Apple propose de standardiser les SMS avec code d’authentification

Nicolas Furno |

Apple propose de définir un standard pour les SMS associés à un code d’authentification, une pratique encore courante pour les services qui réclament un deuxième facteur. Son idée est de créer un format standard que les navigateurs et les apps pourront comprendre et exploiter, ce qui leur permettra de récupérer automatiquement les codes et de remplir l’information demandée par le site ou service. C’est précisément ce que Safari est capable de faire depuis plusieurs années.

Safari est capable de reconnaître un SMS associé à un code d’authentification et le cas échéant, d’extraire le code pour le proposer automatiquement sur le site web ou le service associé. Ici avec PayPal sur un iPad.

La fonction créée par Apple marche d’ailleurs très bien, mais elle a un défaut : faute de standard, le constructeur a créé son propre algorithme pour détecter un code dans un SMS et aussi détecter le site ou service associé. C’est une tâche complexe pour n’oublier personne et en même temps ne pas faire n’importe quoi, par exemple en confondant un code d’authentification et un numéro de téléphone.

C’est pour simplifier les choses que la firme propose un standard que tous les navigateurs pourraient prendre en charge sans risque et sans effort. La proposition d’Apple est d’identifier les SMS associés à un code d’authentification avec une syntaxe très simple. Le code serait précédé d’un # et le nom de domaine du site ou service serait identifié par un @. Le SMS pourrait aussi proposer le code sous la forme d’une phrase comme c’est systématiquement le cas aujourd’hui, mais il y aurait aussi le code et le nom de domaine avec cette syntaxe.

Voici à quoi cela pourrait ressembler :

747723 is your FooBar authentication code.

@foobar.com #747723

Safari prend d’ores et déjà en charge cette syntaxe et Google la prendra aussi en charge dans une future version de Chrome. La seule inconnue côté navigateurs à ce stade est du côté de Firefox, Mozilla n’ayant pas fait part de son intérêt ou non pour la proposition à ce stade. Si tout le monde s’y met, les sites et services auront tout intérêt à adopter ce nouveau format.

C‘est une bonne chose, même s’il convient de rappeler que les SMS doivent être évités à tout prix pour l’authentification en deux facteurs. C’est la solution la moins fiable de toutes, parce qu’il est souvent trop facile d’obtenir une copie de votre carte SIM, compromettant par la même occasion la sécurité du système. Si vous en avez la possibilité, il est préférable d’opter pour une autre méthode, comme celle basée sur des codes générés par une app spécialisée comme Authy ou un gestionnaire de mots de passe comme 1Password.


avatar raoolito | 

Heu
Pour la double authentification il vaut mieux passer soit par l'application elle-même ( apple, paypal, la poste, google le font deja) soit par un e-mail
Par contre il est vrai que le SMS n'est pas du tout le plus sûr des moyens pour transmettre un identifiant ou même un numéro de vérification.

J'ajoute qu'un gestionnaire de mots de passe ne peux pas faire grand chose dans le cas d'une double authentification

avatar mmenfin | 

@raoolito

1Password intègre la gestion de la double authentification (comme Authy ou Google authenticator), tous les gestionnaires de mots de passe ne le font pas.

avatar Nicolas Furno | 

@raoolito

Si, 1Password gère parfaitement les codes 2FA. Je ne sais pas pourquoi ce n’est pas mieux connu, mais c’est la meilleure solution pour moi, d’autant qu’il met automatiquement le code dans le presse papier donc il. Y a pas plus rapide.

Le SMS sont encore parfois la seule option. J’ignorais pour PayPal, mais installer leur app rien que pour ça…

avatar raoolito | 

@nicolasf

Merci pour l'info les gars !
( l'app paypal fait heureusement plus que cela ^^ )

avatar turismo | 

@nicolasf

Le soucis de mettre tous les œufs dans le même panier est que si un jour il y a une faille chez 1Password, tous les sites en 2FA sont accessibles.

avatar Nicolas Furno | 

@turismo

C’est vrai, mais je suis prêt à faire cette concession en échange du confort au quotidien. 1Password existe depuis un paquet d’années et n’a jamais donné une raison de douter de sa sécurité donc ça me convient.

avatar Sindanárië | 

@nicolasf

J’ai jamais voulu laisser la gestion des mots de passe à une app. Est-ce vraiment bien ? Je suis très dubitatif

avatar Nicolas Furno | 

@Sindanárië

Ben oui, et depuis des années.

