Double authentification Twitter : comment remplacer le SMS par un Authenticator ?

Les doigts dans le nez
Double authentification Twitter : comment remplacer le SMS par un Authenticator ?

Le 20 mars, Twitter mettra fin au SMS pour l’authentification à deux facteurs chez les utilisateurs gratuits. Pas de panique, car on peut remplacer cette méthode par une autre, facilement.

Officiellement, Twitter se débarrasse du SMS pour des raisons de sécurité. Et après tout pourquoi pas, l’entreprise n’a pas tort : de tous les seconds facteurs possibles, c’est probablement le pire, même si l’email lui fait concurrence. Ce sont des moyens « simples » à intercepter, du moins dans un référentiel de sécurité.

En pratique, Twitter réserve cette option aux personnes abonnées à Blue… une posture surprenante quand il s’agit de sécurité. La société ne semble pas tant intéressée par la sécurité que par son chiffre d’affaires, puisque la frustration éprouvée peut être soulagée par une solution sonnante et trébuchante. En outre, l’envoi de SMS représente une dépense, comme l’a confirmé Elon Musk himself.

Mais plutôt que de trébucher ou de couper complètement le second facteur d’authentification, nous vous proposons une autre voie : passer par une application de type Authenticator. Si vous ne faites pas le changement d’ici au 20 mars, la double authentification sera désactivée automatiquement pour votre compte. 

Trouver la bonne application

Dans ce domaine, il n’y a pas de recette magique. Dans l’App Store ou le Play Store, écrivez « authenticator » et examinez les résultats, qui seront nombreux.

Vous trouverez des noms très connus comme Google et Microsoft, Twilio, Salesforce (si si !), LastPass, Dashlane, Sophos, Synology et de nombreux autres moins connus. Dans tout ce bazar, comment choisir ?

Toutes proposent la même fonction de base, une compatibilité HOTP/TOTP. On y renseigne les comptes que l’on veut protéger par la double authentification, on suit la procédure à chaque fois et l’application se met à générer des codes à six chiffres valables 30 secondes. Ce sont les mêmes codes que ceux envoyés par SMS, à la différence qu’ils changent beaucoup plus vite et que l’information ne circule pas sur un réseau pour vous être transmise. Tous proposent de copier le code par simple appui tactile pour aller le coller dans l’application ou le service qui le réclame.

Puisque tous proposent plus ou moins la même chose, la problématique peut se résumer à une seule question : souhaitez-vous que les comptes renseignés soient synchronisés ? Le sujet est important, car chaque personne devrait faire un choix, avec un curseur à déplacer, entre sécurité totale et facilité d’utilisation.

Avec la synchronisation, la perte du téléphone sera beaucoup facile à gérer, puisqu'on pourra restaurer les réglages sur un autre appareil, tant que l’application peut y être réinstallée. En revanche, les données sont synchronisées, donc hébergées chez un éditeur, ce que beaucoup n’apprécient pas. L’alternative est d’utiliser un Authenticator simple, non synchronisé. Mais dans le cas d’un appareil perdu, volé ou en panne, il sera plus complexe de retrouver ses accès. À moins que vous ayez pensé avant à exporter vos comptes – ce que beaucoup proposent – sous forme de sauvegarde chiffrée.

Si les solutions synchronisées vous intéressent, celles de Microsoft, Dashlane, LastPass (mais ce dernier a de gros soucis de sécurité ces derniers mois) et globalement toutes celles éditées par des entreprises proposant des gestionnaires synchronisées de mots de passe semblent faites pour vous. Notez aussi, pour les personnes sur environnement Apple, que le Trousseau iCloud est capable de générer ces codes 2FA (le client Windows d’iCloud est également compatible). Curieusement, l’application de Google n’est pas synchronisée, même si elle permet le transfert des comptes via un code QR (ce qui ne règle rien en cas de téléphone inaccessible).

Dans le cas contraire, il faudra peut-être essayer plusieurs applications avant de trouver. Citons quand même quelques exemples comme FreeOTP, libre et édité par Red Hat, disponible aussi pour Android que pour iOS. Open source également, Aegis Authenticator pour Android est très apprécié.

Enfin, un petit conseil : nous vous recommandons de sélectionner une application dont l’accès peut être protégé par la biométrie, pour plus de sécurité.

Changer de méthode dans Twitter

Si vous avez votre application d’authentification en main, il est temps d’aller modifier le réglage Twitter. Rendez-vous d’abord dans Paramètres > Sécurité et accès au compte, puis cliquez sur Sécurité, et enfin Authentification à deux facteurs. Là, décochez la case SMS. Twitter vous demandera alors votre mot de passe pour confirmer la manipulation.

Twitter 2FA SMSTwitter 2FA SMS

Ensuite, Twitter affiche peut-être déjà une case cochée pour « Application d’authentification ». Si c’est le cas, décochez-la, puis cochez-la à nouveau. Cette fois, un cadre s’affiche pour vous présenter la fonction.

Dans le panneau suivant, un code QR s’affiche. Avec votre application d’authentification, appuyez sur le bouton servant à ajouter une entrée – souvent un simple « + » – puis placez le code QR dans le cadre qui s’affiche alors. Et c’est tout.

Twitter 2FA SMSTwitter 2FA SMS

Le compte Twitter est présent dans la liste et on peut tout de suite voir que le code à six chiffres est inscrit, avec sa durée de vie de 30 secondes. Dans Twitter, il faudra simplement entrer ce code pour terminer la configuration. Après quoi, Twitter vous donnera un code de secours à garder en lieu sûr en cas de perte du téléphone. Conservez-le précieusement.

Twitter 2FA SMSTwitter 2FA SMSTwitter 2FA SMS

Une fois cette configuration faite, toute connexion dans une nouvelle application, dans un autre navigateur ou sur un nouvel appareil réclamera ce code à six chiffres. Il suffira alors d’ouvrir l’application d’authentification, d’appuyer sur le code correspondant pour le copier, puis de le coller dans le champ dédié. Ce n’est pas tellement plus long qu’avec un SMS, et c’est nettement plus sécurisé.

Vous n'avez pas encore de notification

Page d'accueil
Options d'affichage
Abonné
Actualités
Abonné
Des thèmes sont disponibles :
Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !