A peine deux mois après avoir lancé sa procédure de double authentification basée sur SMS, Twitter propose déjà une nouvelle méthode de double authentification, prenant appui cette fois sur son application mobile. Un utilisateur sur iOS ou Android peut, dès à présent, activer au niveau de son application la fonctionnalité « Vérification de connexion », qui se trouve dans la rubrique Paramètres/Sécurité. Une fois l’option cochée, chaque tentative de connexion sur son compte Twitter sera accompagnée d’une demande de validation sur son téléphone, notifiée par l’application mobile. Sans cette validation, l’accès au compte sera refusé.
Cette nouvelle méthode d’authentification est présentée par Twitter comme étant plus sécurisée que la précédente, car il n’y a pas de code envoyé pouvant être intercepté, comme avec l’option de vérification par SMS. C’est le reproche qu’avaient fait certains experts de sécurité lorsque Twitter avait présenté sa première méthode en mai dernier (et qui reste d’ailleurs toujours disponible). La nouvelle solution repose, en effet, sur le chiffrement asymétrique RSA 2048-bit. Lorsque l’option est activée, l’application génère un certificat de sécurité composé d’une clé privée qui reste stockée sur le téléphone, et d’une clé publique qui est envoyée aux serveurs de Twitter. Valider une connexion revient, en réalité, à envoyer depuis l’application mobile un message signé avec la clé privée et dont l’authenticité sera prouvée avec la clé publique.
Plus simple à déployer
Autres avantages de cette nouvelle méthode : elle est disponible d’emblée partout dans le monde, car il suffit d’une connexion Internet. Avec la vérification par SMS, Twitter était obligé de signer des accords avec les différents opérateurs mobiles dans le monde, mais cela n’a pas été possible partout. Par ailleurs, la notification par l’application mobile permet de donner de précieuses informations quant aux circonstances de la connexion : lieu géographique, type de navigateur et de plateforme.
Mais au fait, que se passe-t-il en cas de perte du téléphone ? Là encore, il y a une solution : lorsque l’option est activée, l’utilisateur reçoit un code de secours qu’il est prié de stocker dans un endroit sûr et qui lui permettra de récupérer l’accès à son compte.
Source:
La note de blog de Twitter
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.