Apple propose de standardiser les SMS avec code d’authentification

Nicolas Furno |

Apple propose de définir un standard pour les SMS associés à un code d’authentification, une pratique encore courante pour les services qui réclament un deuxième facteur. Son idée est de créer un format standard que les navigateurs et les apps pourront comprendre et exploiter, ce qui leur permettra de récupérer automatiquement les codes et de remplir l’information demandée par le site ou service. C’est précisément ce que Safari est capable de faire depuis plusieurs années.

Safari est capable de reconnaître un SMS associé à un code d’authentification et le cas échéant, d’extraire le code pour le proposer automatiquement sur le site web ou le service associé. Ici avec PayPal sur un iPad.

La fonction créée par Apple marche d’ailleurs très bien, mais elle a un défaut : faute de standard, le constructeur a créé son propre algorithme pour détecter un code dans un SMS et aussi détecter le site ou service associé. C’est une tâche complexe pour n’oublier personne et en même temps ne pas faire n’importe quoi, par exemple en confondant un code d’authentification et un numéro de téléphone.

C’est pour simplifier les choses que la firme propose un standard que tous les navigateurs pourraient prendre en charge sans risque et sans effort. La proposition d’Apple est d’identifier les SMS associés à un code d’authentification avec une syntaxe très simple. Le code serait précédé d’un # et le nom de domaine du site ou service serait identifié par un @. Le SMS pourrait aussi proposer le code sous la forme d’une phrase comme c’est systématiquement le cas aujourd’hui, mais il y aurait aussi le code et le nom de domaine avec cette syntaxe.

Voici à quoi cela pourrait ressembler :

747723 is your FooBar authentication code.

@foobar.com #747723

Safari prend d’ores et déjà en charge cette syntaxe et Google la prendra aussi en charge dans une future version de Chrome. La seule inconnue côté navigateurs à ce stade est du côté de Firefox, Mozilla n’ayant pas fait part de son intérêt ou non pour la proposition à ce stade. Si tout le monde s’y met, les sites et services auront tout intérêt à adopter ce nouveau format.

C‘est une bonne chose, même s’il convient de rappeler que les SMS doivent être évités à tout prix pour l’authentification en deux facteurs. C’est la solution la moins fiable de toutes, parce qu’il est souvent trop facile d’obtenir une copie de votre carte SIM, compromettant par la même occasion la sécurité du système. Si vous en avez la possibilité, il est préférable d’opter pour une autre méthode, comme celle basée sur des codes générés par une app spécialisée comme Authy ou un gestionnaire de mots de passe comme 1Password.


avatar fosterj | 

Authy contre Authenticator ? Des avis sur le meilleur ?

avatar PetrusM | 

@fosterj

Bah Authenticator = Google, donc pour moi c'est rédhibitoire vu leur passif en matière de vie privée...

Authy est multiplateforme et synchronisé entre les plateformes (y compris macOS). A priori Authenticator c'est juste pour les mobiles (à vérifier).

avatar sinbad21 | 

Authenticator accepté par de très nombreux sites. Marche très bien, sur Android et sur iOS. Et il faut arrêter de psychoter sur Google, que tout le monde encensait à ses débuts. Il a ses défauts, mais il ne faut rien exagérer non plus.

avatar PetrusM | 

@sinbad21

C'est un protocole standard, Google ou Authy fonctionnent sur exactement les mêmes sites.

avatar YAZombie | 

Il existe aussi Microsoft Authenticor.

avatar koko256 | 

L'authentification par deux facteurs devrait être un SMS (preuve de possession) plus une application (preuve de connaissance). Ras le bol des mots de passes. Ajouter un certificat dont la clé privée est stockée dans l'enclave sécurisée pour une reconnexion rapide et hop...

avatar doloris | 

@koko256

"plus une application (preuve de connaissance)"

Avoir une application c’est de la connaissance ??

avatar koko256 | 

@doloris

En général, l'application demande une identification classique.

avatar fousfous | 

Mieux vaut pas de d'identification à 2 facteurs que de passer par les SMS que je rappelle se baladent en clair dans la nature...
Les banques sont championne de la sécurité à ce niveau...

avatar Ced31400 | 

@fousfous

Oui faut pas exagérer non plus !

avatar ShugNinx | 

J'utilise OTP Auth pour gérer les codes 2FA, quel est l'intérêt d'utiliser un gestionnaire de mot de passe pour ça ?

avatar MugiwaraLuffy | 

Authy est une vrai plaie, à bannir totalement, heureusement qu’on peut extraire la clé pour mettre le 2FA sur 1Password.

