« Twitter a récemment annoncé sa décision de désactiver
l’authentification à deux facteurs par SMS pour les utilisateurs qui ne
sont pas abonnés au service payant Twitter Blue. Les utilisateurs
disposeront de 30 jours pour désactiver cette fonctionnalité et passer
à un autre type d’authentification. S’ils n’effectuent pas ces
opérations avant le délai imparti, l’authentification par SMS sera
désactivée sans être remplacée par une alternative, et ils ne
disposeront que d’un mot de passe pour s’authentifier jusqu’à ce qu’une
autre méthode, telle que l’utilisation d’une application
d’authentification ou d’une clé de sécurité, soit mise en place.

Bien qu’il s’agisse d’une nouvelle préoccupante, le principal enjeu de
cette mesure est le fait que la majorité des utilisateurs de Twitter ne
sécurisent pas leurs comptes avec une quelconque forme
d’authentification multifacteurs (MFA). Selon un rapport publié par
Twitter en juillet 2022, seuls 2,6 % des comptes avaient activé
l’authentification à deux facteurs en décembre 2021, et 74,4 % de
ces comptes utilisent le SMS comme facteur d’authentification.

L’authentification à deux facteurs via SMS est une méthode
d’authentification faible car elle peut être facilement exploitée à
l’aide de techniques telles que le sim swapping. L’utilisation d’une
application d’authentification ou d’une clé de sécurité est
considérée comme plus forte car elle n’est pas vulnérable à de
telles attaques. Cependant, bien que l’authentification par SMS soit
considérée comme faible, elle reste plus sûre que l’utilisation d’un
simple mot de passe. »