p).
#13
Si c’est uniquement via l’appli OK, si c’est possible via n’importe quel browser, la ca deviendra problematique imo