Parmi les méthodes d’authentification à plusieurs facteurs proposées par Twitter, le réseau social annonce un changement de taille pour l’authentification à deux facteurs par SMS. Elle est désormais réservée aux seuls abonnés à Twitter Blue qui donne notamment droit à la coche bleue.
De fait, l’authentification à deux facteurs par SMS pour Twitter devient payante. En France, l’abonnement Twitter Blue est au prix de 9,60 € par mois via la version web et 11 € par mois par le biais des applications Android et iOS de Twitter.
Pour éviter de perdre l’accès à leur compte, les utilisateurs concernés ne disposant pas d’un abonnement à Twitter Blue sont invités à supprimer l’authentification à deux facteurs par SMS avant le 19 mars prochain.
La justification de Twitter
» Bien qu’il s’agisse historiquement d’une forme populaire d’authentification à deux facteurs, nous avons malheureusement vu des acteurs malveillants utiliser et abuser de l’authentification à deux facteurs basée sur le numéro de téléphone « , justifie Twitter.
» Après le 20 mars, nous n’autoriserons plus les non-abonnés à Twitter Blue à utiliser les SMS comme méthode d’authentification à deux facteurs. » En raison d’attaques de SIM swapping, l’authentification à deux facteurs par SMS est considérée comme la méthode la moins robuste pour cette couche de sécurité supplémentaire des comptes. Mais c’est acceptable pour les abonnés à Twitter Blue ? Étrange…
Propriétaire et patron de Twitter, Elon Musk souligne une escroquerie dans un tweet et écrit que le groupe perd 60 millions de dollars par an à cause de faux SMS en lien avec l’authentification à deux facteurs.
Le coût de l’envoi de SMS ?
Selon un rapport de sécurité de Twitter portant sur le deuxième semestre 2021, l’authentification à deux facteurs était active pour 2,6 % des comptes. La méthode par SMS était de loin la plus populaire à 74,4 %, contre 28,9 % pour l’application d’authentification et 0,5 % pour la clé de sécurité.
Twitter is getting scammed by phone companies for $60M/year of fake 2FA SMS messages
— Elon Musk (@elonmusk) February 18, 2023
Comme méthode de vérification, il est du reste possible de se tourner vers une application mobile d’authentification ou la clé de sécurité qui est au final la méthode recommandée.
Dans le contexte financier de Twitter, la question peut se poser de savoir si ce n’est pas aussi le coût de l’envoi de SMS qui met un terme à cette méthode pour les non-abonnés à Twitter Blue.