·  ·  · 

Panne de connexion X : le passage de la clé de sécurité à X.com bloque les utilisateurs alors que Twitter.com disparaît enfin (13 novembre 2025)

novembre 14, 2025
by
X Login Outage: Security Key Switch to X.com Locks Out Users as Twitter.com Finally Dies (November 13, 2025)

Des millions d’utilisateurs de X (anciennement Twitter) qui ont « tout fait correctement » pour la sécurité de leur compte ont passé les dernières 24 heures bloqués, coincés dans des boucles sans fin d’authentification à deux facteurs et accueillis par un message déroutant :

« Vous devez réenregistrer votre YubiKey. »

Le bug est directement lié à l’effort de longue date d’Elon Musk pour effacer les dernières traces de twitter.com et déplacer complètement les connexions vers x.com — une transition de marque et de domaine que les critiques considéraient déjà comme l’un des rebrandings les plus chaotiques de la tech. [1]

Voici ce qui s’est passé, ce qui est nouveau aujourd’hui (13 novembre 2025), et ce que vous pouvez faire si votre compte X est actuellement piégé dans l’enfer de l’authentification.

Ce qui s’est passé : le basculement des clés de sécurité de X tourne mal

Du 24 au 27 octobre, X a discrètement averti les utilisateurs que s’ils utilisaient une clé de sécurité matérielle (comme une YubiKey) ou une passkey pour l’authentification à deux facteurs (2FA), ils devaient la réenregistrer pour le nouveau domaine x.com avant le 10 novembre 2025, sous peine d’être bloqués. [2]

L’équipe Safety de X a souligné à l’époque que :

  • Le changement était « non lié à un incident de sécurité »
  • Il ne concernait que les clés de sécurité et les passkeys,
  • Et il était nécessaire car ces clés sont cryptographiquement liées à twitter.com, que X souhaite supprimer. [3]

Des médias spécialisés comme BleepingComputer et The Register ont expliqué qu’une fois twitter.com supprimé, les clés liées à ce domaine ne fonctionneraient tout simplement plus — elles doivent donc être réenregistrées sur x.com. [4]

C’était le plan.

La réalité est arrivée cette semaine.

12–13 novembre : erreur YubiKey et boucles de connexion infinies

À partir de la fin du 12 novembre (heure US) et jusque dans la matinée du 13 novembre 2025, les utilisateurs de X ont commencé à signaler qu’ils ne pouvaient plus se connecter sur le web ou sur mobile :

  • Après avoir saisi leur mot de passe, on leur disait qu’ils « devaient réenregistrer [leur] YubiKey » pour l’associer à x.com. [5]
  • Lorsqu’ils ont essayé de suivre les instructions, le processus s’est simplement… mis en boucle.
  • Certains n’ont jamais possédé de YubiKey, mais se sont tout de même retrouvés face au même écran « réenregistrez votre YubiKey ». [6]

Android Central, Windows Central et TechCrunch ont tous documenté le même schéma : un problème de connexion global pour les comptes liés à des clés de sécurité ou des passkeys, aboutissant souvent à une impasse de vérification ou à un verrouillage complet même lorsque les utilisateurs suivaient correctement les instructions. [7]

Le média spécialisé en sécurité The Tech Buzz l’a décrit sans détour comme une « migration de clé de sécurité » qui a mal tourné, transformant la maintenance de domaine en « enfer d’authentification » pour les utilisateurs les plus soucieux de la sécurité de la plateforme. [8]

Mise à jour du jour (13 novembre 2025) : Rétablissement partiel, chaos persistant

De nouveaux rapports et messages d’utilisateurs aujourd’hui suggèrent que le pire de la panne s’atténue — mais tout le monde n’a pas encore retrouvé l’accès.

Rédactions : Problème confirmé, X reste en grande partie silencieux

  • NewsBytes rapporte que X « fait face à un problème majeur après un changement obligatoire d’authentification à deux facteurs », laissant les utilisateurs « pris dans des boucles sans fin ou complètement verrouillés », et note que X n’a pas commenté publiquement le bug. [9]
  • Storyboard18 décrit également une « mise à jour de sécurité ratée » qui a verrouillé les utilisateurs ou les a piégés dans des boucles de connexion — soulignant à nouveau que X n’a fourni aucune explication officielle tandis qu’Elon Musk continue de publier normalement depuis son propre compte. [10]
  • Tech Buzz a mis à jour son article ce matin pour refléter la persistance des échecs d’authentification et l’absence continue de déclaration officielle de la part de X. [11]

