Commentaires : Twitter va "réduire" la sécurité pour les utilisateurs qui ne souscrivent pas son abonnement payant

Si l’on en croit la notification qui est en train de circuler, Twitter va d’ici quelques semaines supprimer l’authentification à deux facteurs par SMS… qui sera réservée aux seuls abonnés Twitter Blue.

Ca ressemble un peu à du chantage cette affaire. pas très élégant comme procédé machin musk.

3 « J'aime »

Ce n’est que la double authentification par SMS qui devient « payante ». J’en ai pas besoin, ça fait au moins 2 ans que j’utilise la double authentification avec un code généré par une app pour tout ce qui est possible (twitter, microsoft, google, steam, …).
Aegis (getaegis.app) si vous la voulez elle est gratuite et simple d’utilisation. Mais certaines fonctions requièrent des manipulations difficiles (notamment pour intégrer Steam auth dedans).

Il y a une meilleure façon de sécuriser son compte : Le supprimer. Pas de compte, pas de hackage de compte. Y’a que c’est que le père Musk comprend … Une bonne claque financière

8 « J'aime »

Musk ne cherche pas forcément à pousser vers l’offre payante, il cherche surtout à faire des économies, la double auth par SMS, cela finit par coûter cher aux entreprises.

2 « J'aime »

@Maaaash32 :
Heu comme toute application OTP, ce n’est pas ton appli qui génère le code ( elle le calcul, c’est le serveur WEB, qui en fonction de la date et l’heure attend le bon code…

bon et tant qu’on y est, vais faire un peu de pub pour l’app qui a conquis mon coeur ( pour son syteme de backup et de support de montre connecté ) :

« Payez pour sécuriser votre compte Twitter ou cassez-vous (presque) de mon réseau social », c’est en somme ce que veut ce taré de Musk, encore lui.

Faites lui un gros f**k, ne vous abonnez pas et activez gratuitement la 2FA avec une appli telle Authy, synchronisation sur tous vos périphériques mobiles et existent sous Windows, macOS, Linux, iOS, Android.

Pour le coup, c’est pas délirant comme décision : par rapport aux autres méthodes de double authentification, les SMS représentent un surcoût, donc comme l’entreprise est déficitaire, c’est assez logique de tailler dans ces surcoûts en réservant la fonctionnalité à ceux qui payent.

Et ça ne dégrade pas spécialement la sécurité, puisque les non abonnés peuvent toujours utiliser une 2FA via OTP ou clé physique.

6 « J'aime »

le SMS est-il considéré comme une authentification sécurisée ?
Si j’ai un pote qui bosse pour bouygues ou orange, peut-il, pendant 5 mn, rediriger n’importe quel tél vers mon tel ?

1 « J'aime »

J’ai pas twiter, mais si tout le monde pouvait virer cette foutu identification à double facteur, ou alors laisser le choix ça serait super.

J’en ai marre de devoir toujours sortir mon téléphone pour aller sur tel ou tel site…

2 « J'aime »

Ca reste un assez bon garde fou (certes pourvu de failles), de toute façon ça restera toujours plus sécurisée qu’un compte dépourvu d’A2F

Dans ce cas aurait-il été préférable de supprimer totalement l’A2F par SMS de Twitter ?

Parce que tout ce que fait Elon Musk c’est d’« élitiser » la fonction sous couvert d’un argument qui ne tient pas la route (comme quoi des opérateurs peu scrupuleux abuserait de cette fonction pour gagner de l’argent au détriment de Twitter, argument pour le moins ridicule)

1 « J'aime »

Je partage l’avis de certain, l’authentification par SMS a un coût et vous avez d’autres possibilités, donc ce n’est pas délirant.

Pour répondre à @qotin zom … tout à fait.
Cas réel, envoi d’un mms à un contact personnel.

Pas de réponse…. En parlant avec la personne, elle indique avoir répondu pourtant.

Je regarde le téléphone et remarque que le numéro d’envoi du mms ne correspondait pas à celui utilisé…

On appel ce numéro, c’était une personne du même opérateur d’envoi…

Classe hein ?

C’était une photo, pas de code sensible ou autre mais très classe quoi.

Le nom de l’opérateur en question commençait par un « B »

Pareil. Marre de donner son numéro de téléphone. Avec les banques c’est devenu obligatoire. Ça n’arrange pas ceux qui changent régulièrement de numéro de téléphone.

Comme toute application OTP c’est bien l’appli qui genere le code. Calculer/generer c’est pareil.
Tu peux t’en assurer en etant completement deconnecte d’internet ailleurs. C’est un des avantages de cette solution

Des sources ou simple spéculation ?

Car les serveurs au sens large ça coûte évidemment cher aux entreprises mais ça fait partie des charges professionnelles, et la double authentification n’est qu’un simple rôle que beaucoup de serveurs peuvent assurer secondairement quand ils sont peu sollicités. D’ailleurs c’est ce que d’autres entreprises font, ce qui a pour conséquence de parfois devoir attendre 30 secondes avant de recevoir le SMS plutôt qu’instantanément (rien d’insurmontable).

De plus la double authentification ne requiert pas une puissance de calcul colossale, surtout que peu de gens se connectent à un nouvel appareil tous les 4 matins, une fois les appareils de confiance enregistrés on est tranquille.

Je pense surtout que Musk veut créer une hiérarchie chez les utilisateurs de Twitter avec d’un côté ceux qui payent en ayant de beaux badges « certifiés » + fonctionnalités supplémentaires, et de l’autre la plèbe qui est bridée en espérant qu’elle finisse par craquer et passer à la caisse. Sachant la place qu’à Twitter sur internet et le nombre de personnes qui y sont droguées, je ne doute pas que cela fonctionnera.

Aucun rapport avec les serveurs… envoyer un SMS coûte de l’argent ! Il faut payer les opérateurs.

Le tarif moyen de base, c’est 9 centimes le SMS. Les grosses entreprises comme Twitter, FB et autres, doivent les payer certainement autour de 4-5 centimes (voir moins selon les opérateurs et pays).
Tu multiplies par les centaines de millions d’utilisateurs qui les utilisent plusieurs fois par mois… ça commence à faire un joli chiffre.

Effectivement, j’ai oublié les opérateurs. Je pensais que tu parlais exclusivement des serveurs, autant pour moi. Je ne connaissais pas les prix, mais ça peut en effet grimper vite.

Malgré tout je pense que cela reste totalement à la portée d’un géant comme Twitter et que ce genre de changement est motivé par autre chose qu’une simple économie de SMS, m’enfin bon…

Si le but n’était pas économique, je pense qu’ils auraient désactivé toute la 2FA ou les méthodes de 2FA les plus avancées (comme le fait par exemple Bitwarden, qui réserve l’authentification par clé physique aux abonnés) pour les non abonnés.

Là ils désactivent vraiment juste la 2FA par SMS, qui n’est pas plus sûre que les autres méthodes de 2FA et et qui pour l’écrasante majorité des utilisateurs n’est pas plus « accessible » (pour tous ceux qui ont un smartphone, l’OTP vs le SMS, ça change quasiment rien à l’usage… l’OTP est même préférable dans certains cas, puisqu’il ne dépend pas de la connexion au réseau mobile… or parmi les utilisateurs de Twitter, doit quand même pas y en avoir beaucoup qui ont seulement un téléphone basique…).