Twitter a ajouté la possibilité de s’authentifier via des services utilisant des jetons matériels tels que YubiKey de Yubico.
Annoncé à la fin d’un article de blog concernant les efforts du réseau social pour dissuader les spams et les bots malveillants, cette méthode constitue une amélioration concrète de la sécurité pour les utilisateurs de Twitter qui utilisent ce type de fonctionnalité de sécurité avec d’autres services.
L’entreprise a lancé la vérification de connexion par SMS il y a presque cinq ans, mais depuis lors, elle a été plutôt lente à évoluer avec son temps. De plus, il est admis depuis un certain temps que l’authentification par SMS est de moins en moins sécurisée, et ce pour plusieurs raisons : elle est vulnérable via l’application mobile, en attaquant le réseau, ou via la fraude de type SIM Swap.
Il y a six mois, après que cette fonctionnalité ait été activée par d’autres entreprises technologiques du web telles que Google et Facebook, la vérification de connexion est devenue possible sur Twitter grâce à l’utilisation d’applications tierces telles que Google Authenticator, Duo Mobile ou Authy.
Cette possibilité a maintenant été étendue aux clés de sécurité FIDO Universal 2nd Factor (U2F). En les utilisant, il est beaucoup plus difficile de pirater un compte, et ce même lorsqu’un cybercriminel est en possession du nom d’utilisateur et du mot de passe, car ils ont également besoin de détenir physiquement le jeton.
Vous trouverez le paramètre Twitter pour activer cette option en vous rendant dans la rubrique Paramètres et confidentialité>Compte>Passer en revue vos méthodes de vérification de connexion> Vérification de connexion.
Lorsque nous avons essayé d’activer cette option sur un compte actif, sans aucune méthode de vérification en place, Twitter nous a demandé d’activer d’abord la vérification par SMS avec le numéro de portable enregistré, après avoir confirmé notre mot de passe. Une fois cette étape terminée, les options permettant d’utiliser une application d’authentification ou un jeton sont apparues.
Il s’agit d’un contrôle d’authentification visant à mettre en place une authentification encore plus forte, vraisemblablement pour éviter que des cybercriminels ne pénètrent dans les comptes et ne bloquent complètement les utilisateurs.
Il est plus sûr d’enregistrer un code de sauvegarde pour se prémunir contre la possibilité de perdre la clé ou de ne pas avoir accès à l’application d’authentification mobile. Vous pouvez imprimer une liste de codes à garder en lieu sûr. Notez également que l’activation de la vérification de connexion nécessite l’utilisation d’un mot de passe temporaire unique sur d’autres ordinateurs de bureau ou applications : votre nom d’utilisateur et votre mot de passe habituels ne fonctionneront pas !
Voici un extrait du guide de vérification de connexion sur Twitter :
Par exemple, si vous avez activé la vérification de connexion dans les paramètres de votre compte sur le web et que vous devez vous connecter à l’application Twitter pour Mac, vous devrez utiliser un mot de passe temporaire pour le faire.
J’ai mis en place l’authentification via Chrome sans aucun problème, mais l’enregistrement de la clé U2F n’a pas pu être finaliser sur Firefox. Je ne sais pas ce qu’il s’est passé (Firefox supporte l’authentification U2F). J’ai demandé des éclaircissements à ce sujet à Twitter, ainsi que de plus amples détails sur la manière dont les équipements mobiles prendront en charge l’authentification du hardware Twitter lorsque ces jetons ne sont pas pris en charge par NFC. Je mettrai à jour cet article en cas de retour (si j’en obtiens).
Twitter ne sait pas non plus combien d’utilisateurs ont eu des difficultés pour activer l’authentification sous quelque forme que ce soit.
A en croire l’expérience de Google en la matière, très peu !
C’est vraiment dommage. L’authentification est une excellente amélioration en matière de sécurité, peu onéreuse, et que tout le monde devrait pouvoir utiliser !
Billet inspiré de Twitter introduces another way for you to better secure your account, sur Sophos nakedsecurity.