Secoué cette semaine par l'affaire du piratage du compte officiel de l'agence Associated Press, Twitter travaillerait depuis quelque temps sur un système de sécurité à deux étapes nous apprend Wired. Testé en interne, ce système pourrait être appliqué d'ici peu aux comptes du réseau social.
De trop nombreux comptes piratés
Ces dernières années, les piratages et autres détournements de comptes Twitter ont été nombreux. De Barack Obama à Britney Spears, en passant par CBS, Fox News, Reuters, Justin Bieber, Selena Gomez, Joseph Blatter (FIFA), la Diplomatie Française, Burger King, Jeep, et donc AP avant-hier, les cas ne manquent pas. Sans même parler des 250 000 comptes Twitter compromis au début de l'année. La plupart des piratages ont été sans grandes conséquences, mais les cas d'AP ou encore de Fox News ont été plus problématiques.
Toutes ces attaques affaiblissent la confiance que l'on peut donner à Twitter. Ce dernier se devait donc de réagir. Outre le passage classique du nom et du mot de passe, une seconde authentification basée sur l'envoi d'un SMS sur le téléphone de l'utilisateur pourrait être exploitée par Twitter nous apprend Wired. Un système souvent utilisé par les banques lors d'un paiement par exemple.
Certains sites de courriels ou encore de réseaux sociaux remarquant des changements de comptes sur la même machine, une nouvelle localisation de l'utilisateur ou encore une activation sur un tout nouvel appareil, exploitent aussi ce système afin de réduire les risques de détournements. Nous pourrions d'ailleurs faire remarquer que Twitter aurait pu mettre en place une telle politique depuis longtemps.
Ce système de sécurité sera-t-il généralisé ou juste imposé aux comptes certifiés connus, les plus susceptibles d'être attaqués ? Difficile à dire pour le moment, mais dès lors que d'autres sites l'exploitent déjà pour n'importe lequel de leurs utilisateurs, il n'y a pas de raison que cette politique soit limitée. Il faut en tout cas s'attendre à des tests auprès de certains comptes dans les semaines ou mois à venir. Le système, sans être parfait, permettra au moins d'éviter qu'un banal phishing suffise pour annoncer un attentat à la Maison Blanche et l'assassinat de Barack Obama sur le compte officiel de la plus grande agence de presse au monde.
Mais selon Sean Sullivan, conseiller en sécurité chez F-Secure, si cette double identification sera suffisante pour la plupart des comptes individuels, pour les comptes exploités par des groupes, ce qui peut être le cas pour les grandes sociétés ou les organes de presse, il faudrait aller encore plus loin et mettre en place un administrateur.
