Le 20 mars, Twitter mettra fin au SMS pour l’authentification à deux facteurs chez les utilisateurs gratuits. Pas de panique, car on peut remplacer cette méthode par une autre, facilement.
Officiellement, Twitter se débarrasse du SMS pour des raisons de sécurité. Et après tout pourquoi pas, l’entreprise n’a pas tort : de tous les seconds facteurs possibles, c’est probablement le pire, même si l’email lui fait concurrence. Ce sont des moyens « simples » à intercepter, du moins dans un référentiel de sécurité.
En pratique, Twitter réserve cette option aux personnes abonnées à Blue… une posture surprenante quand il s’agit de sécurité. La société ne semble pas tant intéressée par la sécurité que par son chiffre d’affaires, puisque la frustration éprouvée peut être soulagée par une solution sonnante et trébuchante. En outre, l’envoi de SMS représente une dépense, comme l’a confirmé Elon Musk himself.
Mais plutôt que de trébucher ou de couper complètement le second facteur d’authentification, nous vous proposons une autre voie : passer par une application de type Authenticator. Si vous ne faites pas le changement d’ici au 20 mars, la double authentification sera désactivée automatiquement pour votre compte.
Trouver la bonne application
Dans ce domaine, il n’y a pas de recette magique. Dans l’App Store ou le Play Store, écrivez « authenticator » et examinez les résultats, qui seront nombreux.
Vous trouverez des noms très connus comme Google et Microsoft, Twilio, Salesforce (si si !), LastPass, Dashlane, Sophos, Synology et de nombreux autres moins connus. Dans tout ce bazar, comment choisir ?
Toutes proposent la même fonction de base, une compatibilité HOTP/TOTP. On y renseigne les comptes que l’on veut protéger par la double authentification, on suit la procédure à chaque fois et l’application se met à générer des codes à six chiffres valables 30 secondes. Ce sont les mêmes codes que ceux envoyés par SMS, à la différence qu’ils changent beaucoup plus vite et que l’information ne circule pas sur un réseau pour vous être transmise. Tous proposent de copier le code par simple appui tactile pour aller le coller dans l’application ou le service qui le réclame.
Puisque tous proposent plus ou moins la même chose, la problématique peut se résumer à une seule question : souhaitez-vous que les comptes renseignés soient synchronisés ? Le sujet est important, car chaque personne devrait faire un choix, avec un curseur à déplacer, entre sécurité totale et facilité d’utilisation.
Avec la synchronisation, la perte du téléphone sera beaucoup facile à gérer, puisqu'on pourra restaurer les réglages sur un autre appareil, tant que l’application peut y être réinstallée. En revanche, les données sont synchronisées, donc hébergées chez un éditeur, ce que beaucoup n’apprécient pas. L’alternative est d’utiliser un Authenticator simple, non synchronisé. Mais dans le cas d’un appareil perdu, volé ou en panne, il sera plus complexe de retrouver ses accès. À moins que vous ayez pensé avant à exporter vos comptes – ce que beaucoup proposent – sous forme de sauvegarde chiffrée.
Si les solutions synchronisées vous intéressent, celles de Microsoft, Dashlane, LastPass (mais ce dernier a de gros soucis de sécurité ces derniers mois) et globalement toutes celles éditées par des entreprises proposant des gestionnaires synchronisées de mots de passe semblent faites pour vous. Notez aussi, pour les personnes sur environnement Apple, que le Trousseau iCloud est capable de générer ces codes 2FA (le client Windows d’iCloud est également compatible). Curieusement, l’application de Google n’est pas synchronisée, même si elle permet le transfert des comptes via un code QR (ce qui ne règle rien en cas de téléphone inaccessible).
Dans le cas contraire, il faudra peut-être essayer plusieurs applications avant de trouver. Citons quand même quelques exemples comme FreeOTP, libre et édité par Red Hat, disponible aussi pour Android que pour iOS. Open source également, Aegis Authenticator pour Android est très apprécié.
