Enfin un standard pour les mots de passe à usage unique
Les trois navigateurs les plus utilisés veulent se mettre d’accord pour tous proposer le même modèle de texto à envoyer aux internautes qui utilisent l’authentification à double facteur.
Lorsque vous vous connectez à un service depuis une région ou appareil depuis lequel celui-ci n’a pas l’habitude de vous voir évoluer, vous pouvez recevoir un SMS contenant un code (souvent sous la forme d’une suite d’une demi-douzaine chiffres) pour valider l’accès au site. Les entreprises comme Google ou Facebook font par exemple appel à cette méthode, même si Mountain View y préfère désormais sa propre application disponible sur iPhone.
Le problème, c’est que jusqu’à aujourd’hui ces fameux messages peuvent être différents selon les différentes sociétés qui les rédigent. Et à l’heure des piratages en veux-tu en-voilà, des personnes mal informées pourraient se faire avoir par de faux SMS contenant un lien renvoyant vers une page de phishing*. Certes, chez les technophiles ce genre d’arnaque fonctionne rarement, mais pour les générations précédentes le risque est bel et bien réel.
À quoi ressemblera le code universel ?
Pour l’instant, la décision concernant le format final du message n’a pas encore été prise, mais Twilio serait déjà dans la boucle. Néanmoins, voici ce qu’a proposé Apple (éditrice de Safari) à Alphabet (qui développe Google Chrome) et à Mozilla (Firefox) :
021315 is your iPhon authentication code.
@iphon.fr #021315
La traduction en Français devrait être similaire à l’original, où l’on retrouve :
- le mot de passe, un nombre à six numéros
- le nom du service
- l’URL du site
Bien que Birdland Neighbors soit généralement en froid en ce qui concerne la généralisation de techniques communes à ses concurrents, cette initiative serait toutefois un réel avantage pour la sécurité des consommateurs, déjà mise à l’épreuve sur Safari. Mais pas que : en effet, les appareils comme les iPhone ou ceux qui tournent sous Android proposent maintenant de lire les notifications pour y détecter les codes et les taper à votre place dans les applications correspondantes. Or, si le texte est trop différent des autres, impossible d’automatiser cette opération.
*Phishing : redirection vers une page web ressemblant trait pour trait à l’original, mais avec un lien différent. Le site récupérant vos identifiants et mots de passe lorsque vous vous connectez.
Mike (posté avec l'app i-nfo.fr V2)
31 janvier 2020 à 12 h 18 min
Ouais. Jamais vraiment eu de problèmes avec la reconnaissance automatique d’un code depuis un sms.
Ensuite, cliquer sur un lien, si à chaque fois c’est le même message, encore plus simple pour un phishing d’envoyer un faux… en gros, pas vraiment d’avantages.