TechCrunch note que X « n’a pas répondu à une demande de commentaire », alors même que sa propre couverture du problème de connexion détaillait des boucles sans fin et des verrouillages généralisés après la date limite du 10 novembre. [12]

Rapports d’utilisateurs : retour en arrière en cours, mais pas pour tout le monde

Le blog en direct de Windows Central, citant des sources internes, a rapporté le 12 novembre que les ingénieurs de X étaient en train de annuler les récents changements, et en milieu d’après-midi, le rédacteur a pu se reconnecter tandis que les signalements de panne sur DownDetector commençaient à diminuer. [13]

Sur les communautés r/Yubikey et r/Twitter de Reddit, les utilisateurs décrivent : [14]

  • Des problèmes mondiaux avec le processus de connexion YubiKey/passkey de X.
  • Des messages déroutants invitant à « réenregistrer votre YubiKey » même pour les personnes n’utilisant que des passkeys ou des applications d’authentification.
  • Une vague de commentaires tôt ce matin comme « Je suis de retour » et « Réparé pour mes deux comptes »aux côtés d’autres disant qu’ils sont toujours bloqués.

Un commentaire Reddit largement partagé fait référence à un post d’un ingénieur X vérifié déclarant que le « problème de connexion avec la clé de sécurité devrait être résolu bientôt », mais la correction est clairement déployée de façon inégale : certains comptes fonctionnent à nouveau, d’autres restent coincés dans la boucle. [15]

En résumé pour le 13 novembre :

  • La panne s’améliore mais n’est pas totalement résolue.
  • Il n’y a toujours pas d’analyse détaillée et publique de la part de X.

Qui est concerné — et qui ne l’est pas ?

D’après les signalements dans la couverture d’aujourd’hui et les publications des utilisateurs : [16]

Les plus touchés :

  • Les comptes ayant déjà configuré :
    • Une clé de sécurité matérielle (YubiKey ou similaire), ou
    • Une passkey (authentificateur de plateforme utilisant Face ID, Touch ID, Windows Hello, etc.)
  • En particulier les utilisateurs dont les clés ont été enregistrées à l’origine lorsque le service utilisait encore twitter.com pour les connexions.

Peu concernés (pour l’instant) :

  • Les comptes utilisant des applications d’authentification (applications TOTP),
  • Les comptes utilisant des codes SMS ou email pour la 2FA,
  • Les comptes sans 2FA (ce qui est toutefois fortement déconseillé pour la sécurité).
Ironiquement, les personnes qui ont investi dans les protections les plus solides — tokens matériels et passkeys — ont été les plus pénalisées par cette migration bâclée. Plusieurs rapports d’utilisateurs suggèrent également que certains utilisateurs sans clé ont été affectés par une procédure de connexion boguée qui ne détectait pas correctement leur configuration. [17]

Pourquoi le passage de twitter.com à x.com a cassé la connexion

Pour comprendre la panne, il faut comprendre comment fonctionnent les clés de sécurité et les passkeys.

Contrairement aux mots de passe, les clés de sécurité WebAuthn/FIDO2 et les passkeys sont liées à un domaine spécifique. Lorsque vous avez enregistré une clé pour twitter.com, elle s’est verrouillée cryptographiquement à cette origine exacte. [18]

Donc, lorsque X a finalement décidé de supprimer l’ancien domaine et de déplacer complètement les connexions vers x.com :

  1. Les clés enregistrées sur twitter.com ne correspondaient plus au nouveau domaine.
  2. X a donc demandé aux utilisateurs de se désinscrire et se réinscrire pour x.com.
  3. La procédure de réinscription elle-même semble avoir été défectueuse, causant :
    • Des boucles infinies revenant à l’écran “réinscrivez votre YubiKey”,
    • Des demandes de connexion pour YubiKey sur des comptes qui utilisaient uniquement des passkeys ou des applications,
    • Des utilisateurs incapables d’accéder à la page des paramètres où le changement doit être effectué. [19]

X Safety avait précédemment rassuré les utilisateurs qu’il ne s’agissait que d’une maintenance simple et “pas liée à un problème de sécurité,” mais l’exécution a clairement échoué aux attentes de fiabilité de base : les migrations de sécurité sont censées rendre les gens plus sûrs, pas les déconnecter en masse. [20]

S’agit-il d’un piratage ou d’une fuite de données ?

Il n’y a aucune preuve à ce jour que cet incident soit un piratage, une fuite ou une cyberattaque externe.

