Comment la nouvelle option 2FA de Twitter pourrait rendre votre compte plus sécurisé

Après près d'une demi-décennie de augmentation de la cybercriminalité et une année gâchée par violations très médiatisées, Twitter propose une nouvelle fonctionnalité de sécurité qui pourrait aider à atténuer le risque d'attaques ciblées sur les comptes d'utilisateurs.

Selon un article de blog publié le 30 juin, le géant des médias sociaux offre désormais aux utilisateurs la possibilité de faire des clés de sécurité physiques leur unique méthode de double facteur authentification (2FA): une mesure qui pourrait aider à sécuriser les comptes tout en éliminant l'exigence précédente d'une sauvegarde plus faible méthodes.

Pourtant, les experts avertissent que chaque méthode de 2FA comporte des compromis.

"Le problème est qu'aucune de ces [méthodes d'authentification] n'est vraiment aussi absolue que les gens le pensent", Joseph Steinberg, expert en cybersécurité depuis 25 ans et auteur de plusieurs livres dont La cybersécurité pour les nuls, a déclaré Lifewire par téléphone.

Clés de sécurité physiques, expliquées

Selon Steinberg, il existe plusieurs types d'authentification multifacteur, chacun avec ses propres avantages et inconvénients.

Les clés de sécurité physiques, comme celles proposées par Twitter, sont de petits appareils que les utilisateurs doivent se connecter physiquement ou se synchroniser avec leurs appareils personnels afin de se connecter à leurs comptes, un peu comme clés de voiture. Cela offre l'avantage d'empêcher les pirates d'accéder à distance aux comptes par le biais d'attaques de phishing ou de logiciels malveillants.

Selon le billet de blog de Twitter, les clés "peuvent différencier les sites légitimes des sites malveillants et bloquer les tentatives de phishing que les SMS ou les codes de vérification ne feraient pas".

Théoriquement, les clés offrent la solution de sécurité la plus solide pour les utilisateurs, mais elles sont également l'une des solutions les moins pratiques pour les utilisateurs quotidiens.

"L'inconvénient majeur est que vous devez désormais emporter la clé en plus de votre téléphone", a expliqué Steinberg. "Donc, si vous voulez tweeter depuis la plage, vous emportez votre téléphone et la clé de sécurité."

Steinberg a également averti que les clés de sécurité physiques risquaient d'être perdues, ce qui pourrait entraîner le verrouillage de l'utilisateur de son propre compte.

Équilibrer les compromis

Les méthodes d'authentification moins sécurisées, comme l'envoi d'un code de connexion par SMS à votre téléphone portable, sont souvent plus pratiques pour les utilisateurs que les clés de sécurité physiques, mais elles peuvent comporter un risque plus élevé.

Steinberg a déclaré que les pirates peuvent intercepter les codes SMS grâce à des méthodes telles que Échanges de SIM, où les voleurs volent le numéro de téléphone d'un utilisateur et reçoivent les codes sur leur propre appareil.

"Si vous comptez sur les SMS et que quelqu'un vole votre numéro de téléphone et commence à recevoir vos SMS, vous avez un problème parce qu'ils vont obtenir vos codes et ils vont pouvoir réinitialiser vos mots de passe", Steinberg mentionné.

Les applications d'authentification qui génèrent un code de connexion à usage unique sont une autre méthode populaire de 2FA, mais elles comportent toujours le risque d'être consultées par des pirates.

"Si un utilisateur se connecte à un site de phishing et qu'il entre ce code, le hameçonneur dispose alors de ce code et peut le transmettre au vrai site immédiatement », a expliqué Steinberg, ajoutant qu'il existe également un risque de perdre le téléphone et donc de perdre l'accès à l'application.

Des méthodes encore plus complexes, comme l'authentification biométrique des empreintes digitales, peuvent comporter des risques.

"Vos empreintes digitales sont partout sur le téléphone à force de le toucher", a déclaré Steinberg, expliquant que les voleurs sophistiqués pouvez soulever vos empreintes et les utiliser pour vous connecter à un appareil. "Le capteur d'empreintes digitales n'a pas de moyen de déterminer s'il s'agit d'un humain qui y met son doigt, par rapport à quelqu'un qui met une image d'une empreinte digitale qui a été relevée du téléphone."

Peser les avantages

En raison de l'inconvénient de transporter une clé de sécurité physique supplémentaire, Steinberg a déclaré qu'il ne voyait pas la plupart des utilisateurs quotidiens faire le changement proposé par Twitter.

"Mon expérience a été que même les choses qui sont un petit problème en matière de sécurité, à moins que quelqu'un n'ait été violé et ait subi de graves conséquences - il est peu probable que quelqu'un change maintenant alors qu'il existe des mécanismes plus faciles qui sont considérés comme suffisamment bons », Steinberg mentionné.

Pourtant, Steinberg a déclaré que des groupes d'utilisateurs spécifiques, comme les entreprises et les particuliers, pourraient bénéficier de clés de sécurité physiques.

Bien qu'il n'y ait pas de solution parfaite pour sécuriser le compte d'un utilisateur sur les réseaux sociaux, Steinberg a souligné que toute forme de l'authentification est meilleure que rien, en raison du fait que les comptes sociaux sont souvent utilisés pour se connecter à d'autres comptes connectés à travers plates-formes.

"Si vous n'utilisez pas l'authentification à deux facteurs aujourd'hui pour vos comptes de réseaux sociaux, activez-la", a déclaré Steinberg.