En parlant de ce dernier il n’y a aucun soucis à gérer le 2FA dans le gestionnaire de mot de passe. De une c’est pratique car 1P rempli les champs puis copie le code totp directement dans le presse papier. De deux c’est totalement sécurisé même sans 2FA 1Password a le lien de connexion puis la mastercle et le secret donc ça va.

avatar nykk | 

Je ne confierai jamais ce genre de données à un logiciel propriétaire...

avatar theovln | 

Avec les nouvelles régulations européennes sur le paiement (DSP2), le sms ne sera plus considéré comme un moyen d’authentification fort et sera donc abandonné.
Il n’y aura donc plus beaucoup de cas ou l’on reçoit un sms pour se connecter.

avatar studdywax | 

Apple qui veut créer des standards.. c’est pas comme si les gars nous emmerdent avec des trucs propres a eux depuis 25 ans

avatar Aminems91322 | 

Une question rien à voir svp s'en ai ou le sign up with apple ?

avatar jardineur | 

Hello tout le monde,

Le problème des mots de passe est très simple : leur gestion est trop compliqué pour la plupart des utilisateurs. Nous sommes tous ici soit des passionnés, soit des geek. Mais pas notre mère de 70 ans qui se débrouille fort bien sur internénette mais est gavée par ces foutus MdP qui ne sont jamais au même format :
- 4 chiffres (SFR), 6 chiffres (certaines banques), 8 chiffres (d'autres banques et la Sécu)
- que des lettres, parfois des majuscules et des minuscules (si, ça existe encore)
- des lettres et des chiffres, mais pas forcément des majuscules
- des lettres, des chiffres, des majuscules et des minuscules (nombreux)
- des lettres, des chiffres, des majuscules, des minuscules et un caractère spécial dans une liste infinie
- des lettres, des chiffres, des majuscules, des minuscules et un caractère spécial dans une liste déterminée, jamais la même selon les sites...
- et par la dessus, un nombre minimum variable de caractères

Bref, on ne s'en sort pas. Alors tout sur Dashlane ou autre ? Nan !!! Pourquoi eux se feraient moins piratés que moi au fond de ma cambrousse ? C'est plus rigolo de pirater une base de données de 100 millions d'individus que le plouc du coin, non ?

Perso j'ai grosso modo 3 types de MdP, mémorisables assez facilement :
- des costauds pour des sites sensibles
- des costauds mais différents des précédents pour d'autres sites sensibles
- des courants pour La Redoute ou n'importe quel forum

et vu les conditions posées par les constructeurs des sites, ça devient tordu d'avoir des costauds mémorisables dans ma tête ! Bon d'accord, je peux être torturé pour qu'on connaisse mon code CB (4 chiffres... c'est peu) mais lui n'est écrit nulle part...

Alors comment me rappeler mes différents MdP ? Pas pure mnémotechnique. Rien de récupérable dans mon identité, tout dans mes souvenirs d'enfance. Et le tout est codé directement dans les marque-pages de mon Firefox dans le champ "étiquettes".
Par exemple, si dans un MdP j'ai mis le nom de la maison de vacances de mon enfance (qui n'est mentionnée nulle part ni dans mes papiers, ni dans mes fichiers : purement introuvable sauf par torture), je code ce nom : "villa". Démerde toi avec ça. Et si je code "villa-cb-symb-pays", ça va quand même être compliqué de trouver le MdP correspondant même s'il y a des indices.

Alors oui, on peut sécuriser autant que possible via des sites de stockages externes... Mais quitte à se protéger du piratage, autant le faire chez soi, non ? Et le cahier n'est pas forcément idiot si tout y est codé. Ça peut même être un un fichier Xl ou pdf avec MdP à l'ouverture.
Ça n'enlève pas le fait qu'on n'aura pas autant de MdP que de sites sur lesquels on est inscrits : pour ma part, j'en ai listé plus de 200. 200 MdP, c'est pas du délire ?

Quand à la double identification via SMS, je ne vois pas bien comment on peut s'en passer. Tout le monde n'a pas un smartphone connecté et n'oublions pas qu'il y a encore des zones blanches en France...

Autre chose : 10 ou 14% de la population française est analphabète informatique... La machine à exclusion marche à plein régime.