C’est quoi l’alternative ? Utiliser un seul mot de passe ? Tout écrire dans un cahier ? 🤔

avatar fornorst | 

@nicolasf

Un mot de passe (très fort) pour ton mail et ta banque, si possible différents l’un de l’autre, de l’authentification en 2 facteurs quand tu le peux puis un mot de passe unique généré par ton navigateur pour les autres sites que tu utilises rarement ou dont tu te fous. Pas besoin de le retenir : si tu veux te reconnecter tu passes par la fonction mot de passe oublié qui fait office d’OTP, One Time Password, la fonction la plus sécurisée possible (sous réserve d’avoir blindé ton mail) mais trop rarement proposée :(

avatar showmehowtolive | 

@fornorst

Et ne pas mettre le mdp iCloud dans 1Password. Comme ça même en cas de piratage ils n’auront pas le principal.

avatar Nicolas Furno | 

@fornorst

Un mot de passe, pour une banque ? Mais vous vivez dans un univers parallèle ?? 😳

(Code à six chiffres obligatoire, c’est encore la norme pour moi… 🤦‍♂️)

avatar fornorst | 

@nicolasf

En vrai moi aussi sur ma banque principale (et avec un code à taper sur un pavé HTML vraiment deguelasse...) mais sur N26, j’ai un mot de passe plus sécurisé

avatar Nicolas Furno | 

@fornorst

Ah oui alors, pareil. Mais N26 reste secondaire pour moi.

avatar Sindanárië | 

@nicolasf
“Ben oui, et depuis des années.

C’est quoi l’alternative ? Utiliser un seul mot de passe ? Tout écrire dans un cahier ? 🤔”

Bah non. 😕

Juste ma mémoire et je travaille avec des séquences ou des formules pour retenir.

1- J’utilise des redirections ou alias mails uniques et différents pour chaque site/service ou app. quand il y’a besoin d’un mail.

Pour chaque service / site / app :
Mots de passe avec 10 caractères minimum.
Avec maj/min + caractères spéciaux et chiffres

Les mots de passe sont totalement différents pour chaque (pas de correspondance entre chaque mot de passe supérieure à 5 caractères).

Pour l’instant c’est tout de mémoire.

Pas encore besoin de 🖊 ou carnet.

Mais je deviens feignant avec l’âge. Et je demandais pour cela. Et oui quand t’arrive à des combinaisons de près de 110 mots de passe différents / adresses mails / sites / services à retenir c’est fatiguant parfois pour la mémoire.

avatar Nicolas Furno | 

@Sindanárië

C’est impressionnant mais je pense que ça reste inférieur à un gestionnaire de mot de passe qui permet de définir des mots de passe de trente caractères ou plus et sans aucune aide mémo technique à prendre en compte.

Et puis j’ai beaucoup trop d’identifiants et informations stockés dans 1Password pour tout retenir. Près de 1000 actuellement, même si un bon nombre ne me sert plus.

avatar Sindanárië | 

@nicolasf

Je passerai bien à OnePassword ou dashlane selon vos bons conseils à tous.

Les mots de passes sont générés automatiquement dans ces apps ? (comme la solution des mots de passe forts suggérés et générés par le trousseau Apple) ou bien ont peut les définir soit même ?

Ça me tracasse d’avoir des mots de passe générés sans les connaître moi même.

Je sais que dans les trousseaux Apple ont peut éventuellement les voir, ce dont je n’ai jamais besoin vu que je génère mes clés moi-même. Mais dans ces apps ?

avatar Nicolas Furno | 

@Sindanárië

Ces apps servent avant tout à enregistrer des mots de passe. Donc elles peuvent mémoriser ce que vous voulez.

avatar EBLIS | 

Comme toi j'avais mémorisé plus ou moins 200 mots de passe complexes (15-20 caractères), j'ai même en tête des numéros de série de logiciels vieux de 20 ans et je commençais à m'emmêler les pinceaux. Je suis passé à Dashlane qui a allégé ma mémoire :-D
Il est bien mais je trouve qu'il manque de fonctions et il ne reconnaît pas toujours les champs ID des apps et sites sur les différents navigateurs iOS, Android, Windows et Mac. Peut-être d'autres sont mieux intégrés.

