Twitter supprime l’authentification à deux facteurs (2FA) des messages texte pour les non-abonnés

Twitter a annoncé que seuls les utilisateurs de Twitter Blue, l’abonnement premium de la plateforme, auront accès à l’authentification à deux facteurs (2FA) par SMS à partir du 20 mars. Cette décision a suscité des inquiétudes concernant la sécurité des comptes de Twitter, car la 2FA permet aux utilisateurs d’ajouter une couche de sécurité supplémentaire à leurs comptes en ligne, au-delà des mots de passe. Les utilisateurs de 2FA par SMS qui ne sont pas abonnés à Twitter Blue ont reçu une alerte dans l’application leur demandant de supprimer la méthode avant la date limite pour éviter de perdre l’accès à leur compte.

Les raisons de la suppression de l’authentification par SMS

Selon Elon Musk, propriétaire et directeur général de Twitter, la suppression de l’authentification par SMS est due aux coûts élevés que Twitter doit supporter pour cette méthode. Musk a tweeté que Twitter avait été « arnaqué » par les compagnies de téléphone et payait plus de 60 millions de dollars (49 millions de livres sterling) par an pour de « faux messages SMS 2FA ». Il a également déclaré que son application d’authentification, qui resterait gratuite, était plus sécurisée.

Les experts en sécurité et la préoccupation des utilisateurs

Certains experts en sécurité ont averti que l’authentification par SMS peut être moins sécurisée que d’autres méthodes, comme les applications d’authentification, mais qu’elle est restée populaire car elle est facile à utiliser. Rachel Tobac, une experte en sécurité, a tweeté que la décision de Twitter était « angoissante » et que la suppression automatique des utilisateurs de la méthode SMS 2FA qui ne sont pas abonnés à Twitter Blue les exposait au risque. Elle a cité un rapport Twitter publié en juillet 2022 montrant que seulement 2,6 % des comptes Twitter actifs avaient activé la 2FA entre juillet 2021 et décembre 2021, mais que parmi ceux-ci, 74,4% utilisaient la méthode SMS.

Le professeur Alan Woodward, de l’Université de Surrey, a déclaré qu’il préférerait que les gens utilisent quelque chose plutôt que rien, ce qui pourrait bien être ce que les moins férus de technologie sont tentés de faire. Il a également déclaré que la décision de Musk de décourager efficacement 2FA pour de nombreux utilisateurs semblait être une fausse économie terriblement myope.

Les alternatives à l’authentification par SMS

Twitter recommande aux utilisateurs de 2FA par SMS qui ne sont pas abonnés à Twitter Blue d’envisager d’utiliser une application d’authentification ou une méthode de clé de sécurité à la place. Ces méthodes nécessitent que les utilisateurs aient la possession physique de la méthode d’authentification et constituent un excellent moyen de garantir la sécurité de leur compte. Cependant, ces méthodes peuvent être plus complexes à utiliser que l’authentification par SMS.

En conclusion, la suppression de l’authentification par SMS pour les non-abonnés de Twitter Blue a suscité des inquiétudes concernant la sécurité des comptes Twitter, car cette méthode est facile à utiliser et reste populaire malgré les préoccupations concernant sa sécurité. La décision de Twitter de ne proposer l’authentification par SMS qu’aux abonnés de Twitter Blue a été motivée par des coûts élevés et des abus de cette méthode par des « mauvais acteurs » du blog Twitter.

Il est recommandé aux utilisateurs de 2FA par SMS qui ne sont pas abonnés à Twitter Blue d’utiliser une application d’authentification ou une méthode de clé de sécurité à la place. Bien que ces méthodes puissent être plus complexes à utiliser que l’authentification par SMS, elles offrent une sécurité accrue et sont moins susceptibles d’être compromises.

La décision de Twitter de supprimer l’authentification par SMS soulève des questions plus larges sur la sécurité en ligne et la responsabilité des entreprises de protéger les données de leurs utilisateurs. Les utilisateurs doivent être conscients des risques liés à l’utilisation de méthodes de sécurité moins sûres et prendre des mesures pour protéger leurs comptes en ligne. Les entreprises, quant à elles, doivent prendre des mesures pour garantir la sécurité des comptes de leurs utilisateurs et faire en sorte que les méthodes de sécurité proposées soient accessibles à tous, quelle que soit leur capacité à payer un abonnement premium.