L’authentification à deux facteurs (2FA) par SMS est l’un des moyens sur lesquels de nombreuses plateformes en ligne s’appuient comme moyen de sécuriser les comptes des utilisateurs de leurs services. Dans le processus, un code à usage unique fait l’objet d’envoi sur le téléphone portable d’un internaute. Ce dernier doit ensuite l’introduire de façon manuelle sur un formulaire en ligne afin d’accéder au service. Mais, chez Apple, on est d’avis que cela ne devrait pas marcher de la sorte ; selon les ingénieurs WebKit, la procédure devrait être automatisée, toute chose qui fait qu’ils proposent une normalisation du format des SMS contenant des codes d’accès à usage unique.
Selon la nouvelle proposition, les nouveaux SMS pour les codes OTP devraient être présentés en deux lignes :
747723 est votre code d'authentification de site web.
@website.com #747723
La première, à l’intention de l’internaute, lui permettra de savoir de quel site web provient le code d’accès unique. La deuxième, bien que destinée en premier aux navigateurs et applications, s’adresse également à l’utilisateur humain. À la lecture de cette dernière, les applications et les navigateurs extrairont automatiquement le code OTP et effectueront l'opération de connexion sans intervention de l’utilisateur. Le processus de réception et de saisie d'un code d'accès à usage unique pourrait ainsi être automatisé, éliminant le risque qu'un utilisateur tombe dans le piège d'une escroquerie en saisissant un code OTP sur un site de phishing via une mauvaise URL.
Cette approche devrait également permettre de se prémunir d’un stratagème qui permet à un attaquant de prendre le contrôle d’un compte en ligne s’il a connaissance du numéro de téléphone lié. En effet, dans une vidéo de démonstration parue il y a plus de deux ans, les chercheurs de la firme de sécurité Positive Technologies illustrent la prise de contrôle d’un compte en exploitant des failles du protocole SS7 utilisé sur les réseaux de télécommunication. En 2014 lors du Chaos Communication Congress à Hambourg en Allemagne, des chercheurs en sécurité se sont étendus sur celles-ci. Il est connu depuis lors qu’il permet de géolocaliser des téléphones et d’intercepter des communications vocales et textuelles. « À partir du moment où vous avez accès au réseau, il n'y a quasiment plus aucun mécanisme de sécurité », expliquait alors Tobias Engel, l’un des deux chercheurs s’exprimant à ce sujet.
Seulement, pour revenir à l’approche proposée par Apple, la nouveauté majeure consiste en l’introduction d’une URL au sein de la chaîne de caractères qui inclut le code d’accès à usage unique. « C’est une porte ouverte aux attaques par hameçonnage », commente un acteur de la filière sécurité.
Google contribue à ces travaux depuis leur début. Mozilla pour sa part ne s’est, semble-t-il, pas encore prononcé sur la question. Les fournisseurs de codes d’accès à usage unique pourront faire usage de ce format dès que les navigateurs seront capables de le lire.
Source : Apple
Et vous ?
Qu’en pensez-vous ?
Voir aussi :
Authentification à deux facteurs : Google abandonne la validation par SMS comme méthode par défaut et déploie une invite de validation plus sécurisée
GitHub opte à son tour pour l'authentification à deux facteurs, l'option 2FA est déjà disponible et recommandée
Sécurité : Apple veut normaliser le format des SMS contenant des codes d'accès à usage unique (OTP)
Pour automatiser le processus de réception et de saisie via un navigateur ou une appli
Sécurité : Apple veut normaliser le format des SMS contenant des codes d'accès à usage unique (OTP)
Pour automatiser le processus de réception et de saisie via un navigateur ou une appli
Le , par Patrick Ruiz
Une erreur dans cette actualité ? Signalez-nous-la !