Twitter supprime le 2FA si vous ne payez pas !
Sous ce titre racoleur, se cache une toute autre vérité.
Suppression de la double authentification, oui mais...
C'est officiel, l'oiseau bleu (qui n'a rien à voir avec la maison de la même couleur, adossée à la colline 😅) a décidé de supprimer une mesure de protection de votre compte Twitter si vous ne vous affranchissez pas de l'abonnement Twitter Blue.
Cet abonnement, facturé 8€/mois HT (9,60€ TTC donc, les américains sont joueurs avec les prix), vous permet de :
- Modifier vos tweets une fois publiés
- Créer des dossiers pour vos signets
- Modifier l'icône de l'app Twitter sur votre smartphone
- Poster des tweets plus longs
- et bien d'autres fonctionnalités
... Seulement par SMS
On voit déjà passer des hordes de Twittos hurlant au scandale, comme quoi Elon Musk ne fait que détruire Twitter, qu'il est inconscient, que des millions de comptes vont se faire pirater, que la Terre est plate 🤔, etc etc.
Il n'en est rien.
Je ne vais pas défendre Elon Musk, il est assez grand pour le faire lui même.
Mais la mesure ne concerne pas l'intégralité de la double authentification, mais SEULEMENT celle par SMS !
Il faut savoir que la 2FA (Two Factor Authentification) est relativement inefficace lorsqu'elle est effectuée par SMS.
Son but est de protéger l'accès à votre compte dans le cas où vous connaitriez déjà le mot de passe. La confirmation par la deuxième méthode permet alors de vérifier qu'il s'agit bien de vous.
Mais dans le cas du SMS, si vous vous faites voler votre téléphone ou votre ordinateur, il y a de (très) fortes chances que le voleur ait également accès aux SMS. Donc, au revoir la sécurité supplémentaire, votre compte est accessible aux quatre vents.
Il existe même des articles démontrant à quel point cette méthode est considérée comme insuffisante (via du Sim Swapping par exemple, même si n'est pas accessible à tout le monde). Et notez qu'il est nécessaire de fournir une donnée personnelle de plus à la plateforme concernée (reste à savoir ce que la plateforme va faire de votre numéro à l'avenir 🤷)
Par ailleurs, Google a décidé il y a plusieurs mois de passer par sa propre méthode de 2FA pour supplanter le SMS (il est toujours possible de s'en servir, mais ce n'est plus la méthode privilégiée)
Mais alors, comment on protège son compte ?
En passant par une application tiers ! Et ce n'est pas ce qui manque.
Que ce soit en natif sur iOS (via le gestionnaire de mot de passe d'Apple) ou en passant par Bitwarden, 1Password (on évitera Last Password, suite aux récentes fuites de données) ou même encore Google Authenticator ou Authy, il est possible de verrouiller son compte via la saisie d'une code tournant valable 30 secondes.
Ces applications demandent généralement une identification biométrique ou un mot de passe supplémentaire pour accéder au sésame. Vous réduisez ainsi le risque en cas de vol de votre téléphone/ordinateur (sauf si vous avez mis azerty comme mot de passe 😂)
Donc, au final, comme souvent sur les internets mondiaux, cette annonce n'est qu'une tempête dans un verre d'eau, les titres racoleurs (comme celui de votre serviteur) ou les lectures trop rapides de l'annonce s'enchainant à bon train !