L’équipe WebKit d’Apple propose de standardiser et de sécuriser les codes d’authentification SMS à deux facteurs avec les URL (via ZDNet).

URL SMS

L’idée de l’équipe comporte deux parties. La première consiste à associer ces codes SMS à une URL, en ajoutant l’URL directement dans le texte. La deuxième partie serait un peu plus difficile: normaliser ce format afin que d’autres navigateurs et applications puissent travailler avec ces messages. Cependant, les ingénieurs de Google Chromium travaillent déjà avec l’équipe WebKit. Mozilla n’a pas encore donné de commentaires.

Cela éliminerait l’interaction de l’utilisateur, car un navigateur ou une application pourrait détecter automatiquement le SMS, lire le domaine Web, extraire le code d’accès et vous connecter. Le format ressemblerait à ceci, à titre d’exemple:

747723 est ton SITE INTERNET code d’identification.

@website.com #747723

Avec cette proposition, si une personne tombe amoureux d’un site Web de phishing, il y aurait un décalage entre l’URL dans le texte et l’URL du faux site Web. Le système pourrait alors alerter la personne qu’elle ne correspond pas.

C’est une excellente idée, mais elle ne résout toujours pas la plus grande faiblesse de l’authentification SMS à deux facteurs: l’échange de SIM. Dans cette attaque, quelqu’un pourrait prétendre être vous et demander à votre opérateur de transférer votre numéro sur la carte SIM de l’attaquant. Ils pourraient alors recevoir vos codes SMS, même avec la proposition de WebKit.

Une façon d’atténuer cette menace consiste à créer un code PIN SIM, et j’explique comment le faire avec le lien ci-dessous.

Lectures complémentaires

[iOS: Create an iPhone SIM PIN to Further Safeguard Your Device]

[Amazon’s 2019 Transparency Report Shows Slight Decline in Government Requests]