avatar Alex Giannelli | 

@nicolasf

Avez-vous essayé Bitwarden, avant 1password ? J'utilise un moyen mnémotechnique pour retenir tous les mots de passe différents à chaque fois (avec des parties communes tout de même), mais j'aimerais centraliser tout ça, et j'entends beaucoup de bien de Bitwarden, bien plus accessible financièrement.

avatar frankm | 

@raoolito

Ici gestionnaire de mots de passe. Dès réception du sms remplissage auto du code.

avatar The Joker WSS | 

Il faut aussi intégrer les codes générés par mail dans ce cas là

avatar Un Type Vrai | 

comme je l'ai fait remarqué à ma banque (corrigé depuis) il ne faut pas que le code soit au début du SMS.
Sinon la notification l'affiche sans avoir besoin de déverrouiller l'appareil (configuration par défaut des notifications)

avatar Krysten2001 | 

@Un Type Vrai

Tu as quoi comme smartphone ?

avatar ON3AL | 

Le téléphone pourrait également reconnaitre que c'est un sms contenant un code d'auth et à ce moment là peu importe les paramètres de notif du tel, il sera marqué "protégé" ou autre.

avatar PetrusM | 

C'est vrai que 1Password gère le 2FA. J'utilise 1Password pour les mots de passe. Mais en revanche j'utilise Authy pour le 2FA (bien que moins ergonomique... il leur reste un peu de travail, en particulier sur Mac!).

Pourquoi ? Pour éviter d'annuler tout l'intérêt de 1Password. Si j'enregistre mot de passe et 2FA au même endroit, bah c'est comme si j'avais un seul moyen d'authentification... Sans compter que 1Password lui aussi est protégé par le 2FA, et qu'on est donc bien obligé d'avoir une autre application, histoire de ne pas enfermer dans le coffre sa propre clef !

Déjà que ça m'embête d'avoir les deux applis sur le même device... (Mais bon on va pas se mentir, si on ne veut pas faire comme ça, l'ergonomie en prend un vieux coup !)

avatar fosterj | 

Authy contre Authenticator ? Des avis sur le meilleur ?

avatar PetrusM | 

@fosterj

Bah Authenticator = Google, donc pour moi c'est rédhibitoire vu leur passif en matière de vie privée...

Authy est multiplateforme et synchronisé entre les plateformes (y compris macOS). A priori Authenticator c'est juste pour les mobiles (à vérifier).

avatar sinbad21 | 

Authenticator accepté par de très nombreux sites. Marche très bien, sur Android et sur iOS. Et il faut arrêter de psychoter sur Google, que tout le monde encensait à ses débuts. Il a ses défauts, mais il ne faut rien exagérer non plus.

avatar PetrusM | 

@sinbad21

C'est un protocole standard, Google ou Authy fonctionnent sur exactement les mêmes sites.

avatar YAZombie | 

Il existe aussi Microsoft Authenticor.

avatar koko256 | 

L'authentification par deux facteurs devrait être un SMS (preuve de possession) plus une application (preuve de connaissance). Ras le bol des mots de passes. Ajouter un certificat dont la clé privée est stockée dans l'enclave sécurisée pour une reconnexion rapide et hop...

avatar doloris | 

@koko256

"plus une application (preuve de connaissance)"

Avoir une application c’est de la connaissance ??

avatar koko256 | 

@doloris

En général, l'application demande une identification classique.

avatar fousfous | 

Mieux vaut pas de d'identification à 2 facteurs que de passer par les SMS que je rappelle se baladent en clair dans la nature...
Les banques sont championne de la sécurité à ce niveau...

avatar Ced31400 | 

@fousfous

Oui faut pas exagérer non plus !

avatar ShugNinx | 

J'utilise OTP Auth pour gérer les codes 2FA, quel est l'intérêt d'utiliser un gestionnaire de mot de passe pour ça ?

avatar MugiwaraLuffy | 

Authy est une vrai plaie, à bannir totalement, heureusement qu’on peut extraire la clé pour mettre le 2FA sur 1Password.

