S'identifier / Créer un compte
  • Actualités
  • Dossiers
  • Tests
  • Commentaires
  • INpactiens
Publicité

Flash Info : Fêtons la TVA à 2,1 % : abonnez-vous dès 17 € par an !

Twitter teste un système de sécurité renforcée à deux étapes

Il n'est jamais trop tard pour bien faire

Secoué cette semaine par l'affaire du piratage du compte officiel de l'agence Associated Press, Twitter travaillerait depuis quelque temps sur un système de sécurité à deux étapes nous apprend Wired. Testé en interne, ce système pourrait être appliqué d'ici peu aux comptes du réseau social.

Twitter AP hack

De trop nombreux comptes piratés

Ces dernières années, les piratages et autres détournements de comptes Twitter ont été nombreux. De Barack Obama à Britney Spears, en passant par CBS, Fox News, Reuters, Justin Bieber, Selena Gomez, Joseph Blatter (FIFA), la Diplomatie Française, Burger King, Jeep, et donc AP avant-hier, les cas ne manquent pas. Sans même parler des 250 000 comptes Twitter compromis au début de l'année. La plupart des piratages ont été sans grandes conséquences, mais les cas d'AP ou encore de Fox News ont été plus problématiques.

Toutes ces attaques affaiblissent la confiance que l'on peut donner à Twitter. Ce dernier se devait donc de réagir. Outre le passage classique du nom et du mot de passe, une seconde authentification basée sur l'envoi d'un SMS sur le téléphone de l'utilisateur pourrait être exploitée par Twitter nous apprend Wired. Un système souvent utilisé par les banques lors d'un paiement par exemple.

 

Certains sites de courriels ou encore de réseaux sociaux remarquant des changements de comptes sur la même machine, une nouvelle localisation de l'utilisateur ou encore une activation sur un tout nouvel appareil, exploitent aussi ce système afin de réduire les risques de détournements. Nous pourrions d'ailleurs faire remarquer que Twitter aurait pu mettre en place une telle politique depuis longtemps.

 

Fox News Twitter

 

Ce système de sécurité sera-t-il généralisé ou juste imposé aux comptes certifiés connus, les plus susceptibles d'être attaqués ? Difficile à dire pour le moment, mais dès lors que d'autres sites l'exploitent déjà pour n'importe lequel de leurs utilisateurs, il n'y a pas de raison que cette politique soit limitée. Il faut en tout cas s'attendre à des tests auprès de certains comptes dans les semaines ou mois à venir. Le système, sans être parfait, permettra au moins d'éviter qu'un banal phishing suffise pour annoncer un attentat à la Maison Blanche et l'assassinat de Barack Obama sur le compte officiel de la plus grande agence de presse au monde.

 

Mais selon Sean Sullivan, conseiller en sécurité chez F-Secure, si cette double identification sera suffisante pour la plupart des comptes individuels, pour les comptes exploités par des groupes, ce qui peut être le cas pour les grandes sociétés ou les organes de presse, il faudrait aller encore plus loin et mettre en place un administrateur.

Nil Sanyas

Journaliste, éditorialiste, créateur des LIDD, aime les interviews insolites et les tablettes tactiles (malgré leurs défauts). Essentiellement présent sur Google+.

Google+

Publiée le 25/04/2013 à 08:18

Soutenez l'indépendance de Next INpact en devenant Premium

  • Tout le contenu de Next INpact sans pub
  • Et bien plus encore...

Il y a 27 commentaires

Avatar de DDReaper INpactien
DDReaper Le jeudi 25 avril 2013 à 08:32:10
Inscrit le lundi 9 mai 05 - 1134 commentaires
J'aimerais que paypal active ce genre de système, ca aurait du être les premiers et ce seront les derniers..
A moins que ca existe déjà et que je n'ai pas réussi a trouver l'option sur leur site qui date de 2000..
Avatar de XdiZ INpactien
XdiZ Le jeudi 25 avril 2013 à 08:56:27
Inscrit le mardi 1 juillet 08 - 40 commentaires
Et pourquoi pas comme sur Android le Unlock Facial aussi ^^
Avatar de pecos INpactien
pecos Le jeudi 25 avril 2013 à 09:24:25
Inscrit le mercredi 28 mars 07 - 709 commentaires
Hm... et pour ceux qui n'ont pas de téléphone mobile ?
C'est déjà assez pénible lorsqu'on est bloqué pour un paiement, mais si ça se généralise...

Tout ça parce que les utilisateurs ne sont pas foutus d'avoir des MDP introuvables, et que ceux qui développent les softs d'authentification sont des billes...

Par ailleurs, il faut bien comprendre qu'aucun système n'est sûr à 100% et que TOUS finissent par se faire hacker.
Le SMS ? et si le portable est volé ?

Edité par pecos le jeudi 25 avril 2013 à 09:27
Avatar de DDReaper INpactien
DDReaper Le jeudi 25 avril 2013 à 09:32:58
Inscrit le lundi 9 mai 05 - 1134 commentaires
Hm... et pour ceux qui n'ont pas de téléphone mobile ?
C'est déjà assez pénible lorsqu'on est bloqué pour un paiement, mais si ça se généralise...

Tout ça parce que les utilisateurs ne sont pas foutus d'avoir des MDP introuvables, et que ceux qui développent les softs d'authentification sont des billes...

Par ailleurs, il faut bien comprendre qu'aucun système n'est sûr à 100% et que TOUS finissent par se faire hacker.
Le SMS ? et si le portable est volé ?

Le principe c'est justement d'avoir deux facteurs : le mot de passe ET le portable.
quelque chose que tu connais et quelque chose que tu as.
Un mot de passe c'est toujours crackable, par contre avec la double authentification il faut aussi te voler ton téléphone c'est déjà plus difficile de faire les deux..
Avatar de pecos INpactien
pecos Le jeudi 25 avril 2013 à 09:44:20
Inscrit le mercredi 28 mars 07 - 709 commentaires

Le principe c'est justement d'avoir deux facteurs : le mot de passe ET le portable.
quelque chose que tu connais et quelque chose que tu as.
Un mot de passe c'est toujours crackable, par contre avec la double authentification il faut aussi te voler ton téléphone c'est déjà plus difficile de faire les deux..

Plus difficile, mais pas impossible.
Donc ce n'est pas SÛR.

Et je parie que ces solutions "sûres" vont un jour amener les banques à abaisser leur niveau de responsabilité en matière de paiement dématérialisé.

C'est à dire à considérer que, si un portable a servi à l'authentification, le paiement est réputé avoir été effectué par le client, et donc qu'il est définitif et se doit d'être honoré.
(contrairement à un paiement par CB qui, si le code à 4 chiffres n'a pas été utilisé, doit, sur demande du client, être remboursé.)

Et voilà comme on l'aura encore une fois dans le C...

Il y a 27 commentaires

;