Apple prépare les développeurs aux nouveaux SMS d'authentification

Florian Innocente |

À compter d'iOS 14 et de macOS Big Sur, Apple va utiliser un nouveau système pour gérer les codes d'authentification reçus par SMS, lorsque vous devez valider votre identité sur un site web ou dans une app.

C'est la concrétisation d'une initiative d'Apple, détaillée en janvier dernier, et que n'importe quel éditeur de systèmes d'exploitation peut reprendre à son compte (lire Apple propose de standardiser les SMS avec code d’authentification).

Aujourd'hui, Apple explique aux développeurs la manière de formater le texte des SMS d'authentification qu'ils envoient à leurs utilisateurs, d'une façon qui peut garantir leur origine.

Cette assurance, pour l'utilisateur, passe par la présence dans le SMS d'un nom de domaine identique à celui du site web sur lequel vous vous identifiez (ou, s'il s'agit d'une app, celle-ci doit être liée à ce domaine également).

Ces messages auront une forme standard. Ils commenceront par un texte d'explication dont le contenu est laissé aux bons soins de l'émetteur, suivi d'une ligne à la syntaxe précise : un nom de domaine précédé d'une arobase puis le code d'authentification à 6 chiffres. C'est ce code qui est ensuite affiché dans l'interface de saisie et que l'on peut entrer d'un tap, sans avoir à le taper au clavier ou le copier-coller.

La différence, avec la méthode actuelle qui repose déjà sur ce principe de remplissage automatique, c'est que le code ne sera proposé à l'utilisateur que s'il y a une correspondance entre le nom de domaine du site que vous visitez et celui inclus dans le SMS reçu. Dans le cas contraire, Safari ou l'app s'abstiendront d'activer le remplissage automatique.

Cette méthode ne remplace pas la précédente, on pourra toujours recevoir des SMS d'identification sans formatage particulier et la fonction de remplissage automatique les prendra toujours en compte, mais Apple enjoint à adopter ce nouveau dispositif.

Ce renfort de la sécurité lorsqu'on utilise ces SMS devrait être utilisé aussi par Google pour Chrome, en attendant peut-être les autres éditeurs de navigateurs. Apple a soumis ce mécanisme au W3C pour standardisation.

avatar r e m y | 

C'est bien de sécuriser un peu plus mais la validation par code reçu par sms est plutôt en passe d'être abandonnée (à commencer par les banques) en raison des arnaques à la substitution de carte SIM.

Ce qui serait bien aussi, c'est que tant que ces sms de validation subsistent, il faudrait éviter que le code soit lisible directement sur l'écran d'accueil de l'iPhone sans même avoir besoin de le déverrouiller.

avatar raoolito | 

@r e m y

clairement la double validation par application est de loin le plus sur...

avatar madaniso | 

Comment expliquez vous alors de piratage massif de grands comptes sur Twitter cette année alors que tout le monde utilise l'authentification à double facteur dessus ? :)

avatar heu | 

@madaniso

Aucun rapport. C’est un accès par l’intranet de Twitter.

avatar dorninem | 

@heu

Et oui... 'Quand le vers est dans le fruit...' 😎

avatar Sgt. Pepper | 

@r e m y

Suffit juste de régler dans « FaceId & Code » pour que le contenu soit visible qu’un fois déverrouillé...

avatar r e m y | 

@Sgt. Pepper

Je ne pense pas que ce soit à cet endroit, mais je comprends la suggestion. (D'ailleurs je ne trouve plus où se trouve le réglage permettant de choisir d'afficher ou pas, les sms sur l'écran verrouillé)

Sauf qu'avoir les sms lisibles, en partie, sur l'écran d'accueil verrouillé est pratique. Il faudrait juste que les sms de code de validation respectent un formatage plaçant le code après la 5e ou 6e ligne pour qu'il ne soit lisible qu'en déverrouillant pour lire la totalité du message.

avatar Sgt. Pepper | 

@r e m y

🤦‍♂️ Ha oui: dans « Notifications > Afficher les aperçus »
Désolé.

Avec une Watch, plus besoin des Aperçus an mode verrouillé 😎

avatar David Finder | 

@r e m y

Dans les réglages de notifications

avatar McFlan | 

@r e m y

La validation par sms n’est pas du tout prête d’être abandonnée. Elle doit être écartée pour certaines opérations, comme les opérations bancaires (encore qu’elle pourrait être maintenue mais elle n’est légalement plus suffisante). Mais elle reste utile voire incontournable pour certaines opérations. De plus, une appli dédiée (coûteuse à mettre en place) ne peut pas remplacer le SMS pour certaines de ces opérations. Quoi de mieux pour vérifier la validité du numéro de téléphone par exemple?

avatar Sgt. Pepper | 

Une super initiative pour éviter le Phishing 🙌

- User ouvre un site fake: SiteFake .com et s’indentifie
- SiteFake demande un acces a site .com
- User reçoit le code de site .com
- iOS rentre le code automatiquement dans siteFake .com et le hacker a l’accès complet 😱

Avec ce nouveau systeme, iOS ne fera plus le remplissage auto.