En parlant de ce dernier il n’y a aucun soucis à gérer le 2FA dans le gestionnaire de mot de passe. De une c’est pratique car 1P rempli les champs puis copie le code totp directement dans le presse papier. De deux c’est totalement sécurisé même sans 2FA 1Password a le lien de connexion puis la mastercle et le secret donc ça va.

avatar nykk | 

Je ne confierai jamais ce genre de données à un logiciel propriétaire...

avatar theovln | 

Avec les nouvelles régulations européennes sur le paiement (DSP2), le sms ne sera plus considéré comme un moyen d’authentification fort et sera donc abandonné.
Il n’y aura donc plus beaucoup de cas ou l’on reçoit un sms pour se connecter.

avatar studdywax | 

Apple qui veut créer des standards.. c’est pas comme si les gars nous emmerdent avec des trucs propres a eux depuis 25 ans

avatar Aminems91322 | 

Une question rien à voir svp s'en ai ou le sign up with apple ?

avatar jardineur | 

Hello tout le monde,

Le problème des mots de passe est très simple : leur gestion est trop compliqué pour la plupart des utilisateurs. Nous sommes tous ici soit des passionnés, soit des geek. Mais pas notre mère de 70 ans qui se débrouille fort bien sur internénette mais est gavée par ces foutus MdP qui ne sont jamais au même format :
- 4 chiffres (SFR), 6 chiffres (certaines banques), 8 chiffres (d'autres banques et la Sécu)
- que des lettres, parfois des majuscules et des minuscules (si, ça existe encore)
- des lettres et des chiffres, mais pas forcément des majuscules
- des lettres, des chiffres, des majuscules et des minuscules (nombreux)
- des lettres, des chiffres, des majuscules, des minuscules et un caractère spécial dans une liste infinie
- des lettres, des chiffres, des majuscules, des minuscules et un caractère spécial dans une liste déterminée, jamais la même selon les sites...
- et par la dessus, un nombre minimum variable de caractères

Bref, on ne s'en sort pas. Alors tout sur Dashlane ou autre ? Nan !!! Pourquoi eux se feraient moins piratés que moi au fond de ma cambrousse ? C'est plus rigolo de pirater une base de données de 100 millions d'individus que le plouc du coin, non ?

Perso j'ai grosso modo 3 types de MdP, mémorisables assez facilement :
- des costauds pour des sites sensibles
- des costauds mais différents des précédents pour d'autres sites sensibles
- des courants pour La Redoute ou n'importe quel forum

et vu les conditions posées par les constructeurs des sites, ça devient tordu d'avoir des costauds mémorisables dans ma tête ! Bon d'accord, je peux être torturé pour qu'on connaisse mon code CB (4 chiffres... c'est peu) mais lui n'est écrit nulle part...

Alors comment me rappeler mes différents MdP ? Pas pure mnémotechnique. Rien de récupérable dans mon identité, tout dans mes souvenirs d'enfance. Et le tout est codé directement dans les marque-pages de mon Firefox dans le champ "étiquettes".
Par exemple, si dans un MdP j'ai mis le nom de la maison de vacances de mon enfance (qui n'est mentionnée nulle part ni dans mes papiers, ni dans mes fichiers : purement introuvable sauf par torture), je code ce nom : "villa". Démerde toi avec ça. Et si je code "villa-cb-symb-pays", ça va quand même être compliqué de trouver le MdP correspondant même s'il y a des indices.

Alors oui, on peut sécuriser autant que possible via des sites de stockages externes... Mais quitte à se protéger du piratage, autant le faire chez soi, non ? Et le cahier n'est pas forcément idiot si tout y est codé. Ça peut même être un un fichier Xl ou pdf avec MdP à l'ouverture.
Ça n'enlève pas le fait qu'on n'aura pas autant de MdP que de sites sur lesquels on est inscrits : pour ma part, j'en ai listé plus de 200. 200 MdP, c'est pas du délire ?

Quand à la double identification via SMS, je ne vois pas bien comment on peut s'en passer. Tout le monde n'a pas un smartphone connecté et n'oublions pas qu'il y a encore des zones blanches en France...

Autre chose : 10 ou 14% de la population française est analphabète informatique... La machine à exclusion marche à plein régime.

Bonne route !

