Pourquoi ce problème d’authentification à 2 facteurs sur Twitter ?

Les problèmes avec l’important dispositif de sécurité de Twitter peuvent être parmi les premiers signes que le réseau social d’Elon Musk s’effiloche sur les bords.

L’authentification à 2 facteurs par SMS de Twitter connaitrait des difficultés

Après deux semaines de « chaos » extrême sur Twitter, les utilisateurs rejoignent et fuient le site en masse. Plus discrètement, beaucoup examinent probablement leurs comptes, vérifient leurs paramètres de sécurité et téléchargent leurs données.

Mais certains utilisateurs signalent des problèmes lorsqu’ils tentent de générer des codes d’authentification à deux facteurs par SMS : soit les textos ne viennent pas, soit ils sont retardés de plusieurs heures.

Les codes SMS à deux facteurs défectueux signifient que les utilisateurs pourraient être verrouillés hors de leurs comptes Twitter et en perdre le contrôle. Ils pourraient également se retrouver dans l’impossibilité d’apporter des modifications à leurs paramètres de sécurité ou de télécharger leurs données à l’aide de la fonction d’accès de Twitter.

La situation fournit également un indice précoce que les problèmes au sein de l’infrastructure de Twitter bouillonnent à la surface.

Tous les utilisateurs n’ont pas de problèmes pour recevoir des codes d’authentification par SMS, et ceux qui comptent sur une application d’authentification ou un jeton d’authentification physique pour sécuriser leur compte Twitter peuvent ne pas avoir de raison de tester le mécanisme.

Mais les utilisateurs signalent eux-mêmes des problèmes sur Twitter depuis le week-end, et WIRED a confirmé que sur au moins certains comptes, les textos d’authentification sont retardés de plusieurs heures ou ne viennent pas du tout.

L’effondrement survient moins de deux semaines après que Twiter a licencié environ la moitié de ses salariés, soit environ 3 700 personnes. Depuis lors, les ingénieurs, les spécialistes des opérations, le personnel informatique et les équipes de sécurité ont été mis à rude épreuve pour tenter d’adapter les offres de Twitter et de créer de nouvelles fonctionnalités selon l’agenda du nouveau propriétaire, Elon Musk.

Les rapports indiquent que l’entreprise a peut-être licencié trop d’employés trop rapidement et qu’elle a tenté de réembaucher certains salariés. Pendant ce temps, Elon Musk a déclaré publiquement qu’il ordonnait au personnel de désactiver certaines parties de la plate-forme.
Il a tweeté :

 

https://platform.twitter.com/widgets.js

Une partie de la journée consistera à désactiver le bloatware « microservices ». Moins de 20% sont réellement nécessaires pour que Twitter fonctionne !

 

Et nous allons enfin arrêter d’ajouter sur quel appareil un tweet a été écrit (gaspillage d’espace d’écran et de calcul) sous chaque tweet. Littéralement, personne ne sait même pourquoi nous avons fait cela.

 

Le service de communication de Twitter, qui n’existerait plus, n’a pas répondu à la demande de commentaires de WIRED concernant les problèmes liés aux codes d’authentification à deux facteurs par SMS.

Elon Musk n’a pas répondu à un tweet demandant des commentaires.

 

https://platform.twitter.com/widgets.js

Kenneth White, co-Directeur de l’Open Crypto Audit Project et ingénieur en sécurité de longue date explique :

La panne temporaire de l’authentification multifacteur pourrait avoir pour effet de verrouiller les gens hors de leurs comptes.

Mais l’inquiétude encore plus inquiétante est que cela encouragera les utilisateurs à désactiver complètement l’authentification multifacteur, ce qui les rend moins sûrs.

Il est difficile de dire exactement ce qui a causé le problème que tant de gens signalent, mais cela pourrait certainement résulter de changements à grande échelle aux services Web qui ont été annoncés.

 

Les SMS ne sont pas le moyen le plus sûr de recevoir des codes d’authentification, mais beaucoup de gens comptent sur le mécanisme, et les chercheurs en sécurité s’accordent à dire que c’est mieux que rien. Par conséquent, même des pannes intermittentes ou sporadiques sont problématiques pour les utilisateurs et pourraient les mettre en danger.

Le système de livraison du code d’authentification SMS de Twitter a connu à plusieurs reprises des problèmes de stabilité au fil des ans.

En août 2020, par exemple, Twitter Support a tweeté:

 

https://platform.twitter.com/widgets.js

Nous examinons les codes de vérification de compte qui ne sont pas livrés par SMS ou appel téléphonique. Désolé pour la gêne occasionnée, et nous vous tiendrons au courant alors que nous poursuivons notre travail pour résoudre ce problème.

 

Trois jours plus tard, la société a ajouté:

 

https://platform.twitter.com/widgets.js

Nous avons encore du travail à faire pour corriger la livraison du code de vérification, mais nous faisons des progrès.

Nous sommes désolés pour la frustration que cela a causé et apprécions votre patience pendant que nous continuons à travailler sur ce sujet. Nous espérons que cela sera bientôt réglé pour ceux d’entre vous qui ne reçoivent pas de code.

 

Le fait que le problème semble récurrent indique peut-être que les systèmes que Twitter a longtemps eu du mal à maintenir sont parmi les premiers à se déstabiliser sans maintenance et support adéquats.

Les employés actuels et anciens ont dépeint Twitter comme ayant une infrastructure technique alambiquée et fragile. Pendant ce temps, les révisions apportées par Elon Musk aux politiques d’authentification des comptes « coche bleu » de Twitter ont conduit à des escroqueries généralisées sur le site et à des problèmes de modération de contenu encore plus étendus que ceux qui existaient sous la direction précédente.

Si vous ne l’avez pas déjà fait, passez à une application pour générer vos codes d’authentification multifacteur, telle que Google Authenticator.

Sur Twitter, allez dans « Paramètres et support » -> appuyez sur « Paramètres et confidentialité » -> puis « Sécurité et accès au compte » -> « Sécurité » -> puis « Authentification à deux facteurs ».

Désactivez « SMS » si vous l’avez et basculez à la place sur « Application d’authentification » et suivez les instructions pour ajouter Twitter à votre application d’authentification.

Ou si vous préférez utiliser un jeton d’authentification physique, activez « Clé de sécurité » (Utilisez une clé de sécurité connectée à votre ordinateur ou qui se synchronise avec votre appareil mobile quand vous vous connectez à Twitter. Vous devrez utiliser un appareil mobile ou un navigateur Web pris en charge).