Bien sur, le 2FA est bien mieux mais en attendant que son support soit généralisé »...
(Et trop complexe pour Madame Michu?)

avatar 8iMac | 

Je vois plus ça comme une fonctionnalité qui évite d'avoir une proposition de remplissage automatique sur un écran qui n'en demande pas (ex : je m'authentifie sur Twitter et en attendant le SMS je vais sur Facebook).

Je suis pas très convaincue pour l'anti-phishing car le SMS va bien arrivé sur le téléphone donc l'immense majorité des gens vont juste copier-coller le code reçu par SMS dans l'application "malicieuse".

avatar Sgt. Pepper | 

@8iMac

Si tu avais lu attentivement, tu saurais que cela ne concerne QUE le remplissage Auto d’iOS.

Pas de changement sur une action manuelle.

avatar 8iMac | 

@Sgt. Pepper
Et c’est justement parce que j’ai lu attentivement que je te redis une nouvelle fois que c’est pas une action anti-fishing

avatar Sgt. Pepper | 

@8iMac

🤡🤡🤡

“ This makes it harder for an attacker to trick someone into entering one-time codes into a

PHISHING

site.”

https://developer.apple.com/news/?id=z0i801mg

(Et c’est phishing pas “fishing” 🤣🤣)

avatar 8iMac | 

@Sgt. Pepper

C’est pas parce qu’Apple le dit qu’il faut boire leur soupe. En l’occurence, je doute que madame michu se dise « Ok je vais pas saisir à la main le code envoyé par sms parce que mon iPhone ne m’a pas proposé automatiquement de le remplir pour moi sur Safari, on essaye probablement de m’hammeçonner ! »

avatar Bigdidou | 

@8iMac

« donc l'immense majorité des gens vont juste copier-coller le code reçu par SMS »

En constatant qu’appuyer sur le lien ne provoque aucune action et aucune alerte.
Oui, je pense aussi.

avatar Sgt. Pepper | 

@Bigdidou

Cela concerne bien QUE l’AutoFill...
L’utilisateur n’a rien a faire

«  This makes it harder for an attacker to trick someone into entering one-time codes into a phishing site. »
https://developer.apple.com/news/?id=z0i801mg

avatar Bigdidou | 

@Sgt. Pepper

J’ai bien compris, mais quand l’auto fill ne fonctionnera pas, est-ce qu’on aura une alerte de securité ?

avatar Sgt. Pepper | 

@Bigdidou

Compris quoi?

Je vous cite: « qu’appuyer sur le lien ne provoque aucune action et aucune alerte. »
Puisqu’il n’y a aucun lien dans le SMS.

L’info est claire, cela concerne l’AutoFill par Safari.

avatar Bigdidou | 

@Sgt. Pepper

J’ai voulu faire court, je me suis effectivement mal exprimé, ou je n’ai effectivement pas compris quelque chose.

Si le processus de reconnaissance automatique est bloqué, tu te retrouves avec un SMS @quelque chose suivi du code, c’est ça ou pas ?
Est ce que un message t’alerte que le truc est suspect ou pas ?
Qu’est-ce qui empêche quelqu’un de peu averti de copier-coller le code reçu ?

avatar Marius_K | 

Ce qui serait encore mieux c'est qu'Apple permette aux apps iOS d'utiliser l'envoi d'un code sur un appareil de confiance, comme quand on se connecte à son compte iCloud...

avatar Rom 1 | 

Bah la Caisse d'Epargne, qui est pourtant en retard sur certaines choses, a abandonné cette authentification et c'est pas plus mal. Désormais, il y a une notification qui apparaît sur l'iPhone en cas d'achat sur le net/appli et on doit valider via une identification Face ID. C'est bien plus pratique.

avatar Sgt. Pepper | 

@Rom 1

Sauf si tu es à l’étranger, sans Cnx Data sur ton mobile.
Et que tu as besoin de te connecter a ta banque dans un cybercafé (ou autres)....

Je préfère les 2FA (mais faut pas perdre son mobile) 🥳

avatar TheRV | 

@Rom 1

C’est de la grosse merde ce système vive le SMS! Outre le fait que ça me casse les pieds d chercher mon téléphone si je suis sur l’iPad ou l’ordi, si j’ai pas mon téléphone ou si je le perds, impossible de faire un virement ! C’est quand même ballot que la sécurité repose sur un gadget qui se fait voler, se perd ou se casse surtout lors d’un voyage. Et d’ailleurs à l’étranger si j’ai pas de connexion data je fais comment ? Heureusement que le wifi est souvent plus développé en dehors de France ..

avatar Bigdidou | 

@TheRV

“Et d’ailleurs à l’étranger si j’ai pas de connexion data je fais comment ?”

Tu n’auras aucun souci pour valider ton virement, puisque tu ne pourras pas le faire.

“si j’ai pas mon téléphone ou si je le perds, impossible de faire un virement”

Avec le système de SMS, non, puisque sans smartphone Apple, tu ne pourras pas recevoir de SMS sur ton iPad, ni ton téléphone (on ne t’envoie pas des iMessage...).
En revanche ma banque me permet d’entrer mon iPad comme appareil permettant la validation de la transaction via l’application.

J’ai l’impression sur ce coup que tu raisonne un peu à l’envers ;)

CONNEXION UTILISATEUR