Pour gérer vos consentements :
Categories: Cloud

Authentification forte : Twitter joue l’alternative

Dans le cadre d’une mise à jour de ses applications mobiles pour iPhone et Android, Twitter assouplit son système d’authentification forte à double facteur.

Introduite fin mai, la méthode actuellement en vigueur se base sur la saisie du couple identifiant / mot de passe et sur la communication, dans un deuxième temps, d’un code secret temporaire envoyé par SMS sur le téléphone mobile de l’utilisateur.

Cette couche de sécurité supplémentaire permet de bloquer les connexions effectuées à partir d’un nouveau terminal, mais aussi d’une zone géographique ou d’une IP inhabituelles.

Plus contraignante, cette technique présente néanmoins l’avantage d’impliquer un facteur physique, en l’occurrence un téléphone mobile, plus difficile à pirater qu’un vérificateur logiciel comme un clavier virtuel.

Mais il existe certaines contraintes, notamment en termes de disponibilité du réseau et de tarification des communications à l’étranger, qui peuvent perturber la réception d’un SMS.

C’est dans cet esprit que Twitter dégaine son système alternatif, basé sur une clé d’identification cryptée, stockée à même l’application.

Lorsque l’utilisateur se connecte depuis un terminal inconnu, il reçoit, sur son téléphone enregistré au préalable dans les paramètres de sécurité, une notification qui l’invite à approuver – ou à rejeter – les requêtes de connexion.

Proche de Google Authenticator, l’outil est dépendant d’une connexion Internet (pas de générateur de code hors ligne), mais il a l’avantage de fonctionner dans le monde entier, sans les éventuelles restrictions imposées par les opérateurs télécoms.

Il est toutefois fort probable qu’à terme, les méthodes actuelles d’authentification à double facteur laissent place à une dimension essentiellement physique dans la sécurisation des connexions.

Pour pallier la faiblesse constatée des certificats électroniques, on peut notamment penser aux puces RFID, aux SmartCards et aux lecteurs d’empreintes digitales, qui jouissent d’un succès encore modéré.

Google pense plutôt aux clés USB, avec la YubiKey.

Cette puce contiendrait plusieurs informations d’identification, notamment une clé de cryptage qu’elle communiquerait aux serveurs de Google pour reconnaître l’utilisateur et lui permettre d’accéder automatiquement à son compte, sans avoir à saisir son mot de passe personnel.

Il s’agit là d’une initiative isolée, mais le groupe Internet de Mountain View compte bien en stimuler l’adoption à grande échelle.

—— A voir aussi ——
Quiz ITespresso.fr : que savez-vous de Twitter ?

Crédit illustration : Bedrin – Shutterstock.com

Recent Posts

Cybersécurité : attention aux QR codes dans les PDF

Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…

20 heures ago

Windows 11 : une mise à jour majeure apporte de nouvelles fonctionnalités

Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…

1 mois ago

Microsoft 365 : comment Copilot se déploie dans toutes les applications

L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…

2 mois ago

PC Copilot + : Microsoft veut garder Recall

Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…

2 mois ago

Windows 11 : comment Microsoft va réduire la taille des mises à jour

Comment réduire la taille des mises à jour de Windows 11 ? Microsoft annonce la…

4 mois ago

Windows 11 : comment Bloc-notes va remplacer WordPad

Déjà doté de la sauvegarde automatique, d'un compteur de caractères et de Copilot, Bloc-notes embarque…

4 mois ago