Apple veut un standard pour les codes d'authentification envoyés par SMS


C'est une méthode de plus en plus employée partout sur le web pour sécuriser les connexions aux services sensibles : l'authentification à deux facteurs, qui consiste la plupart du temps à envoyer un code par SMS à l'utilisateur afin de vérifier que c'est bien le propriétaire du compte en question qui tente de s'y connecter. Cette étape supplémentaire peut être un peu pénible, nécessitant au mieux un copier-coller et au pire de recopier le code à la main, et c'est pourquoi Apple a mis en place une très intéressante fonctionnalité avec iOS 12 et macOS 10.14 Mojave en 2018 : les systèmes d'exploitation d'Apple analysent le contenu de ce type de SMS afin d'en extraire le code de sécurité et le proposer en suggestion directement sur le champ où celui-ci doit être entré.

Ce n'est pas une tâche facile : les SMS peuvent présenter des syntaxes différentes, et l'algorithme mis en place pas Apple n'est donc pas totalement infaillible même si son fonctionnement est assez remarquable la plupart du temps. C'est pourquoi les ingénieurs de l'équipe WebKit d'Apple proposent une standardisation pour ce système. L'idée est assez simple : dans tous les SMS d'authentification envoyés, le nom du site web serait précédé d'un "@" alors que le code d'identification serait précédé d'un "#".

747723 is your FooBar authentication code.

@foobar.com #747723

iOS 12 remplissage automatique

(lire : Les codes de sécurité reçus par SMS, iOS 12 et Mojave)



Safari prend déjà cette syntaxe en charge, et Google soutient l'initiative. Il manque Mozilla, qui n'a pas encore fait de commentaire sur la question. Le SMS n'est pas la solution la plus fiable pour sécuriser une authentification, les méthodes de "SIM swapping" permettant de les contourner. Mais dans les situations où il n'est pas forcément possible de faire mieux (authentification biométrique, par exemple), l'authentification à double facteur par SMS est préférable à l'absence de toute vérification. Et dans ce cas, autant faire les choses correctement !

Des liens n'apparaissent pas ? Des images sont manquantes ? Votre bloqueur de pub vous joue des tours.
Pour visualiser tout notre contenu, merci de désactiver votre bloqueur de pub !

PARTAGER SUR :

Sur le même sujet

Vos réactions (1)

pehache

31 janvier 2020 à 11:54

" Mais dans les situations où il n'est pas forcément possible de faire mieux (authentification biométrique, par exemple)"

A défaut d'identification biométrique, il existe aussi l'authentification par une application indépendante (comme MS Authenticator ou Google Authenticator, mais il en existe d'autres) qui génère des codes à la volée.

Réagir
Vous devez être connecté à notre forum pour pouvoir poster un commentaire.

Plus loin Connexion
Plus loin Inscription