  • Les clarifications d’octobre de X ont présenté la réinitialisation des clés comme une migration de domaine, et non comme une réponse à un incident. [21]
  • Les rapports actuels de NewsBytes, Storyboard18, TechBuzz, TechCrunch et d’autres relient tous la panne à une mise en œuvre ratée de la migration prévue des clés de sécurité, et non à une compromission des systèmes de X. [22]

Cela dit, X n’a pas encore partagé d’explication technique détaillée, donc les observateurs externes reconstituent encore la cause profonde à partir du comportement et de commentaires internes ayant fuité.

Que faire si vous êtes bloqué hors de votre compte X

Si vous êtes actuellement coincé dans la boucle YubiKey/passkey, voici des étapes pratiques tirées des propres recommandations antérieures de X et des conseils d’experts en sécurité. [23]

1. Essayez depuis un appareil où vous êtes déjà connecté

Si vous avez encore une session X active sur :

  • Un téléphone,
  • Une tablette, ou
  • Un autre profil de navigateur,

utilisez cette session connectée pour :

  1. Aller dans Paramètres → Sécurité et accès au compte → Sécurité → Authentification à deux facteurs.
  2. Désactivez temporairement l’ancienne entrée de clé de sécurité/passkey qui fait référence à twitter.com.
  3. Ajoutez une méthode 2FA de secours (application d’authentification ou une autre clé matérielle) si vous n’en avez pas déjà une.
  4. Réenregistrez votre YubiKey/passkey pour x.com uniquement lorsque les problèmes de migration seront clairement résolus.

2. Vérifiez les autres options 2FA

Certains utilisateurs rapportent qu’ils peuvent encore accéder via : [24]

  • Une application d’authentification qu’ils avaient déjà configurée,
  • Des codes SMS ou email,
  • Une clé matérielle de secours.

Si vous pouvez vous authentifier avec l’une de ces méthodes, allez directement dans les paramètres et vérifiez :

  • Quelles clés de sécurité sont listées,
  • Si votre clé est maintenant liée à x.com,
  • Et que vous avez au moins une méthode de secours fonctionnelle.
3. Utilisez le formulaire de récupération de compte de XSi aucune méthode de connexion ne fonctionne et que vous êtes complètement bloqué, votre seule voie officielle est de contacter le support X via son formulaire « retrouver l’accès à votre compte », auquel plusieurs utilisateurs sur Reddit disent avoir eu recours. RedditCe processus peut être lent et il n’y a aucune garantie de succès, mais c’est la seule voie de récupération légitime que X propose si la 2FA est défaillante.4. Évitez de désactiver complètement la 2FA (si possible)Les propres avertissements de X avant la date limite indiquaient qu’après le 10 novembre, vous pouviez : BleepingComputer+1Réinscrire votre clé ou passkey,Passer à une autre méthode de 2FA, ouDésactiver complètement la 2FA (ce qu’ils « déconseillent fortement » eux-mêmes).À moins que vous ne deviez absolument retrouver l’accès immédiatement et que vous n’ayez aucune autre option, essayez de ne pas désactiver définitivement la 2FA. Cela expose votre compte au phishing, à la réutilisation de mots de passe et aux attaques par échange de carte SIM — les menaces mêmes que les clés de sécurité sont censées prévenir.Si vous affaiblissez temporairement votre sécurité pour retrouver l’accès, prévoyez de :Ajouter immédiatement une application d’authentification ou une clé de secours, etRéactiver une 2FA forte dès que les systèmes de connexion de X sont stables.5. Méfiez-vous des emails de phishing et des faux « supports »Des incidents comme celui-ci attirent les escrocs. Soyez vigilant face à :Des emails prétendant venir de « X Security » vous demandant de « réparer » votre clé,Des messages privés proposant de restaurer votre compte contre paiement,Des liens qui ressemblent à x.com mais ne le sont pas (caractères en trop, sous-domaines bizarres, etc.).Si vous devez cliquer sur quelque chose, tapez vous-même x.com dans le navigateur et naviguez via l’interface officielle plutôt que de faire confiance aux liens dans les messages.Un dernier faux pas pour la longue et chaotique refonte de XD’un point de vue image de marque, cette panne est symboliquement brutale.
  • Le site de design Creative Bloq a récemment qualifié la refonte de X par Musk de « l’un des rebrandings les plus chaotiques de la décennie », notant que les gens continuent d’appeler instinctivement la plateforme « X, anciennement connu sous le nom de Twitter » plus de deux ans après. [25]
  • Cet article soulignait que l’un des derniers vestiges techniques de Twitter — l’URL twitter.com — était enfin en train d’être retiré, les connexions redirigeant désormais entièrement vers x.com.