Enfin, un petit conseil : nous vous recommandons de sélectionner une application dont l’accès peut être protégé par la biométrie, pour plus de sécurité.
Changer de méthode dans Twitter
Si vous avez votre application d’authentification en main, il est temps d’aller modifier le réglage Twitter. Rendez-vous d’abord dans Paramètres > Sécurité et accès au compte, puis cliquez sur Sécurité, et enfin Authentification à deux facteurs. Là, décochez la case SMS. Twitter vous demandera alors votre mot de passe pour confirmer la manipulation.
Ensuite, Twitter affiche peut-être déjà une case cochée pour « Application d’authentification ». Si c’est le cas, décochez-la, puis cochez-la à nouveau. Cette fois, un cadre s’affiche pour vous présenter la fonction.
Dans le panneau suivant, un code QR s’affiche. Avec votre application d’authentification, appuyez sur le bouton servant à ajouter une entrée – souvent un simple « + » – puis placez le code QR dans le cadre qui s’affiche alors. Et c’est tout.
Le compte Twitter est présent dans la liste et on peut tout de suite voir que le code à six chiffres est inscrit, avec sa durée de vie de 30 secondes. Dans Twitter, il faudra simplement entrer ce code pour terminer la configuration. Après quoi, Twitter vous donnera un code de secours à garder en lieu sûr en cas de perte du téléphone. Conservez-le précieusement.
Une fois cette configuration faite, toute connexion dans une nouvelle application, dans un autre navigateur ou sur un nouvel appareil réclamera ce code à six chiffres. Il suffira alors d’ouvrir l’application d’authentification, d’appuyer sur le code correspondant pour le copier, puis de le coller dans le champ dédié. Ce n’est pas tellement plus long qu’avec un SMS, et c’est nettement plus sécurisé.
Commentaires (21)
#1
Bonjour Vincent, et merci pour cet article.
Par contre, attention, les QR Codes étant prévus pour être très redondants, la capture d’écran présentant près d’un quart du code pourrait potentiellement être utilisée malicieusement.
C’est une bonne occasion de rappeler à tous qu’il faut faire attention à bien toujours s’assurer d’utiliser un QR Code d’exemple dans ces cas de tutoriels et/ou de n’en rien dévoiler de significatif.
😉
#2
J’utilise 1password pour le 2FA.
ça me permet de ne pas avoir à gérer plusieurs soft/app pour gérer MDP et 2FA et ça gère l’autocomplétion.
#3
Bitwarden gère également mes mots de passe ET ma 2FA. Inutile de bondir sur vos claviers pour rappeler que c’est mettre tous ses œufs dans le même panier, blabla. On sait. Mais en termes d’usage et d’ergonomie il est impossible de faire plus pratique (dès que le duo credential/password est réclamé, Bitwarden passe le code TOTP en Ctrl+C).
En revanche, j’ai donc dû attacher un soin tout particulier à sécuriser l’accès à Bitwarden, et ça a été fait avec une YubiKey USB/NFC (ordi + smartphone).
Ce qui veut dire également que je paie 10 $ par an pour Bitwarden Premium (qui ne propose pas l’advanced 2FA dans sa version gratuite).
#3.1
Pareil, j’ai blindé l’accès.
En plus du login/password + clé secrète qui sont les accès basiques, ma connexion à 1password nécessite une clé 2FA générée par Microsoft Authentificator
#4
Généralement c’est quand même plus rapide d’avoir une notif en push ou il n’y a qu’a cliquer pour approuver, c’est pour cela que je me trimbale plusieurs applications de MFA pour ma part.
C’est pas plus long qu’un SMS, oui est non, quand tu commences a avoir une liste d’une trentaine de comptes, c’est pas si rapide par moment :)
#5
Franchement elom musk aura tué twitter. Je pense que la plateforme va sombrer.
