La controverse est née fin février : sur Twitter, la double authentification par SMS devient payante. Cette méthode de protection d’un compte sera réservée à l’avenir à la clientèle de Twitter Blue. Toutefois, deux solutions restent gratuites pour tout le monde : la double authentification avec une application et la double authentification avec une clé de sécurité.
Cette décision de Twitter a fait naître un débat sur son bien-fondé : est-ce, in fine, une bonne idée du point de vue de la sécurité informatique ? L’argument s’entend : l’authentification avec une application ou une clé de sécurité est plus sûre que celle par SMS. On peut toujours se dire qu’il va y avoir une montée en compétence chez les internautes ne voulant pas payer Twitter Blue.
Il y a aussi une autre réalité : les internautes ne connaissent pas bien ce qu’est la double authentification (voire, pas du tout) et rares sont celles et ceux qui s’en servent. Seuls 2,6 % des utilisateurs de Twitter ont activé ce système. Et sur ces 2,6 %, 74 % utilisent l’option d’envoi par SMS. Or, il est à craindre que tout le monde ne basculera pas le jour J, ce qui diminuera la sécurité générale.
Il est donc très important pour les internautes sur Twitter de remplacer la double authentification par SMS. En la matière, on vous recommande de passer par la première solution, avec l’application raccordée à votre compte (trois se distinguent : Google Authenticator, Microsoft Authenticator et Authy, mais on peut aussi citer le Trousseau d’iOS).
Cela étant, la double authentification ne fait pas tout. Pour sécuriser fortement votre compte Twitter, il y a d’autres gestes à appliquer.
Mieux sécuriser son compte Twitter avec ces 9 gestes
Ces conseils sont déjà largement connus, ne serait-ce que dans le secteur de l’IT et de la sécurité informatique. Il ne s’agit pas de dire que leur seule application suffit à écarter toutes les menaces et pour toujours. Mais plus les internautes appliquent convenablement ces consignes, plus la surface du risque est réduite. Et, complique de fait la vie des pirates informatiques.
1. Activez la double authentification sur Twitter. C’est la méthode qui apporte le plus gros gain en matière de sécurité informatique. Cela consiste à inscrire un code, en plus du mot de passe, qui est reçu soit par SMS, soit généré avec une application mobile préalablement synchronisée avec le compte Twitter.
2. Utilisez un mot de passe unique pour Twitter. Vous ne vous aidez pas en utilisant un même mot de passe-partout. Si celui-ci est trouvé d’une façon ou d’une autre, il déverrouille tout. Utilisez un mot de passe solide. Vous avez du mal à tous les retenir ? Alors, passez à un gestionnaire de mots de passe : il est toujours plus fiable que des mémos ou que votre mémoire.
3. Ne partagez pas votre mot de passe Twitter. Il faut vérifier qui a accès au mot de passe et en limiter drastiquement le nombre. En fait, celui-ci ne devrait même pas être partagé. Il existe des mécanismes qui servent à partager l’accès à un compte Twitter sans donner le mot de passe. C’est le cas de TweetDeck, avec des droits plus ou moins larges selon les personnes.
4. Évacuez les applications tierces. Un pirate, s’il ne peut pas passer par la porte, va entrer par la fenêtre. Même avec un mot de passe respectant les règles et la double authentification, votre compte peut être vulnérable parce que vous avez donné des droits d’accès (écriture, lecture, suppression, etc.) à une application tierce. Passez-les en revue et supprimez-les quand elles ne servent plus.
5. Sécurisez bien ces applications tierces. Si vous devez quand même en utiliser, il faut s’assurer qu’elles poseront le moins de problèmes : utilisent-elles un bon mot de passe, s’il y en a un ? Qui y a accès ? Sont-elles bien à jour ? Les droits octroyés sont-ils suffisamment calibrés ? Avez-vous activé toutes les options de sécurité, si elles sont proposées ?
6. Déconnectez-vous des sessions anciennes. Plusieurs terminaux peuvent garder un accès actif à votre session Twitter, parce que vous vous êtes connecté dessus en passant par eux. C’est le moment de passer en revue les accès encore actifs et de les couper — par exemple, si un ancien smartphone qui avait accès au compte, mais que vous avez cédé ou revendu.
Enlevez les applications tierces, coupez les sessions anciennes.
7. Verrouillez votre PC ou votre smartphone. Le terminal qui sert à accéder à Twitter est-il protégé, avec un mot de passe ou un dispositif biométrique (empreinte digitale, reconnaissance faciale, etc.) ? Les attaques contre votre compte peuvent aussi se faire en ayant un accès physique à votre ordinateur — c’est plus rare, mais ce n’est pas impossible.
8. Ne cliquez sur rien dans les mails. Les tentatives d’hameçonnage (phishing) utilisent des mails pour dérober votre identifiant et votre mot de passe. Bien sûr, avec la double authentification, vous avez une protection en plus, mais autant avoir les bonnes pratiques : ne confiez aucune de ces données sur un site auquel vous avez eu accès via un lien envoyé par mail.
9. Empêchez la réinitialisation trop simple du mot de passe. Twitter propose un outil qui sert à ajouter une protection, en bloquant la réinitialisation du mot de passe. Plus exactement, celle-ci est conditionnée à la fourniture d’informations en plus pour éviter les comptes dérobés en changeant leur mot de passe.
Cette liste, qui comporte déjà neuf actions à exécuter, pourrait sans doute encore être allongée. En les appliquant scrupuleusement toutefois, l’exposition aux menaces courantes contre votre compte Twitter sera largement réduite. Notez que ces conseils peuvent se retrouver plus ou moins dans d’autres services en ligne. N’hésitez pas à les utiliser ailleurs.
Abonnez-vous à Numerama sur Google News pour ne manquer aucune info !
