Le lundi 20 mars 2023, Twitter a supprimé la possibilité, pour ses utilisateurs, de sécuriser leur compte via l’envoi d’un code par SMS.

La double authentification par SMS sur Twitter, c’est terminé

Qu’est-ce qui a motivé le réseau à cette petite contre-révolution ?

La 2FA amputée des textos

🖥️  Le 15 février 2023, le blog officiel de Twitter publiait un article titré An update on two-factor authentication using SMS on Twitter. On y parle 2FA – acronyme pour two-factor authentication – et on y liste les trois possibilités qui, jusque-là, permettaient à un utilisateur de renforcer la sécurité de son espace personnel :

  • text message
  • authentication app
  • security key

« Cette double authentification est un outil permettant de sécuriser l’accès à un compte« , rappelle Le Monde. « En plus du couple identifiant/mot de passe, l’utilisateur reçoit un SMS sur son téléphone mobile comportant un mot de passe pour déverrouiller son compte« , explique le journal. Et de souligner que « peu d’internautes l’utilisent : selon le rapport 2021 de Twitter sur sa sécurité, cette option est activée par seulement 2,6 % des usagers du réseau social« .

Comment fonctionne la fraude appelée SMS pumping ?

📲  Si Twitter a choisi de bannir la méthode par SMS, c’est à cause des fraudes liées à ces messages. Surnommée « SMS pumping« , la technique consiste pour des opérateurs mobiles peu scrupuleux (ou certains de leurs employés) à exploiter de faux comptes créés sur une plate-forme pour générer l’envoi d’un grand nombre de SMS de confirmation de connexion, puis à facturer ces derniers à la plate-forme.

Très coûteuse pour Twitter – Elon Musk himself a évoqué la perte de 60 millions de dollars pour sa firme fraîchement rachetée –, la méthode par SMS est donc définitivement enterrée pour le leader du micro-blogging… sauf pour les twittos qui paieront un abonnement Twitter Blue. Pour les autres, deux autres solutions restent disponibles :

  • le recours à des applications d’authentification, à l’instar de Google Authenticator
  • l’utilisation d’une clef physique de sécurité comme Google Titan par exemple

0 commentaire

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.