·  ·  · 

Panne de connexion X : le passage de la clé de sécurité à X.com bloque les utilisateurs alors que Twitter.com disparaît enfin (13 novembre 2025)

novembre 14, 2025
by
X Login Outage: Security Key Switch to X.com Locks Out Users as Twitter.com Finally Dies (November 13, 2025)

Des millions d’utilisateurs de X (anciennement Twitter) qui ont « tout fait correctement » pour la sécurité de leur compte ont passé les dernières 24 heures bloqués, coincés dans des boucles sans fin d’authentification à deux facteurs et accueillis par un message déroutant :

« Vous devez réenregistrer votre YubiKey. »

Le bug est directement lié à l’effort de longue date d’Elon Musk pour effacer les dernières traces de twitter.com et déplacer complètement les connexions vers x.com — une transition de marque et de domaine que les critiques considéraient déjà comme l’un des rebrandings les plus chaotiques de la tech. [1]

Voici ce qui s’est passé, ce qui est nouveau aujourd’hui (13 novembre 2025), et ce que vous pouvez faire si votre compte X est actuellement piégé dans l’enfer de l’authentification.

Ce qui s’est passé : le basculement des clés de sécurité de X tourne mal

Du 24 au 27 octobre, X a discrètement averti les utilisateurs que s’ils utilisaient une clé de sécurité matérielle (comme une YubiKey) ou une passkey pour l’authentification à deux facteurs (2FA), ils devaient la réenregistrer pour le nouveau domaine x.com avant le 10 novembre 2025, sous peine d’être bloqués. [2]

L’équipe Safety de X a souligné à l’époque que :

  • Le changement était « non lié à un incident de sécurité »
  • Il ne concernait que les clés de sécurité et les passkeys,
  • Et il était nécessaire car ces clés sont cryptographiquement liées à twitter.com, que X souhaite supprimer. [3]

Des médias spécialisés comme BleepingComputer et The Register ont expliqué qu’une fois twitter.com supprimé, les clés liées à ce domaine ne fonctionneraient tout simplement plus — elles doivent donc être réenregistrées sur x.com. [4]

C’était le plan.

La réalité est arrivée cette semaine.

12–13 novembre : erreur YubiKey et boucles de connexion infinies

À partir de la fin du 12 novembre (heure US) et jusque dans la matinée du 13 novembre 2025, les utilisateurs de X ont commencé à signaler qu’ils ne pouvaient plus se connecter sur le web ou sur mobile :

  • Après avoir saisi leur mot de passe, on leur disait qu’ils « devaient réenregistrer [leur] YubiKey » pour l’associer à x.com. [5]
  • Lorsqu’ils ont essayé de suivre les instructions, le processus s’est simplement… mis en boucle.
  • Certains n’ont jamais possédé de YubiKey, mais se sont tout de même retrouvés face au même écran « réenregistrez votre YubiKey ». [6]

Android Central, Windows Central et TechCrunch ont tous documenté le même schéma : un problème de connexion global pour les comptes liés à des clés de sécurité ou des passkeys, aboutissant souvent à une impasse de vérification ou à un verrouillage complet même lorsque les utilisateurs suivaient correctement les instructions. [7]

Le média spécialisé en sécurité The Tech Buzz l’a décrit sans détour comme une « migration de clé de sécurité » qui a mal tourné, transformant la maintenance de domaine en « enfer d’authentification » pour les utilisateurs les plus soucieux de la sécurité de la plateforme. [8]

Mise à jour du jour (13 novembre 2025) : Rétablissement partiel, chaos persistant

De nouveaux rapports et messages d’utilisateurs aujourd’hui suggèrent que le pire de la panne s’atténue — mais tout le monde n’a pas encore retrouvé l’accès.

Rédactions : Problème confirmé, X reste en grande partie silencieux

  • NewsBytes rapporte que X « fait face à un problème majeur après un changement obligatoire d’authentification à deux facteurs », laissant les utilisateurs « pris dans des boucles sans fin ou complètement verrouillés », et note que X n’a pas commenté publiquement le bug. [9]
  • Storyboard18 décrit également une « mise à jour de sécurité ratée » qui a verrouillé les utilisateurs ou les a piégés dans des boucles de connexion — soulignant à nouveau que X n’a fourni aucune explication officielle tandis qu’Elon Musk continue de publier normalement depuis son propre compte. [10]
  • Tech Buzz a mis à jour son article ce matin pour refléter la persistance des échecs d’authentification et l’absence continue de déclaration officielle de la part de X. [11]