#5.1
Oh bordel.
#6
[Pub]
Pour info, j’ai fait y’a un moment un outil qui me simplifie la vie : une page web locale qui est un client 2FA.
C’est plus pratique que de sortir mon téléphone à chaque fois, et ça se charge très très bien dans un panneau web de Vivaldi (c’est d’ailleurs pour ça que je l’ai fait).
Ce qui est cool, c’est qu’en plus d’être pratique, ça fait doublon avec le téléphone, et donc, backup.
Attention néanmoins, c’est à vous de décider si dans votre cas c’est sécure. Par exemple, si vous vous trimballez dans les transports avec votre ordi portable, c’est pas une bonne idée. Mais sur un PC fixe dont vous êtes le seul utilisateur chez vous, pourquoi pas.
https://github.com/Cqoicebordel/authenticator
#7
De mon côté j’utilise Authy sur mobile, ça fonctionne aussi bien qu’Authenticator.
Et j’espère que Keepass pourra gérer le 2FA un jour…
J’utilise 1password et le 2FA est super bien géré, autocomplété avec l’extension.
#8
J’utilise AndOTP (Github | F-Droid) depuis des lustres sur Android, ça fait parfaitement le taf, y’a pléthores d’options pour en sécuriser d’accès, avoir des backups, etc.
#9
Et l’application secure SignIn de synology ?
#10
En ligne de commande, dans toutes les distributions Linux :
/usr/bin/oathtool –base32 –totp “ipyq qbho mzyw oirs 7abl jky4 aujn p73a”
Le plus dur étant d’avoir cette graine entre guillemets. Elle est dans le QR Code, mais souvent, les sites oublient de le mettre en clair, et quand on n’a pas de smartphone, c’est un peu chiant à décoder :)
#10.1
Installe l’utilitaire zbar et tu peux décoder depuis le shell :)
#11
Merci pour l’info et l’article du coup je me rend compte que je n’avais pas mis le SMS j’ai donc activé le code.
Mais je viens surtout de me rendre compte que la dernière version de iOS ( je ne sais pas avant ) gère les code d’authent maintenant et que c’est directement ajouté dans le gestionnaire de MDP d’iOS.
J’ai Google Auth et aussi celui de MS, je me demande si on peut transférer d’un à l’autre histoire de centraliser.
#12
Dashlane?
Pour être un utilisateur depuis des années, je ne vois rien qui permettre d’y faire du HOTP/TOTP. Certe il y’a une couche 2FA pour se connecter à l’app la première fois sur un nouveau device mais elle ne supporte clairement pas ces usages pour se connecter à d’autres app. J’ai dernièrement vu dans mon entreprise que 1passord le supporte par contre, c’est dingue je trouvais.
Article à revoir du coup
#12.1
the app generates a time-based one-time password (TOTP)
#12.2
C’est pourtant parfaitement possible que ce soit sur Dashlane/1password/bitwarden :/
#13
Yes Je valide, mais y’a aucun moyen d’exporter / importer les QR Code de Google Auth vers cette app :/ J’ai meme essayé d’enregistrer les QR Code sur mon drive et les scanner avec Synology, il en voulait pas.
#14
Tu n’es pas le seul à le penser. Je pense aussi que le birdsite n’a que quelques semaines/mois à (sur)vivre avant de finir de s’écrouler définitivement. Même au niveau boursier, ils ne se leurrent pas du tout.
#15
Euh, Twitter n’est plus côté depuis le 27 octobre 2022.
#16
Pour ma part, j’active la double authentification uniquement pour les appli critique.
Pour ma Twitter me permet juste de suivre quelques personnes mais rien de bien méchant. Je n’ai pas de données importante. Peu d’importance si je me fais hacker mon compte.
Donc pour me faciliter la tache pour me connecter sur Twiter, je me connecte uniquement avec un login, mot de passe.