Authentification forte : Twitter joue l’alternative

Dans le cadre d’une mise à jour de ses applications mobiles pour iPhone et Android, Twitter assouplit son système d’authentification forte à double facteur.

Introduite fin mai, la méthode actuellement en vigueur se base sur la saisie du couple identifiant / mot de passe et sur la communication, dans un deuxième temps, d’un code secret temporaire envoyé par SMS sur le téléphone mobile de l’utilisateur.

Cette couche de sécurité supplémentaire permet de bloquer les connexions effectuées à partir d’un nouveau terminal, mais aussi d’une zone géographique ou d’une IP inhabituelles.

Plus contraignante, cette technique présente néanmoins l’avantage d’impliquer un facteur physique, en l’occurrence un téléphone mobile, plus difficile à pirater qu’un vérificateur logiciel comme un clavier virtuel.

Mais il existe certaines contraintes, notamment en termes de disponibilité du réseau et de tarification des communications à l’étranger, qui peuvent perturber la réception d’un SMS.

C’est dans cet esprit que Twitter dégaine son système alternatif, basé sur une clé d’identification cryptée, stockée à même l’application.

Lorsque l’utilisateur se connecte depuis un terminal inconnu, il reçoit, sur son téléphone enregistré au préalable dans les paramètres de sécurité, une notification qui l’invite à approuver – ou à rejeter – les requêtes de connexion.

Proche de Google Authenticator, l’outil est dépendant d’une connexion Internet (pas de générateur de code hors ligne), mais il a l’avantage de fonctionner dans le monde entier, sans les éventuelles restrictions imposées par les opérateurs télécoms.

Il est toutefois fort probable qu’à terme, les méthodes actuelles d’authentification à double facteur laissent place à une dimension essentiellement physique dans la sécurisation des connexions.

Pour pallier la faiblesse constatée des certificats électroniques, on peut notamment penser aux puces RFID, aux SmartCards et aux lecteurs d’empreintes digitales, qui jouissent d’un succès encore modéré.

Google pense plutôt aux clés USB, avec la YubiKey.

Cette puce contiendrait plusieurs informations d’identification, notamment une clé de cryptage qu’elle communiquerait aux serveurs de Google pour reconnaître l’utilisateur et lui permettre d’accéder automatiquement à son compte, sans avoir à saisir son mot de passe personnel.

Il s’agit là d’une initiative isolée, mais le groupe Internet de Mountain View compte bien en stimuler l’adoption à grande échelle.

—— A voir aussi ——
Quiz ITespresso.fr : que savez-vous de Twitter ?

Crédit illustration : Bedrin – Shutterstock.com