Vous n’aimez pas donner votre 06 à n’importe qui et encore moins à un réseau social ? Bonne nouvelle, Twitter ne vous le demandera plus pour activer l’identification en deux étapes. Le site de microblogging a modifié cette semaine ses options d’identification et ne réclame plus le numéro de téléphone de ses utilisateurs pour leur permettre d’activer la très utile 2FA. Une décision d’autant plus judicieuse que cette cession de coordonnées téléphoniques n’avait rien de très sécurisée.

Comme le rappelle The Verge, les SMS sont en effet vulnérables aux attaques de type « SIM Swapping » (dont le principe était détaillé par Le Monde début septembre), qui ont récemment permis à des pirates de publier des Tweets sur le compte de Jack Dorsey lui-même, CEO de Twitter. Presque aussi gênant, Twitter admettait il y a peu avoir utilisé, par « inadvertance« , les numéros de téléphone d’une partie de ses utilisateurs à des fins publicitaires.

En lieu et place des SMS envoyés par Twitter pour la 2FA, la plateforme permet déjà depuis un moment le recours à des applications d’identification, comme Authy ou encore Google Authenticator. Ces dernières sont à la fois plus pratiques et plus sécurisées, et elles ne demandent pas d’informations personnelles particulières pour fonctionner.

Plus efficace encore : les clés de sécurité physiques (comme la Yubico YubiKey 5 NFC ou la Thetis Fido U2F). De plus en plus appréciées, ces clés ne peuvent toutefois pas être utilisées à elles seules pour se connecter en 2FA sur Twitter. Et pour cause, la plateforme considère qu’elles doivent être complétées d’une autre méthode d’identification en guise de « back-up« .

Maintenant qu’il n’est plus requis, notons enfin qu’il est possible de supprimer son numéro de téléphone de son compte Twitter en passant par les réglages de l’application. Attention par contre, si ce numéro vous sert actuellement pour l’authentification à deux facteurs, il faudra penser à mettre en place une méthode alternative après sa suppression.