TechCrunch note que X « n’a pas répondu à une demande de commentaire », alors même que sa propre couverture du problème de connexion détaillait des boucles sans fin et des verrouillages généralisés après la date limite du 10 novembre. [12]

Rapports d’utilisateurs : retour en arrière en cours, mais pas pour tout le monde

Le blog en direct de Windows Central, citant des sources internes, a rapporté le 12 novembre que les ingénieurs de X étaient en train de annuler les récents changements, et en milieu d’après-midi, le rédacteur a pu se reconnecter tandis que les signalements de panne sur DownDetector commençaient à diminuer. [13]

Sur les communautés r/Yubikey et r/Twitter de Reddit, les utilisateurs décrivent : [14]

  • Des problèmes mondiaux avec le processus de connexion YubiKey/passkey de X.
  • Des messages déroutants invitant à « réenregistrer votre YubiKey » même pour les personnes n’utilisant que des passkeys ou des applications d’authentification.
  • Une vague de commentaires tôt ce matin comme « Je suis de retour » et « Réparé pour mes deux comptes »aux côtés d’autres disant qu’ils sont toujours bloqués.

Un commentaire Reddit largement partagé fait référence à un post d’un ingénieur X vérifié déclarant que le « problème de connexion avec la clé de sécurité devrait être résolu bientôt », mais la correction est clairement déployée de façon inégale : certains comptes fonctionnent à nouveau, d’autres restent coincés dans la boucle. [15]

En résumé pour le 13 novembre :

  • La panne s’améliore mais n’est pas totalement résolue.
  • Il n’y a toujours pas d’analyse détaillée et publique de la part de X.

Qui est concerné — et qui ne l’est pas ?

D’après les signalements dans la couverture d’aujourd’hui et les publications des utilisateurs : [16]

Les plus touchés :

  • Les comptes ayant déjà configuré :
    • Une clé de sécurité matérielle (YubiKey ou similaire), ou
    • Une passkey (authentificateur de plateforme utilisant Face ID, Touch ID, Windows Hello, etc.)
  • En particulier les utilisateurs dont les clés ont été enregistrées à l’origine lorsque le service utilisait encore twitter.com pour les connexions.

Peu concernés (pour l’instant) :

  • Les comptes utilisant des applications d’authentification (applications TOTP),
  • Les comptes utilisant des codes SMS ou email pour la 2FA,
  • Les comptes sans 2FA (ce qui est toutefois fortement déconseillé pour la sécurité).
Ironiquement, les personnes qui ont investi dans les protections les plus solides — tokens matériels et passkeys — ont été les plus pénalisées par cette migration bâclée. Plusieurs rapports d’utilisateurs suggèrent également que certains utilisateurs sans clé ont été affectés par une procédure de connexion boguée qui ne détectait pas correctement leur configuration. [17]

Pourquoi le passage de twitter.com à x.com a cassé la connexion

Pour comprendre la panne, il faut comprendre comment fonctionnent les clés de sécurité et les passkeys.

Contrairement aux mots de passe, les clés de sécurité WebAuthn/FIDO2 et les passkeys sont liées à un domaine spécifique. Lorsque vous avez enregistré une clé pour twitter.com, elle s’est verrouillée cryptographiquement à cette origine exacte. [18]

Donc, lorsque X a finalement décidé de supprimer l’ancien domaine et de déplacer complètement les connexions vers x.com :

  1. Les clés enregistrées sur twitter.com ne correspondaient plus au nouveau domaine.
  2. X a donc demandé aux utilisateurs de se désinscrire et se réinscrire pour x.com.
  3. La procédure de réinscription elle-même semble avoir été défectueuse, causant :
    • Des boucles infinies revenant à l’écran “réinscrivez votre YubiKey”,
    • Des demandes de connexion pour YubiKey sur des comptes qui utilisaient uniquement des passkeys ou des applications,
    • Des utilisateurs incapables d’accéder à la page des paramètres où le changement doit être effectué. [19]

X Safety avait précédemment rassuré les utilisateurs qu’il ne s’agissait que d’une maintenance simple et “pas liée à un problème de sécurité,” mais l’exécution a clairement échoué aux attentes de fiabilité de base : les migrations de sécurité sont censées rendre les gens plus sûrs, pas les déconnecter en masse. [20]

S’agit-il d’un piratage ou d’une fuite de données ?

