Le lundi 20 mars 2023, Twitter a supprimé la possibilité, pour ses utilisateurs, de sécuriser leur compte via l’envoi d’un code par SMS.
Qu’est-ce qui a motivé le réseau à cette petite contre-révolution ?
La 2FA amputée des textos
🖥️ Le 15 février 2023, le blog officiel de Twitter publiait un article titré An update on two-factor authentication using SMS on Twitter. On y parle 2FA – acronyme pour two-factor authentication – et on y liste les trois possibilités qui, jusque-là, permettaient à un utilisateur de renforcer la sécurité de son espace personnel :
- text message
- authentication app
- security key
« Cette double authentification est un outil permettant de sécuriser l’accès à un compte« , rappelle Le Monde. « En plus du couple identifiant/mot de passe, l’utilisateur reçoit un SMS sur son téléphone mobile comportant un mot de passe pour déverrouiller son compte« , explique le journal. Et de souligner que « peu d’internautes l’utilisent : selon le rapport 2021 de Twitter sur sa sécurité, cette option est activée par seulement 2,6 % des usagers du réseau social« .
Comment fonctionne la fraude appelée SMS pumping ?
📲 Si Twitter a choisi de bannir la méthode par SMS, c’est à cause des fraudes liées à ces messages. Surnommée « SMS pumping« , la technique consiste pour des opérateurs mobiles peu scrupuleux (ou certains de leurs employés) à exploiter de faux comptes créés sur une plate-forme pour générer l’envoi d’un grand nombre de SMS de confirmation de connexion, puis à facturer ces derniers à la plate-forme.
Très coûteuse pour Twitter – Elon Musk himself a évoqué la perte de 60 millions de dollars pour sa firme fraîchement rachetée –, la méthode par SMS est donc définitivement enterrée pour le leader du micro-blogging… sauf pour les twittos qui paieront un abonnement Twitter Blue. Pour les autres, deux autres solutions restent disponibles :
- le recours à des applications d’authentification, à l’instar de Google Authenticator
- l’utilisation d’une clef physique de sécurité comme Google Titan par exemple
0 commentaire