Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !
Twitter étend enfin l’authentification à deux facteurs plus loin que le seul SMSCrédits : DKart/iStock

Le service prend en charge cette authentification depuis longtemps, mais seulement via le texto. D’un point de vue sécurité, on fait bien mieux depuis longtemps.

Les utilisateurs ont maintenant le choix : en plus ou à la place du classique SMS, ils peuvent obtenir un QR code pour l’intégrer dans une application de type Authenticator. En outre, le support des clés physiques se retrouve nettement étendu, puisque Twitter supporte désormais le standard FIDO2 WebAuthn.

Il est plus que recommandé de se débarrasser du SMS pour basculer sur une application ou une clé physique. La protection apportée est nettement meilleure. Dans un cas comme dans l’autre, l’objectif reste de vous fournir un code unique, valable 30 secondes, servant à valider la connexion depuis un autre appareil.

Ce type de sécurité est courant depuis des années et on comprenait mal que Twitter n’y soit pas encore passé. Si vous n’osez pas franchir le cas de la clé physique, les applications ne manquent pas : tapez Authenticator dans une boutique d’applications et les résultats seront nombreux : Google, LastPass, Microsoft et autres. Les capacités sont presque toujours les mêmes puisque basées sur un standard.

On remarquera également que ces ajouts permettent de déclarer une couche supplémentaire de sécurité sans avoir plus besoin de renseigner un numéro de téléphone dans Twitter. Ce dernier précise que d’autres options seront ajoutées à l’avenir, notamment pour les clés physiques. 

10 commentaires
Avatar de Arkeen Abonné
Avatar de ArkeenArkeen- 26/11/19 à 09:33:30

Il était temps, vindieu !

Avatar de BarbossHack Abonné
Avatar de BarbossHackBarbossHack- 26/11/19 à 09:49:14

Cela fait plus d’un an que j’utilise la 2FA par OTP sur Twitter... je suis surpris de cette news, mais bon, bonne nouvelle pour ceux qui n’avaient pas encore cette fonctionnalité

Avatar de Xaelis INpactien
Avatar de XaelisXaelis- 26/11/19 à 10:01:58

BarbossHack a écrit :

Cela fait plus d’un an que j’utilise la 2FA par OTP sur Twitter... je suis surpris de cette news, mais bon, bonne nouvelle pour ceux qui n’avaient pas encore cette fonctionnalité

Same here

Avatar de user_6677 INpactien
Avatar de user_6677user_6677- 26/11/19 à 11:07:14

Question conne mais en quoi une app d'authentification est plus sécurisée que le sms pour le 2FA? (Autrement qu ayant les communications chiffrées?)

Avatar de ecatomb Abonné
Avatar de ecatombecatomb- 26/11/19 à 11:15:09

C'est simple, si quelqu'un pirate ton compte associé à ton app d'authentification, il pourra accéder à ton compte twitter sans que tu ne reçoives de sms. C'est top 😁

Avatar de PSXBH Abonné
Avatar de PSXBHPSXBH- 26/11/19 à 11:35:59

Ce qui est nouveau, ce n'est pas le support du second facteur, qui est, comme tu le dis, disponible depuis longtemps. Ce qui est nouveau, c'est le support FIDO2 Webauthn, et surtout le fait que tu n'ai plus besoin d'enregistrer au préalable ton numéro de téléphone et activer le 2FA par SMS pour avoir ensuite accès aux autres second facteurs supportés.

De même, jusqu'à il y a peu, désactiver le second facteur par SMS faisait sauter toute authentification forte, même si un clef de sécurité ou une application tierce était utilisée.

Avatar de Otiel Abonné
Avatar de OtielOtiel- 26/11/19 à 12:46:59

C'est ça : le SMS n'est pas chiffré, et on peut facilement forger ce qu'il faut pour recevoir les SMS envoyés vers ton numéro.

Avatar de BarbossHack Abonné
Avatar de BarbossHackBarbossHack- 26/11/19 à 14:47:35

PSXBH a écrit :

Ce qui est nouveau, ce n'est pas le support du second facteur, qui est, comme tu le dis, disponible depuis longtemps. Ce qui est nouveau, c'est le support FIDO2 Webauthn, et surtout le fait que tu n'ai plus besoin d'enregistrer au préalable ton numéro de téléphone et activer le 2FA par SMS pour avoir ensuite accès aux autres second facteurs supportés.

De même, jusqu'à il y a peu, désactiver le second facteur par SMS faisait sauter toute authentification forte, même si un clef de sécurité ou une application tierce était utilisée.

Alors il y a une erreur dans le brief :)
« Le service prend en charge cette authentification depuis longtemps, mais seulement via le texto. »

Avatar de Patch INpactien
Avatar de PatchPatch- 26/11/19 à 15:02:10

zebignasty a écrit :

Question conne mais en quoi une app d'authentification est plus sécurisée que le sms pour le 2FA? (Autrement qu ayant les communications chiffrées?)

Otiel a écrit :

C'est ça : le SMS n'est pas chiffré, et on peut facilement forger ce qu'il faut pour recevoir les SMS envoyés vers ton numéro.

Et même sans ca, 90% du temps on voit le code permettant l'authentification directement depuis les notifications, sans même avoir à dévérouiller le tél...

Avatar de Cqoicebordel Abonné
Avatar de CqoicebordelCqoicebordel- 26/11/19 à 17:26:36

Y'a eu le cas avec le patron de Twitter : quelqu'un s'est fait passé pour lui et a recu une carte sim de remplacement avec le numéro du patron de Twitter. Du coup, il avait accès aux SMS.
Il y a de nombreux moyens de récupérer les SMS en plus.

Le 2FA est sensé être : 1/ Quelque chose que tu sais (le mot de passe) et 2/ Quelque chose que tu possèdes. Tu ne possède pas le SMS, c'est eux qui te l'envoient. Du coup, c'est pas du vrai 2FA. Par contre, l'application 2FA c'est toi qui la possède, et tu en fais ce que tu veux. Tu peux l'avoir sur ton téléphone, ton desktop, une clé USB qui va afficher directement les codes etc.

Aucune interception ne doit être possible.

Il n'est plus possible de commenter cette actualité.