Il n’y a aucune preuve à ce jour que cet incident soit un piratage, une fuite ou une cyberattaque externe.

  • Les clarifications d’octobre de X ont présenté la réinitialisation des clés comme une migration de domaine, et non comme une réponse à un incident. [21]
  • Les rapports actuels de NewsBytes, Storyboard18, TechBuzz, TechCrunch et d’autres relient tous la panne à une mise en œuvre ratée de la migration prévue des clés de sécurité, et non à une compromission des systèmes de X. [22]

Cela dit, X n’a pas encore partagé d’explication technique détaillée, donc les observateurs externes reconstituent encore la cause profonde à partir du comportement et de commentaires internes ayant fuité.

Que faire si vous êtes bloqué hors de votre compte X

Si vous êtes actuellement coincé dans la boucle YubiKey/passkey, voici des étapes pratiques tirées des propres recommandations antérieures de X et des conseils d’experts en sécurité. [23]

1. Essayez depuis un appareil où vous êtes déjà connecté

Si vous avez encore une session X active sur :

  • Un téléphone,
  • Une tablette, ou
  • Un autre profil de navigateur,

utilisez cette session connectée pour :

  1. Aller dans Paramètres → Sécurité et accès au compte → Sécurité → Authentification à deux facteurs.
  2. Désactivez temporairement l’ancienne entrée de clé de sécurité/passkey qui fait référence à twitter.com.
  3. Ajoutez une méthode 2FA de secours (application d’authentification ou une autre clé matérielle) si vous n’en avez pas déjà une.
  4. Réenregistrez votre YubiKey/passkey pour x.com uniquement lorsque les problèmes de migration seront clairement résolus.

2. Vérifiez les autres options 2FA

Certains utilisateurs rapportent qu’ils peuvent encore accéder via : [24]

  • Une application d’authentification qu’ils avaient déjà configurée,
  • Des codes SMS ou email,
  • Une clé matérielle de secours.

Si vous pouvez vous authentifier avec l’une de ces méthodes, allez directement dans les paramètres et vérifiez :

  • Quelles clés de sécurité sont listées,
  • Si votre clé est maintenant liée à x.com,
  • Et que vous avez au moins une méthode de secours fonctionnelle.
3. Utilisez le formulaire de récupération de compte de XSi aucune méthode de connexion ne fonctionne et que vous êtes complètement bloqué, votre seule voie officielle est de contacter le support X via son formulaire « retrouver l’accès à votre compte », auquel plusieurs utilisateurs sur Reddit disent avoir eu recours. RedditCe processus peut être lent et il n’y a aucune garantie de succès, mais c’est la seule voie de récupération légitime que X propose si la 2FA est défaillante.4. Évitez de désactiver complètement la 2FA (si possible)Les propres avertissements de X avant la date limite indiquaient qu’après le 10 novembre, vous pouviez : BleepingComputer+1Réinscrire votre clé ou passkey,Passer à une autre méthode de 2FA, ouDésactiver complètement la 2FA (ce qu’ils « déconseillent fortement » eux-mêmes).À moins que vous ne deviez absolument retrouver l’accès immédiatement et que vous n’ayez aucune autre option, essayez de ne pas désactiver définitivement la 2FA. Cela expose votre compte au phishing, à la réutilisation de mots de passe et aux attaques par échange de carte SIM — les menaces mêmes que les clés de sécurité sont censées prévenir.Si vous affaiblissez temporairement votre sécurité pour retrouver l’accès, prévoyez de :Ajouter immédiatement une application d’authentification ou une clé de secours, etRéactiver une 2FA forte dès que les systèmes de connexion de X sont stables.5. Méfiez-vous des emails de phishing et des faux « supports »Des incidents comme celui-ci attirent les escrocs. Soyez vigilant face à :Des emails prétendant venir de « X Security » vous demandant de « réparer » votre clé,Des messages privés proposant de restaurer votre compte contre paiement,Des liens qui ressemblent à x.com mais ne le sont pas (caractères en trop, sous-domaines bizarres, etc.).Si vous devez cliquer sur quelque chose, tapez vous-même x.com dans le navigateur et naviguez via l’interface officielle plutôt que de faire confiance aux liens dans les messages.Un dernier faux pas pour la longue et chaotique refonte de XD’un point de vue image de marque, cette panne est symboliquement brutale.
  • Le site de design Creative Bloq a récemment qualifié la refonte de X par Musk de « l’un des rebrandings les plus chaotiques de la décennie », notant que les gens continuent d’appeler instinctivement la plateforme « X, anciennement connu sous le nom de Twitter » plus de deux ans après. [25]
  • Cet article soulignait que l’un des derniers vestiges techniques de Twitter — l’URL twitter.com — était enfin en train d’être retiré, les connexions redirigeant désormais entièrement vers x.com.

