2FA : Apple améliore la sécurité du remplissage automatique via SMS
Guillaume Gabriel- Il y a 2 ans
- 💬 Réagir
- 🔈 Écouter
Quelques années en arrière, la firme de Cupertino a lancé une nouvelle fonctionnalité d'authentification à deux facteurs sur ses appareils, améliorant ainsi la sécurité de l'utilisateur. Décrit comme "une protection supplémentaire pour votre identifiant Apple", cette dernière permet au propriétaire de l'appareil d'être le seul à pouvoir accéder au compte. Avec elle, la firme avait mis au point dans iOS 12, un système capable de lire le dernier SMS reçu et de pre-remplir facilement un champ de formulaire avec un code OTP.
Petit à petit, la Pomme a amélioré son système dit autofill et il est également possible pour des sociétés externes d'utiliser une sécurité similaire pour permettre aux utilisateurs de s'identifier dans des applications. Seulement, il semblerait que les attaques de phishing se multiplient. Et pour cause, le service de SMS d'Apple a un avantage, qui est aussi un défaut : le remplissage automatique d'un code via SMS permet de gagner du temps, mais semble également intéresser des personnes peu scrupuleuses.
C'est pour cela qu'aujourd'hui, Apple demande aux entreprises d'envoyer les SMS de validation avec un nouveau format plus sécurisé, empêchant le remplissage automatique.
Apple incite les entreprises à envoyer les codes SMS dans un nouveau format
Apple se lance dans la lutte contre les attaques de phishing liées à l'authentification à deux facteurs, puisque jusqu'à présent, la fonction d'auto-remplissage de l'authentification à deux facteurs d'Apple permet de saisir facilement les codes de vérification envoyés par SMS. Une véritable utilité, mais qui n'est pas sans risque, puisque les auteurs d'attaques de hameçonnage commencent à s'en servir.
Ainsi, la firme de Cupertino incite les entreprises à utiliser un nouveau format de codes SMS, empêchant le remplissage automatique.
Par exemple, si le site prétend être apple.com mais que le lien d'hameçonnage renvoie à apple.securelogin.com, l'option de remplissage automatique ne vous sera pas proposée.
Voici le nouveau format :
Votre code d'identification Apple est : 123456. Ne le partagez avec personne. @apple.com #123456 %apple.com
Ce simple ajout d'éléments HTML permet de stopper le remplissage automatique du code dans le cas où le nom de domaine ne correspond pas. On note l'effort, néanmoins, on ne peut que vous conseiller d'utiliser les générateurs de code comme Authy ou Google Authenticator, qui sont jugés comme étant plus efficaces.
Via
Microsoft Edge 104 améliore son mode de sécurité renforcée
iOS 15 améliore la sécurité de Face ID dixit Apple
La police australienne compte sur CarPlay pour améliorer la sécurité
Google Maps améliore sa cartographie de Paris
Apple publie MacOS 11.6.1 pour améliorer la sécurité
Apple améliore l'historique d'achats dans l'App Store sur iPhone
