Twitter a annoncé que les utilisateurs pourront enfin désactiver l’authentification à deux facteurs (2FA) par SMS pour leurs comptes, et utiliser une méthode alternative uniquement, comme une application d’authentification mobile à code unique (OTP) ou une clé de sécurité matérielle.
Jusqu’à aujourd’hui, c’était impossible.
Si les utilisateurs voulaient utiliser le 2FA pour leur compte Twitter, ils devaient enregistrer un numéro de téléphone et activer la méthode 2FA par SMS, qu’ils le souhaitent ou non.
publicité
La fameuse technique de SIM Swaps
Les utilisateurs qui voulaient utiliser une application d’authentification mobile OTP ou une clé de sécurité matérielle devaient d’abord activer la 2FA par SMS, et ils ne pouvaient pas la désactiver.
Même si l’utilisateur choisissait d’utiliser une clé de sécurité, la méthode 2FA par SMS était toujours active et exposait le compte à des attaques connues sous le nom de SIM swaps.
Les pirates qui connaissaient le mot de passe d’un utilisateur effectuaient un échange de carte SIM pour pirater temporairement le numéro de téléphone d’un utilisateur, contournaient la 2FA par SMS, puis prenaient le contrôle du compte de cet utilisateur.
Tout a changé le 30 août dernier
Au cours des deux dernières années, de nombreux comptes très médiatisés ont été piratés de cette façon, mais Twitter n’a jamais changé d’avis sur sa décision de rendre obligatoire la 2FA par SMS. Tout a changé le 30 août dernier, cet été, lorsque des pirates ont utilisé une attaque de SIM swap pour accéder au compte Twitter de Jack Dorsey, le PDG de Twitter.
Bien que les pirates n’aient pas contourné le 2FA dans le cas de cette attaque, ils ont montré concrètement les dangers de l’échange de carte SIM au PDG de Twitter et à son équipe de sécurité.
A partir d’aujourd’hui, les utilisateurs peuvent enfin désactiver la 2FA par SMS, et opter pour une méthode 2FA plus sûre.
Supprimer le numéro de téléphone associé à votre compte
Cela signifie également que les utilisateurs de Twitter peuvent maintenant supprimer le numéro de téléphone associé à leur compte, tout en continuant à utiliser le 2FA, ce qui n’était pas possible auparavant.
Cela élimine également les scénarios dans lesquels les pirates qui échangent les cartes SIM et qui ne connaissent pas le mot de passe d’un utilisateur peuvent utiliser la fonction de récupération de mot de passe par SMS pour pirater des comptes.
Twitter a annoncé la fonctionnalité aujourd’hui, mais elle est à l’essai depuis plus d’une semaine, comme l’a remarqué un utilisateur au cours du week-end.
Source : “ZDNet.com”
Comments