Euh.. PS : les Mac sont-ils toujours aussi piratables lorsqu'on les connecte en mode Target ?

avatar jardineur | 

Hello tout le monde,

Le problème des mots de passe est très simple : leur gestion est trop compliqué pour la plupart des utilisateurs. Nous sommes tous ici soit des passionnés, soit des geek. Mais pas notre mère de 70 ans qui se débrouille fort bien sur internénette mais est gavée par ces foutus MdP qui ne sont jamais au même format :
- 4 chiffres (SFR), 6 chiffres (certaines banques), 8 chiffres (d'autres banques et la Sécu)
- que des lettres, parfois des majuscules et des minuscules (si, ça existe encore)
- des lettres et des chiffres, mais pas forcément des majuscules
- des lettres, des chiffres, des majuscules et des minuscules (nombreux)
- des lettres, des chiffres, des majuscules, des minuscules et un caractère spécial dans une liste infinie
- des lettres, des chiffres, des majuscules, des minuscules et un caractère spécial dans une liste déterminée, jamais la même selon les sites...
- et par la dessus, un nombre minimum variable de caractères

Bref, on ne s'en sort pas. Alors tout sur Dashlane ou autre ? Nan !!! Pourquoi eux se feraient moins piratés que moi au fond de ma cambrousse ? C'est plus rigolo de pirater une base de données de 100 millions d'individus que le plouc du coin, non ?

Perso j'ai grosso modo 3 types de MdP, mémorisables assez facilement :
- des costauds pour des sites sensibles
- des costauds mais différents des précédents pour d'autres sites sensibles
- des courants pour La Redoute ou n'importe quel forum

et vu les conditions posées par les constructeurs des sites, ça devient tordu d'avoir des costauds mémorisables dans ma tête ! Bon d'accord, je peux être torturé pour qu'on connaisse mon code CB (4 chiffres... c'est peu) mais lui n'est écrit nulle part...

Alors comment me rappeler mes différents MdP ? Pas pure mnémotechnique. Rien de récupérable dans mon identité, tout dans mes souvenirs d'enfance. Et le tout est codé directement dans les marque-pages de mon Firefox dans le champ "étiquettes".
Par exemple, si dans un MdP j'ai mis le nom de la maison de vacances de mon enfance (qui n'est mentionnée nulle part ni dans mes papiers, ni dans mes fichiers : purement introuvable sauf par torture), je code ce nom : "villa". Démerde toi avec ça. Et si je code "villa-cb-symb-pays", ça va quand même être compliqué de trouver le MdP correspondant même s'il y a des indices.

Alors oui, on peut sécuriser autant que possible via des sites de stockages externes... Mais quitte à se protéger du piratage, autant le faire chez soi, non ? Et le cahier n'est pas forcément idiot si tout y est codé. Ça peut même être un un fichier Xl ou pdf avec MdP à l'ouverture.
Ça n'enlève pas le fait qu'on n'aura pas autant de MdP que de sites sur lesquels on est inscrits : pour ma part, j'en ai listé plus de 200. 200 MdP, c'est pas du délire ?

Quand à la double identification via SMS, je ne vois pas bien comment on peut s'en passer. Tout le monde n'a pas un smartphone connecté et n'oublions pas qu'il y a encore des zones blanches en France...

Autre chose : 10 ou 14% de la population française est analphabète informatique... La machine à exclusion marche à plein régime.

Bonne route !

Euh.. PS : les Mac sont-ils toujours aussi piratables lorsqu'on les connecte en mode Target ?

avatar Gregoryen | 

Des fois nous n’avons pas le choix. Certains site le propose que la double auth par sms et non par une appli tel que dashlane ou autre appli qui gère ça.

avatar pomme-analogique | 

Pareil, avec quelques 500 identifiants, je n’ai plus le choix que de gérer tous ces mots de passe à l’aide d’un logiciel (en l’occurrence 1Password). Mais je reste convaincu qu’il s’agit d’une meilleure solution que de mettre partout le même mot de passe ou avoir la même systématique. J’ai également créé de nombreuses adresses e-mail différentes, histoire de ne pas être trop traçable facilement et accessoirement pouvoir supprimer l’adresse si je commence à y recevoir du spam (avec l’avantage en plus de savoir d’où vient la fuite…)

CONNEXION UTILISATEUR