Le 20 mars, Twitter mettra fin au SMS pour l’authentification à deux facteurs chez les utilisateurs gratuits. Pas de panique, car on peut remplacer cette méthode par une autre, facilement.
Officiellement, Twitter se débarrasse du SMS pour des raisons de sécurité. Et après tout pourquoi pas, l’entreprise n’a pas tort : de tous les seconds facteurs possibles, c’est probablement le pire, même si l’email lui fait concurrence. Ce sont des moyens « simples » à intercepter, du moins dans un référentiel de sécurité.
En pratique, Twitter réserve cette option aux personnes abonnées à Blue… une posture surprenante quand il s’agit de sécurité. La société ne semble pas tant intéressée par la sécurité que par son chiffre d’affaires, puisque la frustration éprouvée peut être soulagée par une solution sonnante et trébuchante. En outre, l’envoi de SMS représente une dépense, comme l’a confirmé Elon Musk himself.
Mais plutôt que de trébucher ou de couper complètement le second facteur d’authentification, nous vous proposons une autre voie : passer par une application de type Authenticator. Si vous ne faites pas le changement d’ici au 20 mars, la double authentification sera désactivée automatiquement pour votre compte.
Trouver la bonne application
Dans ce domaine, il n’y a pas de recette magique. Dans l’App Store ou le Play Store, écrivez « authenticator » et examinez les résultats, qui seront nombreux.
Vous trouverez des noms très connus comme Google et Microsoft, Twilio, Salesforce (si si !), LastPass, Dashlane, Sophos, Synology et de nombreux autres moins connus. Dans tout ce bazar, comment choisir ?
Toutes proposent la même fonction de base, une compatibilité HOTP/TOTP. On y renseigne les comptes que l’on veut protéger par la double authentification, on suit la procédure à chaque fois et l’application se met à générer des codes à six chiffres valables 30 secondes. Ce sont les mêmes codes que ceux envoyés par SMS, à la différence qu’ils changent beaucoup plus vite et que l’information ne circule pas sur un réseau pour vous être transmise. Tous proposent de copier le code par simple appui tactile pour aller le coller dans l’application ou le service qui le réclame.
Puisque tous proposent plus ou moins la même chose, la problématique peut se résumer à une seule question : souhaitez-vous que les comptes renseignés soient synchronisés ? Le sujet est important, car chaque personne devrait faire un choix, avec un curseur à déplacer, entre sécurité totale et facilité d’utilisation.
Avec la synchronisation, la perte du téléphone sera beaucoup facile à gérer, puisqu’on pourra restaurer les réglages sur un autre appareil, tant que l’application peut y être réinstallée. En revanche, les données sont synchronisées, donc hébergées chez un éditeur, ce que beaucoup n’apprécient pas. L’alternative est d’utiliser un Authenticator simple, non synchronisé. Mais dans le cas d’un appareil perdu, volé ou en panne, il sera plus complexe de retrouver ses accès. À moins que vous ayez pensé avant à exporter vos comptes – ce que beaucoup proposent – sous forme de sauvegarde chiffrée.
Si les solutions synchronisées vous intéressent, celles de Microsoft, Dashlane, LastPass (mais ce dernier a de gros soucis de sécurité ces derniers mois) et globalement toutes celles éditées par des entreprises proposant des gestionnaires synchronisées de mots de passe semblent faites pour vous. Notez aussi, pour les personnes sur environnement Apple, que le Trousseau iCloud est capable de générer ces codes 2FA (le client Windows d’iCloud est également compatible). Curieusement, l’application de Google n’est pas synchronisée, même si elle permet le transfert des comptes via un code QR (ce qui ne règle rien en cas de téléphone inaccessible).
Dans le cas contraire, il faudra peut-être essayer plusieurs applications avant de trouver. Citons quand même quelques exemples comme FreeOTP, libre et édité par Red Hat, disponible aussi pour Android que pour iOS. Open source également, Aegis Authenticator pour Android est très apprécié.
Enfin, un petit conseil : nous vous recommandons de sélectionner une application dont l’accès peut être protégé par la biométrie, pour plus de sécurité.