Les SMS d'identification deux facteurs sont plus sécurisés sur iOS et macOS
Lorsque l'on demande un second code d'identification par SMS, Messages a le bon goût de proposer le remplissage du formulaire directement dans Safari, une nouveauté introduite avec iOS 12 et macOS Mojave. Cette fonctionnalité connait un petit changement depuis novembre dernier, rapporte MacWorld.
Le message envoyé par Apple s'enrichit d'une nouvelle information, en l'occurrence une protection supplémentaire contre le hameçonnage. Il s'agit de la mise en œuvre concrète d'une proposition du constructeur remontant à janvier 2020 et qui avait été détaillée pour les développeurs en août de la même année.
Apple prépare les développeurs aux nouveaux SMS d'authentification
Cette suggestion de standard pour les SMS d'authentification comprend le message avec le numéro d'identification bien sûr, suivi du nom de domaine du site ou du service identifié par un @, puis le rappel du numéro. Si la demande provient d'un élément HTML intégré (une iframe), la source du site précédée d'un % est aussi présente (voir l'exemple ci-dessus).
Pour l'utilisateur, cela ne change rien, le code d'identification demeure le même et après réception dans Messages, il apparaîtra automatiquement au-dessus du clavier (sur iOS) ou directement dans le formulaire (sur macOS), facilitant ainsi la saisie. Les informations données dans le message texte sont un moyen de confirmer que le code provient bien du service demandé, puisqu'il y a une correspondance entre le nom de domaine du site visité et celui inclus dans le SMS reçu.
Si les informations ne collent pas, iOS et macOS ne proposeront pas le remplissage automatique du formulaire. Apple enjoint les éditeurs à intégrer ce nouveau formatage, et Google a d'ailleurs embarqué dans ce train dès avril 2020.
Cette sécurité en plus pour les codes d'identification par SMS ne doit pas faire oublier que ce n'est pas la méthode la plus sécurisée pour le double facteur. Mieux vaut en effet en passer par un code généré par une application spécialisée comme Authy, ou encore de la section Mots de passe des préférences de macOS Monterey et des réglages d'iOS 15.
Perso j’utilise Obsidian, pour les codes 2FA et ça marche vraiment bien entre Mac et iOS ! :)
Bien souvent dans safari le code reçu ne s’affiche pas. Ou alors le mauvais. Parfois safari propose le numéro d’expéditeur en guise de code, parfois rien du tout. C’est au petit bonheur la chance. Et c’est dommage parce que cette suggestion de code dans safari est très pratique. Un problème de prise en charge de la solution Apple par les développeurs ou un beug de la fonction ?
@cosmoboy34
Aucun bug pour moi.
@cosmoboy34
Pareil pour moi : le code reçu ne s’affiche plus jamais au dessus du clavier depuis iOS 14 (et 15 n’a rien changé)
@cosmoboy34
Jamais eu ce type de problème. Cela le fait à chaque fois ou est-ce aléatoire ?
@juliuslechien
C’est aléatoire. Je sais pas si ça vient d’Apple ou la mauvaise intégration des développeurs
nickel pour moi 👌👌
Raivo OTP.
Pour ma part j’utilise Authy et j’en suis très satisfait. La synchronisation entre mes différents appareils est impeccable et la sécurisation de l’application est semble t il d’un bon niveau. Bref c’est 👍
Au top ce petit contrôle additionnel 👌🏻
Fonctionne très bien sur Android depuis un bon moment, la suggestion d'autocomplétion est hyper pratique.
Ça semble arrivé un peu tard. Les banques sont il me semble obliger à quitter ce mode de sécurisation pour une méthode plus sûre (validation dans application)
Mais toute mesure qui renforce la sécurité est bonne a prendre pour les autres cas
Mais toute mesure qui renforce la sécurité
Je ne vois pas trop en quoi cela renforce la sécurité. Le problème concernant les SMS c'est qu'ils peuvent être interceptés. La mesure décrite ici ne résous pas ce problème.
@bibi81
Ils sont difficiles à intercepter quand même, c'est assez sécurisé comme méthode.
@Adodane
ce n’est meme pas vraiment l’avancée majeure je pense. le fait d’associer un nom de site (de domaine) a un code, ça oui!
@bibi81
oui et non. l’un des problèmes de ce type de code c’est qu’ils peuvent ne pas vraiment vous protéger en cas de phishing. Le fait d’associer un code a un site, donc un nom de domaine, c’est une vraie avancée.
@Mdtdamien
Je crois que les banques sont simplement obligées d’utiliser un double facteur d’authentification, le SMS reste donc valable.
Question quelqu’un connaît une solution pour envoyer ces sms pour double authentification je cherche à le mettre en place sur un formulaire d’inscription.
Il faut voir avec un opérateur. Les SMS étant payants...
@bibi81 au delà de l’opérateur il faut une solution je pense pour générer un code temporaire ou j’ai loupé un truc ?
Codes d’applications et SMS présentent souvent les meme faiblesses. L’un est peut-être un peu mieux sécurisé que l’autre mais ils ont grosso-modo les memes soucis et limitations dans le cas du phishing.
C’est assez scandaleux que de nombreux organismes bamcaires ne proposent pas les 2FAs!
Ils nous em(….) avec des codes et companie pour sécuriser les comptes mais se reposent toujours sur les SMS!
Je ne suis pas pour la disparition du SMS pour le deuxième facteur car il faut garder une backup et avouons, plus simple pour certaines personnes. Mais il faudrait pouvoir choisir.
@0MiguelAnge0
Faut pas venir habiter aux USA. La vache, le 2FA, so existant, n’est pas proposé par défaut. J’accède encore à un de mes comptes sans le 2FA (par sms ou e-mail ou appel téléphonique uniquement). Certaines banques enregistrent un cookie pour passer outre. Ouais, pas sûr que ce soit sécurisé.
Ca me manque le petit lecteur de carte à puce sur USB et devoir entrer mon PIN sur le lecteur pour recevoir un code unique généré par l’appareil pour me connecter à mon online banking.
C’était en Suisse ça.
« Mieux vaut en effet en passer par un code généré par une application spécialisée comme Authy »
Ma boîte vient de mettre en place un MDM sur nos ordis avec une authentification 2 facteurs sur leur site d'échanges avec Slack, Office 365 et autres joyeusetés googelsques et pour l'utilisation de leur app de surveillance. Il voulaient que j'installe une app sur mon iPhone, ce que j'ai refusé : Je refuse toute app du travail sur aucun de mes appareils perso. Du coup ils ont accepté le double facteur par SMS.