Apple détaille ses nouveaux SMS d'authentification

Il y a 6 heures

Alban Martin

Début 2020, Apple publiait du code sur WebKit concernant une nouvelle solution pour améliorer l'authentification forte par sms avec un formalisme et une notion de source. Cela permet d'avoir une meilleure compatibilité et une meilleure sécurité. A l'époque, les ingénieurs de Google avaient déjà validé le principe. Cette fois, Apple a officialisé son mouvement.

Des SMS plus pratiques pour s'authentifier

A chaque connexion sur un nouvel appareil, Apple par exemple, vous demande un code pour confirmer l'action. iOS 12 avait simplifié la vie des clients en allant chercher le code dans le SMS directement, mais Apple va aller plus loin.



À partir d'iOS 14 et de macOS Big Sur, la firme ajoute une couche de sécurité supplémentaire aux codes envoyés par SMS en vous permettant d'associer des codes à un domaine Web spécifique. Cela s'adresse donc aux développeurs

Lorsque vous utilisez un code lié au domaine, la saisie automatique suggère le code si - et seulement si - le domaine correspond au site Web ou à l'un des domaines associés à votre application. Par exemple, si vous recevez un message SMS qui se termine par @example.com #123456, AutoFill vous proposera de remplir ce code lorsqu'ils interagissent avec example.com, l'un de ses sous-domaines ou une application associée à example.com. Si à la place vous recevez un SMS qui se termine par @example.net #123456, la saisie automatique ne proposera pas le code sur example.com ou dans l'application associée à example.com. Cela rend plus difficile pour un attaquant de tromper quelqu'un pour qu'il saisisse des codes à usage unique dans un site de phishing.

Alors qu'iOS et macOS afficheront également des codes envoyés par SMS en plus des codes liés au domaine, Apple encourage tous ceux qui utilisent cette méthode d'authentification à adopter cette norme pour offrir une expérience plus sécurisée aux personnes sur leur site Web ou leur application. Si un message ne contient aucune information de domaine, il continuera à être proposé dans tous les champs pertinents via la saisie automatique.

Pour configurer des codes SMS liés au domaine, il n'y a rien à faire en général. Dans le cas contraire, il faudra spécifier un attribut sur le champ de saisie en question, sur le web (autocomplete=one-time-code) ou dans iOS et MacOS (UITextContentType.oneTimeCode).



Tout est expliqué sur la page développeur d'Apple.