Categories: Cloud

Authentification forte : Twitter joue l’alternative

Dans le cadre d’une mise à jour de ses applications mobiles pour iPhone et Android, Twitter assouplit son système d’authentification forte à double facteur.

Introduite fin mai, la méthode actuellement en vigueur se base sur la saisie du couple identifiant / mot de passe et sur la communication, dans un deuxième temps, d’un code secret temporaire envoyé par SMS sur le téléphone mobile de l’utilisateur.

Cette couche de sécurité supplémentaire permet de bloquer les connexions effectuées à partir d’un nouveau terminal, mais aussi d’une zone géographique ou d’une IP inhabituelles.

Plus contraignante, cette technique présente néanmoins l’avantage d’impliquer un facteur physique, en l’occurrence un téléphone mobile, plus difficile à pirater qu’un vérificateur logiciel comme un clavier virtuel.

Mais il existe certaines contraintes, notamment en termes de disponibilité du réseau et de tarification des communications à l’étranger, qui peuvent perturber la réception d’un SMS.

C’est dans cet esprit que Twitter dégaine son système alternatif, basé sur une clé d’identification cryptée, stockée à même l’application.

Lorsque l’utilisateur se connecte depuis un terminal inconnu, il reçoit, sur son téléphone enregistré au préalable dans les paramètres de sécurité, une notification qui l’invite à approuver – ou à rejeter – les requêtes de connexion.

Proche de Google Authenticator, l’outil est dépendant d’une connexion Internet (pas de générateur de code hors ligne), mais il a l’avantage de fonctionner dans le monde entier, sans les éventuelles restrictions imposées par les opérateurs télécoms.

Il est toutefois fort probable qu’à terme, les méthodes actuelles d’authentification à double facteur laissent place à une dimension essentiellement physique dans la sécurisation des connexions.

Pour pallier la faiblesse constatée des certificats électroniques, on peut notamment penser aux puces RFID, aux SmartCards et aux lecteurs d’empreintes digitales, qui jouissent d’un succès encore modéré.

Google pense plutôt aux clés USB, avec la YubiKey.

Cette puce contiendrait plusieurs informations d’identification, notamment une clé de cryptage qu’elle communiquerait aux serveurs de Google pour reconnaître l’utilisateur et lui permettre d’accéder automatiquement à son compte, sans avoir à saisir son mot de passe personnel.

Il s’agit là d’une initiative isolée, mais le groupe Internet de Mountain View compte bien en stimuler l’adoption à grande échelle.

—— A voir aussi ——
Quiz ITespresso.fr : que savez-vous de Twitter ?

Crédit illustration : Bedrin – Shutterstock.com

Recent Posts

PC Copilot+ : avec Arm ou x86 ?

Trop tôt pour envisager d'acquérir un PC Copilot+ ? Les roadmaps d'Intel et d'AMD peuvent…

1 semaine ago

Copilot+ : une sélection de PC convertibles

Dévoilés lors du CES 2025, les PC Copilot+ au format convertible restent encore limitée dans…

3 semaines ago

Avec Gemini intégré à Google Workspace, les prix s’envolent

Les fonctionnalités de Gemini sont intégrées dans la suite bureautique Google Workspace. Conséquence : les…

3 semaines ago

PC Copilot+ : c’est parti pour la transformation du parc

Au CES 2025, les principaux constructeurs ont annoncé l'arrivée des ordinateurs de bureau dotés de…

1 mois ago

PC Copilot+ : une porte d’entrée vers l’ IA locale ?

Equipés de NPU, les PC Copilot+ peuvent déployer des LLM en local. Un argument suffisant…

2 mois ago

PCIe 5.0 : La révolution des cartes-mères est-elle en marche ?

Que vous soyez un novice dans le domaine informatique, ou avec un profil plus expérimenté,…

2 mois ago