    • Désormais, le simple fait d’enterrer twitter.com a ramené l’ancienne marque dans l’actualité, alors que les utilisateurs se plaignent que « Twitter a encore tout gâché » en essayant de corriger les dernières traces de… Twitter. [26]

    Pour les critiques, cet incident s’inscrit dans un schéma qu’ils soulignent depuis l’acquisition par Musk : des changements agressifs, imposés de haut en bas à grande vitesse, avec des équipes d’ingénierie réduites et des filets de sécurité apparemment limités. De nombreux médias présentent aujourd’hui explicitement la panne comme la dernière d’une série de faux pas opérationnels depuis le rachat à 44 milliards de dollars. [27]

    Cela signifie-t-il que les passkeys et les clés de sécurité sont une mauvaise idée ?

    Réponse courte : non — mais c’est un avertissement sur la façon de les déployer.

    Les rapports de BleepingComputer, The Verge et The Register soulignent tous que les clés matérielles et les passkeys restent parmi les formes d’authentification les plus sécurisées disponibles aujourd’hui. Elles réduisent considérablement le risque de phishing car elles ne répondent que sur le domaine exact sur lequel elles ont été enregistrées. [28]

    Ce qui a mal tourné ici, ce n’est pas la technologie sous-jacente. C’est :

    • Une planification de migration mal gérée (forçant la réinscription avec une date limite stricte),
    • Un processus de réinscription bogué sans solution de secours fiable,
    • Une communication faible pendant la panne, laissant les utilisateurs déboguer les échecs de sécurité en public. [29]

    Pour les autres plateformes qui observent la situation, la leçon est claire :

    Si vous comptez déplacer des millions d’utilisateurs vers un nouveau domaine avec des identifiants liés au matériel, il vous faut des tests infaillibles, un déploiement progressif et des solutions de récupération robustes.

    FAQ : Panne de la clé de sécurité X, 13 novembre 2025

    Qu’est-ce qui a déclenché la panne de connexion de X ?
    Une migration forcée des clés de sécurité et des passkeys du domaine twitter.com vers x.com, combinée à un processus de réinscription défectueux qui a piégé les utilisateurs dans des boucles YubiKey/passkey et bloqué l’accès aux paramètres du compte. [30]

    Qui a été le plus touché ?
    Les utilisateurs qui avaient configuré des clés de sécurité matérielles ou passkeys pour la 2FA, en particulier ceux dont les clés avaient été enregistrées à l’origine lorsque les connexions utilisaient encore twitter.com. Beaucoup d’entre eux ont été temporairement ou encore complètement bloqués. [31]

    Le problème est-il résolu maintenant (13 novembre 2025) ?
    Des rapports de Windows Central et Reddit montrent que de nombreux utilisateurs peuvent à nouveau se connecter après que X a apparemment annulé une partie du changement, mais d’autres restent bloqués, et X n’a pas publié d’analyse détaillée de l’incident. [32]

    X a-t-il été piraté ?
    Il n’y a aucune preuve publique d’un piratage ou d’une fuite de données. X et des rapports de sécurité indépendants attribuent l’incident à une migration interne de clés de sécurité ratée, et non à une attaque externe. [33]

    Dois-je désactiver la 2FA sur mon compte X ?
    Uniquement en dernier recours. Désactiver la 2FA rend votre compte beaucoup plus facile à compromettre. Si vous devez affaiblir la sécurité pour retrouver l’accès, ajoutez une application d’authentification ou une clé de secours et réactivez une 2FA forte dès que les systèmes de X se stabilisent. [34]

    Au 13 novembre, la crise se résorbe lentement, mais les dégâts sur la confiance des utilisateurs — et sur le rebranding déjà controversé de X — pourraient durer bien plus longtemps que la panne elle-même.

    How to fix Xbox not signing in to your account (check service status in Xbox assist) 0X87DD0033
    Lire cette vidéo sur YouTube.

