Pourquoi Twitter met fin à la double authentification par SMS

Les usagers de Twitter ne pourront plus utiliser les SMS pour la double authentification à partir du 20 mars, sauf s’ils acceptent de prendre un abonnement payant Twitter Blue. Dans un post de blog daté du mercredi 15 février, la société explique avoir choisi de restreindre la possibilité d’utiliser cette solution de protection des comptes après avoir constaté que « la double authentification basée sur un téléphone est utilisée et exploitée par des acteurs malveillants ».

La double authentification est un outil permettant de sécuriser l’accès à un compte : en plus du couple identifiant/mot de passe, l’utilisateur reçoit un SMS sur son téléphone mobile comportant un mot de passe pour déverrouiller son compte. Peu d’internautes l’utilisent : selon le rapport 2021 de Twitter sur sa sécurité, cette option est activée par seulement 2,6 % des usagers du réseau social. Mais au sein de cette frange d’utilisateurs, le recours au SMS restait l’outil privilégié parmi les différents moyens d’activer la double authentification, avec un taux d’adoption de 74,4 %.

« SMS Pumping »

À l’occasion d’une prise de parole sur Twitter Spaces à la fin du mois de décembre, Elon Musk avait assuré que sa société avait perdu plus de 60 millions de dollars à cause de fraudes au SMS. Baptisée « SMS Pumping » par la société américaine Twilio, cette technique consiste pour des opérateurs mobiles peu scrupuleux (ou certains de leurs employés) à exploiter de faux comptes créés sur une plate-forme pour générer l’envoi d’un grand nombre de SMS de confirmation de connexion, puis à facturer ces derniers à la plate-forme. Dans le cas de Twitter, Elon Musk avait ainsi évoqué « plus de 390 opérateurs mobiles » dont le taux de fraude constaté était au-dessus de 10 %.

Face à ce problème, plusieurs solutions peuvent être envisagées par la victime : limiter le rythme d’envoi des SMS d’authentification, vérifier l’authenticité des numéros de téléphone utilisés ou encore réduire le nombre de bots sur la plate-forme. Pour sa part, Twitter a choisi de restreindre le recours à la double authentification par SMS à ses seuls utilisateurs payants, comme l’a confirmé Elon Musk dans un tweet (contacté, le réseau social n’a pas donné suite aux sollicitations du Monde). Un choix qui permettra aussi peut-être d’inciter un plus grand nombre d’internautes à se tourner vers l’offre Twitter Blue : selon le site américain The Information, le nombre total d’abonnés au service s’élèverait à 290 000, pour un total d’utilisateurs estimé à 353 millions en décembre 2022.

Pour ceux qui ne souhaitent pas souscrire à un tel abonnement mais aimeraient néanmoins sécuriser l’accès à leur compte, deux autres solutions restent disponibles : le recours à des applications d’authentification, type Authy ou Google Authenticator, ou l’utilisation d’une clef physique de sécurité comme YubiKey ou Google Titan. Ces solutions sont considérées comme plus sécurisées que le mot de passe à usage unique envoyé par SMS, car celui-ci peut être intercepté par des acteurs malveillants. Mais elles sont aussi moins connues et moins facile d’accès car elles requièrent l’installation d’une application tierce sur son téléphone ou l’achat d’une clef de sécurité.

Le Monde