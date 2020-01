L’équipe WebKit d’Apple propose une modification du format des codes d’accès SMS à usage unique. L’équipe de WebKit espère rendre le processus d’authentification à deux facteurs plus sûr, et la proposition définit deux objectifs pour y parvenir.

ZDNet détaille la proposition, qui a été partagée par les ingénieurs Apple sur GitHub cette semaine. Le premier objectif est de permettre d’associer des codes d’accès SMS à usage unique à une URL. Pour ce faire, les ingénieurs d’Apple proposent d’ajouter l’URL de connexion au SMS lui-même.

La deuxième partie de la proposition se concentre sur la normalisation du format des codes d’authentification SMS à deux facteurs. Cela permettrait aux navigateurs et aux applications mobiles de détecter les codes d’accès uniques et de reconnaître le domaine. À partir de là, le navigateur ou l’application pourrait «extraire automatiquement le code OTP et terminer l’opération de connexion sans autre intervention de l’utilisateur».

Jusqu’à présent, les ingénieurs de Google et d’Apple ont soutenu la proposition. Mozilla n’a pas encore commenté la proposition.

Vous trouverez ci-dessous le format des codes d’accès SMS à usage unique proposés par les ingénieurs WebKit d’Apple. La première ligne est destinée aux utilisateurs de reconnaître d’où vient le message, tandis que la deuxième ligne est destinée au site Web ou à l’application pour lire et terminer la vérification:

747723 est ton SITE INTERNET code d’identification.

@website․com #747723

ZDNet a plus d’explications sur la façon dont cela pourrait fonctionner, en particulier en ce qui concerne la prévention des attaques de phishing:

Les applications et les navigateurs extrairont automatiquement le code OTP et termineront l’opération de connexion 2FA. En cas de non-concordance et d’échec de l’opération de saisie semi-automatique, les lecteurs humains pourront voir l’URL réelle du site Web et la comparer au site auquel ils tentent de se connecter. Si les deux ne sont pas identiques, les utilisateurs seront avertis qu’ils se trouvent réellement sur un site de phishing et abandonneront leur opération de connexion.

Avec iOS 12, Apple a ajouté une nouvelle fonction de remplissage automatique des codes de sécurité, qui lit automatiquement les codes d’accès à usage unique SMS et les remplit sur le site d’origine. Cette nouvelle proposition fait passer les choses au niveau supérieur, avec un accent particulier sur l’amélioration de la sécurité et l’ajout d’une couche de protection supplémentaire pour les utilisateurs contre les attaques de phishing potentielles.

