Suite à la décision de Twitter de désactiver le système de double authentification basé sur les SMS, voici le commentaire de Joseph Carson, Advisory CISO and Chief Security Scientist chez Delinea.
Tribune – Les dernières nouvelles relatives à la décision de Twitter de désactiver – ou plus simplement de d’arrêter – la double authentification par SMS pour les clients qui ne paient pas pourraient entraîner une augmentation des cyberattaques visant les utilisateurs de Twitter qui ne prennent aucune mesure avant la date limite du 20 mars, date qui approche à grands pas. Cette décision de Twitter semble davantage motivée par des raisons pécuniaires que par un souci de sécurité. En effet, l’authentification à deux facteurs par SMS peut coûter cher, surtout lorsque les attaquants tentent de prendre le contrôle de comptes. Au lieu de considérer que le système 2FA par SMS n’est plus suffisamment sûr pour protéger les utilisateurs, Twitter continuera de le proposer aux clients qui payent.
Bien sûr, le système 2FA par SMS est plus efficace qu’un simple nom d’utilisateur et un mot de passe. Cependant, il est connu pour être facilement compromis. S’il s’agissait effectivement d’une approche axée sur la sécurité, l’oiseau bleu aurait mieux fait de migrer vers l’authentification multifactorielle (MFA) ou vers des applications basées sur l’authentification pour garantir un niveau de protection plus élevé. Le retour au nom d’utilisateur et au mot de passe est un ton en dessous pour ceux qui ont pris des mesures supplémentaires pour protéger leurs comptes. Ils peuvent maintenant être à nouveau exposés aux attaquants qui exploitent des mots de passe faibles ou réutilisés sur plusieurs comptes.
Ce que cela signifie pour les utilisateurs de Twitter, c’est que ceux qui paient un abonnement auront le choix entre des options de sécurité supplémentaires. En d’autres termes les utilisateurs doivent désormais payer pour la sécurité. De nombreuses autres organisations pourraient adopter la même approche lorsqu’elles cherchent à trouver un équilibre entre le coût et la sécurité, et elles devront faire preuve d’une grande prudence. Nous pourrions assister à la fin du 2FA par SMS dans les années à venir. Toutefois, nous ne devrions pas revenir à l’ancien système basé uniquement sur un nom d’utilisateur et mot de passe. Nous devrions plutôt nous diriger vers une expérience d’authentification sans friction et avec une meilleure protection, par exemple en reléguant les mots de passe au second plan et en faisant de l’AMF la voie à suivre.
l’AMF (Authentification Multi-Factorielle, apparament), mcslc (Mon Cul Sur La Commode) aussi … l’acronymie facile, sa ne vous rends pas plus légitime, peut-ètre un peu moins accessible …
Les commentaires sont fermés.