Bonne route !

Euh.. PS : les Mac sont-ils toujours aussi piratables lorsqu'on les connecte en mode Target ?

avatar jardineur | 

Hello tout le monde,

Le problème des mots de passe est très simple : leur gestion est trop compliqué pour la plupart des utilisateurs. Nous sommes tous ici soit des passionnés, soit des geek. Mais pas notre mère de 70 ans qui se débrouille fort bien sur internénette mais est gavée par ces foutus MdP qui ne sont jamais au même format :
- 4 chiffres (SFR), 6 chiffres (certaines banques), 8 chiffres (d'autres banques et la Sécu)
- que des lettres, parfois des majuscules et des minuscules (si, ça existe encore)
- des lettres et des chiffres, mais pas forcément des majuscules
- des lettres, des chiffres, des majuscules et des minuscules (nombreux)
- des lettres, des chiffres, des majuscules, des minuscules et un caractère spécial dans une liste infinie
- des lettres, des chiffres, des majuscules, des minuscules et un caractère spécial dans une liste déterminée, jamais la même selon les sites...
- et par la dessus, un nombre minimum variable de caractères

Bref, on ne s'en sort pas. Alors tout sur Dashlane ou autre ? Nan !!! Pourquoi eux se feraient moins piratés que moi au fond de ma cambrousse ? C'est plus rigolo de pirater une base de données de 100 millions d'individus que le plouc du coin, non ?

Perso j'ai grosso modo 3 types de MdP, mémorisables assez facilement :
- des costauds pour des sites sensibles
- des costauds mais différents des précédents pour d'autres sites sensibles
- des courants pour La Redoute ou n'importe quel forum

et vu les conditions posées par les constructeurs des sites, ça devient tordu d'avoir des costauds mémorisables dans ma tête ! Bon d'accord, je peux être torturé pour qu'on connaisse mon code CB (4 chiffres... c'est peu) mais lui n'est écrit nulle part...

Alors comment me rappeler mes différents MdP ? Pas pure mnémotechnique. Rien de récupérable dans mon identité, tout dans mes souvenirs d'enfance. Et le tout est codé directement dans les marque-pages de mon Firefox dans le champ "étiquettes".
Par exemple, si dans un MdP j'ai mis le nom de la maison de vacances de mon enfance (qui n'est mentionnée nulle part ni dans mes papiers, ni dans mes fichiers : purement introuvable sauf par torture), je code ce nom : "villa". Démerde toi avec ça. Et si je code "villa-cb-symb-pays", ça va quand même être compliqué de trouver le MdP correspondant même s'il y a des indices.

Alors oui, on peut sécuriser autant que possible via des sites de stockages externes... Mais quitte à se protéger du piratage, autant le faire chez soi, non ? Et le cahier n'est pas forcément idiot si tout y est codé. Ça peut même être un un fichier Xl ou pdf avec MdP à l'ouverture.
Ça n'enlève pas le fait qu'on n'aura pas autant de MdP que de sites sur lesquels on est inscrits : pour ma part, j'en ai listé plus de 200. 200 MdP, c'est pas du délire ?

Quand à la double identification via SMS, je ne vois pas bien comment on peut s'en passer. Tout le monde n'a pas un smartphone connecté et n'oublions pas qu'il y a encore des zones blanches en France...

Autre chose : 10 ou 14% de la population française est analphabète informatique... La machine à exclusion marche à plein régime.

Bonne route !

Euh.. PS : les Mac sont-ils toujours aussi piratables lorsqu'on les connecte en mode Target ?

avatar Gregoryen | 

Des fois nous n’avons pas le choix. Certains site le propose que la double auth par sms et non par une appli tel que dashlane ou autre appli qui gère ça.

avatar pomme-analogique | 

Pareil, avec quelques 500 identifiants, je n’ai plus le choix que de gérer tous ces mots de passe à l’aide d’un logiciel (en l’occurrence 1Password). Mais je reste convaincu qu’il s’agit d’une meilleure solution que de mettre partout le même mot de passe ou avoir la même systématique. J’ai également créé de nombreuses adresses e-mail différentes, histoire de ne pas être trop traçable facilement et accessoirement pouvoir supprimer l’adresse si je commence à y recevoir du spam (avec l’avantage en plus de savoir d’où vient la fuite…)

Pages

CONNEXION UTILISATEUR