Twitter propose une nouvelle identification sécurisée sans SMS
HIGH TECH•Via une mise à jour des apps iPhone et Android qui permet d'autoriser, ou pas, les connexions depuis d'autres terminaux...
Philippe Berry
La double authentification, c'est efficace mais plutôt pénible. Pour protéger son compte Gmail ou Twitter, on pouvait jusqu'ici choisir de recevoir un code de validation par SMS pour tous les accès effectués depuis un appareil non identifié (l'iPad des parents, le navigateur du PC au boulot etc.). Le but: si un hacker réussit à cracker un mot de passe, il ne peut pas se connecter au compte de sa victime, ne possédant pas son smartphone.
Le problème, c'est qu'il faut pouvoir recevoir un SMS. Ce n'est pas toujours possible, par exemple quand on voyage à l'étranger ou qu'on habite dans une cage de faraday sous le cloché de l'église du village. On se retrouve alors chocolat, à moins d'avoir imprimé des codes de secours en prévision. Arrive Twitter et sa nouvelle méthode.
Ce gif officiel n'est pas clair? Pour faire simple, l'app Twitter stocke une clé unique cryptée dans le téléphone. Lors d'une connexion depuis un nouveau terminal, l'app vous avertit et il suffit de taper sur «autoriser» pour ouvrir l'accès. Et si vous recevez une demande de connexion de Chine ou de Russie? Choisir «rejeter» et changer votre mot de passe, visiblement compromis.
L'avantage de cette méthode, c'est qu'elle fonctionne sans SMS. Une connexion 3G ou Internet suffit, et il n'y a pas besoin de recopier de code. Si la batterie du téléphone est morte, en revanche, il faut conserver le code de secours fourni à l'installation du service.
Un piège dans la configuration
Pour profiter de cette méthode, il faut d'abord désactiver la double authentification dans les paramètres de la version Web (décocher la case «envoi d'un SMS à ce numéro»). Puis, dans l'app mobile, cette fois, aller dans «paramètres», puis «sécurité», et cocher la case «utiliser ce téléphone pour vérifier les requêtes de connexion». Quand on laisse les deux méthodes cohabiter, cela provoque un joyeux bazar, avec un code illisible envoyé par SMS.
L'avenir, l'identification physique
Facebook et Google utilisent déjà des méthodes relativement similaires. L'app Google Authenticator et celle de Facebook permettent de générer de codes en local en se passant d'un SMS, mais il faut tout de même recopier les chiffres à la main.
Si les choses s'arrangent doucement du côté des mots de passe, on reste dans du bricolage pas très convivial ni totalement sécurisé. Dans les prochains mois, Google pourrait changer la donne en démocratisant l'identification sans contact via puce RFID, avec un gadget qu'on pourra attacher à son porte-clés. L'idée: ne plus avoir à rentrer de mot de passe sur son smartphone ou sa tablette. Le prochain iPhone, lui, pourrait proposer un scanner d'empreinte digitale. En attendant des méthodes plus futuristes, comme le tatouage électronique ou la puce à avaler.
