À compter d'iOS 14 et de macOS Big Sur, Apple va utiliser un nouveau système pour gérer les codes d'authentification reçus par SMS, lorsque vous devez valider votre identité sur un site web ou dans une app.
C'est la concrétisation d'une initiative d'Apple, détaillée en janvier dernier, et que n'importe quel éditeur de systèmes d'exploitation peut reprendre à son compte (lire Apple propose de standardiser les SMS avec code d’authentification).
Aujourd'hui, Apple explique aux développeurs la manière de formater le texte des SMS d'authentification qu'ils envoient à leurs utilisateurs, d'une façon qui peut garantir leur origine.
Cette assurance, pour l'utilisateur, passe par la présence dans le SMS d'un nom de domaine identique à celui du site web sur lequel vous vous identifiez (ou, s'il s'agit d'une app, celle-ci doit être liée à ce domaine également).
Ces messages auront une forme standard. Ils commenceront par un texte d'explication dont le contenu est laissé aux bons soins de l'émetteur, suivi d'une ligne à la syntaxe précise : un nom de domaine précédé d'une arobase puis le code d'authentification à 6 chiffres. C'est ce code qui est ensuite affiché dans l'interface de saisie et que l'on peut entrer d'un tap, sans avoir à le taper au clavier ou le copier-coller.
La différence, avec la méthode actuelle qui repose déjà sur ce principe de remplissage automatique, c'est que le code ne sera proposé à l'utilisateur que s'il y a une correspondance entre le nom de domaine du site que vous visitez et celui inclus dans le SMS reçu. Dans le cas contraire, Safari ou l'app s'abstiendront d'activer le remplissage automatique.
Cette méthode ne remplace pas la précédente, on pourra toujours recevoir des SMS d'identification sans formatage particulier et la fonction de remplissage automatique les prendra toujours en compte, mais Apple enjoint à adopter ce nouveau dispositif.
Ce renfort de la sécurité lorsqu'on utilise ces SMS devrait être utilisé aussi par Google pour Chrome, en attendant peut-être les autres éditeurs de navigateurs. Apple a soumis ce mécanisme au W3C pour standardisation.