    • Désormais, le simple fait d’enterrer twitter.com a ramené l’ancienne marque dans l’actualité, alors que les utilisateurs se plaignent que « Twitter a encore tout gâché » en essayant de corriger les dernières traces de… Twitter. [26]

    Pour les critiques, cet incident s’inscrit dans un schéma qu’ils soulignent depuis l’acquisition par Musk : des changements agressifs, imposés de haut en bas à grande vitesse, avec des équipes d’ingénierie réduites et des filets de sécurité apparemment limités. De nombreux médias présentent aujourd’hui explicitement la panne comme la dernière d’une série de faux pas opérationnels depuis le rachat à 44 milliards de dollars. [27]

    Cela signifie-t-il que les passkeys et les clés de sécurité sont une mauvaise idée ?

    Réponse courte : non — mais c’est un avertissement sur la façon de les déployer.

    Les rapports de BleepingComputer, The Verge et The Register soulignent tous que les clés matérielles et les passkeys restent parmi les formes d’authentification les plus sécurisées disponibles aujourd’hui. Elles réduisent considérablement le risque de phishing car elles ne répondent que sur le domaine exact sur lequel elles ont été enregistrées. [28]

    Ce qui a mal tourné ici, ce n’est pas la technologie sous-jacente. C’est :

    • Une planification de migration mal gérée (forçant la réinscription avec une date limite stricte),
    • Un processus de réinscription bogué sans solution de secours fiable,
    • Une communication faible pendant la panne, laissant les utilisateurs déboguer les échecs de sécurité en public. [29]

    Pour les autres plateformes qui observent la situation, la leçon est claire :

    Si vous comptez déplacer des millions d’utilisateurs vers un nouveau domaine avec des identifiants liés au matériel, il vous faut des tests infaillibles, un déploiement progressif et des solutions de récupération robustes.

    FAQ : Panne de la clé de sécurité X, 13 novembre 2025

    Qu’est-ce qui a déclenché la panne de connexion de X ?
    Une migration forcée des clés de sécurité et des passkeys du domaine twitter.com vers x.com, combinée à un processus de réinscription défectueux qui a piégé les utilisateurs dans des boucles YubiKey/passkey et bloqué l’accès aux paramètres du compte. [30]

    Qui a été le plus touché ?
    Les utilisateurs qui avaient configuré des clés de sécurité matérielles ou passkeys pour la 2FA, en particulier ceux dont les clés avaient été enregistrées à l’origine lorsque les connexions utilisaient encore twitter.com. Beaucoup d’entre eux ont été temporairement ou encore complètement bloqués. [31]

    Le problème est-il résolu maintenant (13 novembre 2025) ?
    Des rapports de Windows Central et Reddit montrent que de nombreux utilisateurs peuvent à nouveau se connecter après que X a apparemment annulé une partie du changement, mais d’autres restent bloqués, et X n’a pas publié d’analyse détaillée de l’incident. [32]

    X a-t-il été piraté ?
    Il n’y a aucune preuve publique d’un piratage ou d’une fuite de données. X et des rapports de sécurité indépendants attribuent l’incident à une migration interne de clés de sécurité ratée, et non à une attaque externe. [33]

    Dois-je désactiver la 2FA sur mon compte X ?
    Uniquement en dernier recours. Désactiver la 2FA rend votre compte beaucoup plus facile à compromettre. Si vous devez affaiblir la sécurité pour retrouver l’accès, ajoutez une application d’authentification ou une clé de secours et réactivez une 2FA forte dès que les systèmes de X se stabilisent. [34]

    Au 13 novembre, la crise se résorbe lentement, mais les dégâts sur la confiance des utilisateurs — et sur le rebranding déjà controversé de X — pourraient durer bien plus longtemps que la panne elle-même.

    How to fix Xbox not signing in to your account (check service status in Xbox assist) 0X87DD0033
    Lire cette vidéo sur YouTube.

