Twitter : un mois pour protéger votre compte gratuit, des risques de piratage

Le changement de règle imposé par Twitter, publié sur le blog de l'entreprise le 15 février, concerne ce qu’on appelle "l’authentification à deux facteurs". C’est une sécurité optionnelle, très répandue sur le web et les applis, en plus du mot de passe de bases lié au compte et qui, dans notre cas, jusqu’à maintenant, reposait sur l’envoi d’un code aléatoire par SMS. On recopiait ce code dans l’appli Twitter, et on était authentifié.

C’était le principe, jusqu’à ce qu’Elon Musk accuse certains opérateurs télécoms de surfacturer ces SMS : "Twitter se fait arnaquer par les opérateurs téléphoniques de 60 millions de dollars par an, avec de faux messages d'authentification par SMS", a tweeté le propriétaire du réseau social. D’où sa décision de réserver, à partir du 20 mars prochain, cette authentification par SMS aux comptes Twitter payants, le fameux Twitter Blue, facturé 8,40 € TTC minimum, par mois, en France.

Twitter is getting scammed by phone companies for $60M/year of fake 2FA SMS messages

— Elon Musk (@elonmusk) 18 février 2023

Conséquence : dans un mois, votre compte gratuit ne bénéficiera plus de cette double authentification. Il sera donc piratable beaucoup plus facilement, et à la merci de n’importe quel hacker, en possession de votre mot de passe de base. C’est d’ailleurs sur ce risque, et cette crainte, que mise Elon Musk pour gagner des abonnés payants.

Il existe pourtant d’autres solutions que de dégainer sa carte de crédit. La plus pratique repose sur l’authentification, via une application qui va remplacer le SMS que vous utilisiez peut-être jusqu’à maintenant. Quel que soit votre smartphone – Android ou iPhone – vous pouvez télécharger gratuitement une application d’authentification dite "2FA" (authentification à deux facteurs) comme Google Authenticator, Microsoft Authenticator ou Authy, l’excellente application équivalente de Twilio.

Maintenant, si vous êtes sur iPhone, c’est encore plus simple, puisque que cette fonction d’authentification avec génération de code à chiffres à la volée, est intégrée au système : pas besoin de télécharger la moindre appli. L’appareil photo, c’est tout ce dont vous aurez besoin.

Viser le QR code avec son smartphone

Sur smartphone, Twitter vous proposera, pour activer cette authentification via une application, de suivre un lien. Lien qui n’est pas toujours valide. Les témoignages d’utilisateurs qui n’ont pas réussi à aller au bout du paramétrage, se multiplient. Je vous conseille donc plutôt la méthode du QR code, même si elle suppose de trouver un ordinateur : en effet, il va falloir prendre ce QR code en photo, avec votre smartphone.

Il vous faut donc un PC ou un Mac pour aller dans les réglages de Twitter, et plus précisément dans la section "Sécurité" puis dans "Authentification à deux facteurs". Commencez par décocher la case en face de "SMS", puisque vous n’y aurez bientôt plus accès. À la place, cochez la case devant "Application d’authentification", et validez.

Le fameux QR code surgit. Visez-le depuis l’appli "Appareil photo" de votre iPhone, ou via votre appli d’authentification sur Android. Sur iPhone, cliquez sur le lien sur fond jaune qui apparaît en surimpression de l’image du QR code, et qui vous invite à "Ajouter un code de validation dans Mots de passe". Si vous gérez plusieurs comptes Twitter, choisissez le compte Twitter dans l’écran suivant. Le paramétrage de votre nouvelle authentification à double facteur est terminé.

Un code, toutes les 18 à 30 secondes

Votre smartphone va désormais se charger de générer un nouveau code à 6 chiffres toutes les 18 à 30 secondes ; code qui sera accepté par Twitter à la place de l’ancien code que vous receviez par SMS. Au final, pour vous, Twitter reste gratuit, et c’est même plus simple, mais au prix de ces quelques manipulations qui – à coup sûr – en dissuaderont certains.

Sur les 351 millions de comptes gratuits – pour environ 2 millions de comptes Twitter Blue – tous n’avaient pas activé l’authentification à double facteur via SMS. Mais c’était, jusqu’à maintenant, l’option la plus grand public. Combien seront les utilisateurs à engager cette démarche, et à mettre à jour leur double authentification ? Il semble évident qu’une partie seulement restera protégée au-delà du 19 mars.