2FA : Apple améliore la sécurité du remplissage automatique via SMS

imessage macos 11 iconQuelques années en arrière, la firme de Cupertino a lancé une nouvelle fonctionnalité d'authentification à deux facteurs sur ses appareils, améliorant ainsi la sécurité de l'utilisateur. Décrit comme "une protection supplémentaire pour votre identifiant Apple", cette dernière permet au propriétaire de l'appareil d'être le seul à pouvoir accéder au compte. Avec elle, la firme avait mis au point dans iOS 12, un système capable de lire le dernier SMS reçu et de pre-remplir facilement un champ de formulaire avec un code OTP.

Petit à petit, la Pomme a amélioré son système dit autofill et il est également possible pour des sociétés externes d'utiliser une sécurité similaire pour permettre aux utilisateurs de s'identifier dans des applications. Seulement, il semblerait que les attaques de phishing se multiplient. Et pour cause, le service de SMS d'Apple a un avantage, qui est aussi un défaut : le remplissage automatique d'un code via SMS permet de gagner du temps, mais semble également intéresser des personnes peu scrupuleuses.

C'est pour cela qu'aujourd'hui, Apple demande aux entreprises d'envoyer les SMS de validation avec un nouveau format plus sécurisé, empêchant le remplissage automatique.

imessage icone header

Apple incite les entreprises à envoyer les codes SMS dans un nouveau format

Apple se lance dans la lutte contre les attaques de phishing liées à l'authentification à deux facteurs, puisque jusqu'à présent, la fonction d'auto-remplissage de l'authentification à deux facteurs d'Apple permet de saisir facilement les codes de vérification envoyés par SMS. Une véritable utilité, mais qui n'est pas sans risque, puisque les auteurs d'attaques de hameçonnage commencent à s'en servir.

Ainsi, la firme de Cupertino incite les entreprises à utiliser un nouveau format de codes SMS, empêchant le remplissage automatique.

Par exemple, si le site prétend être apple.com mais que le lien d'hameçonnage renvoie à apple.securelogin.com, l'option de remplissage automatique ne vous sera pas proposée.

Voici le nouveau format :

Votre code d'identification Apple est : 123456. Ne le partagez avec personne. @apple.com #123456 %apple.com

Ce simple ajout d'éléments HTML permet de stopper le remplissage automatique du code dans le cas où le nom de domaine ne correspond pas. On note l'effort, néanmoins, on ne peut que vous conseiller d'utiliser les générateurs de code comme Authy ou Google Authenticator, qui sont jugés comme étant plus efficaces.

Via

Les réactions
Aucun commentaire pour le moment, lancez la discussion.
Donnez votre avis
Cliquez pour commenter
Vous aimerez peut-être

Suivez-nous avec notre app iSoft
Articles populaires
Les derniers articles