    References

    1. www.creativebloq.com, 2. www.theverge.com, 3. www.theverge.com, 4. www.bleepingcomputer.com, 5. www.androidcentral.com, 6. www.reddit.com, 7. www.androidcentral.com, 8. www.techbuzz.ai, 9. www.newsbytesapp.com, 10. www.storyboard18.com, 11. www.techbuzz.ai, 12. techcrunch.com, 13. www.windowscentral.com, 14. www.reddit.com, 15. www.reddit.com, 16. www.newsbytesapp.com, 17. www.androidcentral.com, 18. www.theverge.com, 19. www.techbuzz.ai, 20. www.theregister.com, 21. www.theregister.com, 22. www.newsbytesapp.com, 23. www.bleepingcomputer.com, 24. www.androidcentral.com, 25. www.creativebloq.com, 26. www.creativebloq.com, 27. www.techbuzz.ai, 28. www.bleepingcomputer.com, 29. www.techbuzz.ai, 30. www.newsbytesapp.com, 31. www.techbuzz.ai, 32. www.windowscentral.com, 33. www.theregister.com, 34. www.bleepingcomputer.com

    Mateusz Brzeziński

    Technology News

    • Tesla Powerwall 2 recall expands to U.S. after fires
      November 14, 2025, 7:16 AM EST. Tesla has expanded a recall of its Powerwall 2 home batteries in the United States to more than 10,000 units, after reports of overheating, smoke, and fires. The U.S. recall follows an earlier Australian recall tied to a third-party cell supplier. The CPSC says five units caught fire, six began smoking, and 11 overheated. Affected units were sold from November 2020 through December 2022. Tesla will discharge online units and provide replacements. Owners should verify online status via the Tesla app and check whether their unit is included in the recall. No injuries were reported in the U.S., but some cases caused minor property damage.
    • Tesla could launch CarPlay support in coming months, per Bloomberg report
      November 14, 2025, 7:14 AM EST. Tesla is reportedly testing Apple CarPlay integration and could roll it out as soon as the end of this year. Bloomberg sources say CarPlay would appear as a separate window within Tesla's existing interface, rather than replacing the OS, and could include wireless support. The plan keeps the car's native FSD and navigation apps separate, with CarPlay coexisting alongside Tesla's software. This marks a major shift for a company known for building its own in-car stack. The move would end Tesla's status as one of the last major automakers to support CarPlay and could put pressure on rivals like Rivian. Analysts say the change could help sales amid rising competition and a shrinking market.
    • Valve still waiting on next-gen silicon for Steam Deck 2, Griffais says
      November 14, 2025, 7:12 AM EST. Valve Software Engineer Pierre-Loup Griffais tells IGN that a true Steam Deck 2 won't launch until portable silicon offers a meaningful upgrade. The team is focused on ensuring a standalone product with a clear jump in performance, not a marginal 20-30-50% gain at the same battery life. They're "working back from silicon advancements and architectural improvements," but no current SoC on the market meets their criteria for a next-gen upgrade. By contrast, the ROG Xbox Ally X-powered by a Zen 5-based AMD chip-shows stronger raw performance, though its larger battery still drains quickly in Turbo mode, underscoring Valve's emphasis on lasting battery life.
    • eToro CEO: AI can democratize trading and bring Buffett-style insights to retail investors
      November 14, 2025, 7:10 AM EST. eToro CEO Yoni Assia argues that artificial intelligence can turn retail investors into top traders. Speaking at Yahoo Finance Invest, he says AI aggregates tactics from the world's best investors, letting a regular user access insights once reserved for elite funds. Since eToro's AI suite and APIs rolled out, top users have built investing tools and created Tori, a chatbot that analyzes portfolios and answers market questions. Users have even created personas of Warren Buffett and Benjamin Graham to critique portfolios and guide rebalancing. The company highlighted Q3 results and a $150 million share repurchase, underscoring confidence in long-term growth as it expands AI-powered investing for the masses.
    • Tesla to Add Apple CarPlay; CarPlay Testing Underway in Teslas
      November 14, 2025, 7:08 AM EST. Tesla is moving to add Apple CarPlay to its vehicles, according to Bloomberg's Mark Gurman. Tesla currently relies on its own infotainment system, but the automaker is said to be testing CarPlay with a rollout planned in the coming months. The integration would appear inside a window within Tesla's interface rather than full-screen, and would use the standard wireless CarPlay experience rather than CarPlay Ultra. If realized, the feature could boost sales by addressing a common customer request, as some buyers cite lack of CarPlay as a buying factor. The report notes that release timing is not finalized.