    References

    1. www.creativebloq.com, 2. www.theverge.com, 3. www.theverge.com, 4. www.bleepingcomputer.com, 5. www.androidcentral.com, 6. www.reddit.com, 7. www.androidcentral.com, 8. www.techbuzz.ai, 9. www.newsbytesapp.com, 10. www.storyboard18.com, 11. www.techbuzz.ai, 12. techcrunch.com, 13. www.windowscentral.com, 14. www.reddit.com, 15. www.reddit.com, 16. www.newsbytesapp.com, 17. www.androidcentral.com, 18. www.theverge.com, 19. www.techbuzz.ai, 20. www.theregister.com, 21. www.theregister.com, 22. www.newsbytesapp.com, 23. www.bleepingcomputer.com, 24. www.androidcentral.com, 25. www.creativebloq.com, 26. www.creativebloq.com, 27. www.techbuzz.ai, 28. www.bleepingcomputer.com, 29. www.techbuzz.ai, 30. www.newsbytesapp.com, 31. www.techbuzz.ai, 32. www.windowscentral.com, 33. www.theregister.com, 34. www.bleepingcomputer.com

    Mateusz Brzeziński

    Technology News

    • Tesla (TSLA) Shares Slide on China October Sales Plunge Amid Market Rotation and Recall Headlines
      November 14, 2025, 9:10 AM EST. Tesla shares fell about 5.5% after reports of a sharp drop in China sales in October: 26,006 vehicles, a three-year low, down 36% year over year and 63.6% from September, erasing market share from 8.7% to 3.2%. Xiaomi reportedly sold more vehicles in October than Tesla's Model Y and Model 3 combined, highlighting intensified China competition. Separately, broader U.S. equities slid as investors rotate out high-flyers and await delayed economic data after the government shutdown ended. Some traders expect data to influence Fed rate-cut bets. Tesla remains volatile, with 45 moves >5% this year. The stock also faced headlines including Norway's wealth fund opposition to Musk's pay plan, two Cybertruck recalls affecting ~70,000 vehicles, and a new fatal-crash lawsuit against the company.
    • Cisco Q3 CY2025 Deep Dive: AI Networking Demand and Product Refresh Drive Momentum
      November 14, 2025, 9:08 AM EST. Cisco (CSCO) posted Q3 CY2025 results that topped estimates: revenue of $14.88 billion and non-GAAP EPS of $1.00, with guidance raised to a midpoint of $15.1 billion for the next quarter and full-year revenue around $60.6 billion. The company also delivered Adjusted EBITDA of $5.73 billion and a 22.6% operating margin, highlighting strong demand for AI infrastructure and campus networking. Management cited accelerated orders for refreshed products, including the Unified Edge platform and AI-native security, as key growth drivers. The pipeline remains robust in hyperscale and enterprise markets, with continued optimism on multi-year product refresh cycles and AI-enabled networking solutions.
    • Apple halves commissions for mini apps with 15% rate under new Mini Apps Partner Program
      November 14, 2025, 9:06 AM EST. Apple unveiled the Mini Apps Partner Program, offering a reduced 15% commission on in-app purchases for self-contained mini apps built with web tech and distributed inside a native app. The program requires mini apps to meet guidelines from App Store, use Apple's Advanced Commerce API and Declared Age Rating API, and route transactions through Apple's in-app purchase system, with Apple's receiving data for refunds. Apple says the move helps developers grow their mini app businesses within the App Store while keeping a consistent revenue model. The policy already exists since 2017, but this is the first time mini apps qualify for a lower rate. Partners like LINE, WeChat, and rival AI platforms have touted mini apps; Bloomberg noted Tencent's 15% in WeChat. Developers can apply by submitting information to join.
    • Rejecting generative AI in healthcare won't protect patients - it could harm them
      November 14, 2025, 9:04 AM EST. Dr. Robert Pearl argues that rejecting generative AI in healthcare won't protect patients and could worsen outcomes. The piece cites about 400,000 deaths yearly from misdiagnoses and 250,000 from preventable errors, then posits genAI can offer timely, reliable guidance, flag early warning signs, and support mental health when clinicians aren't available. Rather than choosing between clinicians or AI, a both/and approach could yield safer, higher-quality, and more accessible care. GenAI could help patients with chronic diseases between visits and reduce avoidable heart attacks, strokes, and kidney failures. With safeguards and oversight, embracing genAI may improve safety, while rejecting it risks entrenching today's problems.
    • Princeton unveils longer-lasting superconducting qubit, accelerating practical quantum computing
      November 14, 2025, 8:58 AM EST. Princeton researchers have built a superconducting qubit that lasts over 1 millisecond, about three times longer than today's best and roughly 15 times the industry standard. The fully functioning quantum chip confirms the qubit's performance, addressing a major barrier to error correction and scalability. The design uses a transmon qubit compatible with existing processors from Google and IBM, and the team says swapping Princeton's components into Google's Willow could make it 1,000 times more effective. The advance boosts the coherence time essential for complex operations and marks the largest single gain in a decade. As Andrew Houck notes, this could accelerate progress toward a practical quantum computer-perhaps by the end of the decade.