Theresa O'Connor (ingénieur Apple en charge de Safari Web Technology) détaille son projet sur GitHub, comme le rapporte ZDNet.com.
Le principe serait d’avoir une présentation uniforme pour les codes que l’on reçoit par SMS lors d’une double authentification. Actuellement, chacun fait à sa manière et les OS mobiles doivent s'y adapter.
Cela permettrait d’éviter systématiquement aux utilisateurs de devoir saisir manuellement le code, en permettant aux applications de le récupérer automatiquement.
Deux idées de présentation sont proposées, où XXX représente le nom du site/service :
- 747723 is your XXX authentication code.
- @XXX #747723
Sans surprise, Apple a fait un retour positif, mais aussi Google. Firefox n’a visiblement pas répondu aux sollicitations de l’ingénieure pour le moment.
Commentaires (33)
#1
Avant de vouloir standardiser les codes SMS, Apple pourrait-il tout simplement utiliser les standards SMS pour par exemple bénéficier des accusés de réceptions ? (la fonction présente sur tout téléphones vendu 20€).
Et puis il y a également la sauvegarde des contacts sur la SIM ,fonction également présente sur téléphones vendu 20€ mais étrangement escamoté chez Apple…
#2
…en permettant aux applications de le récupérer automatiquement.
Le principe du 2FA avec un code reçu par SMS, c’est pas justement que ça passe par l’utilisateur pour qu’il puisse contrôler ce qui se passe ?
Là ça rend complètement inutile le 2FA…
#3
Cette implémentation est déjà existante sur les dernières versions d’iOS via un algorithme.
L’utilisateur contrôle toujours, le code passe par une suggestion d’auto-complétion au dessus du clavier.
C’est vraiment très pratique.
#4
il est vrai qu’on ne peut pas sauver les contacts sur la sim mais personnellement j’estime que de nos jours plus personne ne s’en sert, tous le monde a un compte icloud / google / autre.
Pour les accusées de plus en plus de personne le désactive. Je trouve que ça devient useless et vu la tournure actuelle, tous le monde estimerait que c’est du flicage 😅
#5
Non, le principe du 2FA garanti seulement que la personne qui essaie de se connecter est également en possession du téléphone dont le numéro a été renseigné auparavant. Ça ne garanti nullement que c’est bien le bon utilisateur derrière.
Donc que le traitement soit automatique ou par l’utilisateur, ça ne change rien.
#6
Ce qui serait bien c’est qu’en plus ces messages ne s’affichent pas en clair dans le centre de notification.
#7
C’est une sorte de flicage mais si on les demande, le téléphone du correspondant l’envoie systématiquement (sauf MMS où il faut une confirmation parfois).
C’est bien utile pour savoir si le téléphone distant est allumé, et si a minima le correspondant à reçu le sms. (face à whatsapp et compagnie avec les accusés de lecture, c’est la moindre des choses que d’avoir ça par sms).
#8
Il y a certaines appli qui demandent l’accès aux SMS et qui valident directement le code reçu par sms. L’éditeur sait le message qu’il envoie et peut donc récupérer le code directement.
#9
#10
#11
#12
“en permettant aux applications de le récupérer automatiquement”
Elles savent déjà le faire, puisqu’elles connaissent le format du sms qu’elles envoient !
#13
#14
S’il s’agit d’une page web, ce serait étonnant qu’elle puisse lire tes SMS.
Le but ici est de fournir une API qui permet à une page web dont l’URL est xxx d’être notifiée quand tu reçois un SMS qui contient @xxx.
#15
+1e9
#16
Il faut pour cela donner accès aux SMS.
L’idée est peut être de fournir une solution pour le F2A sans donner accès au SMS.
#17
#18
#19
#20
Tout le monde que tu connais ?
Rien que la Chine c’est 0 compte Google ou autre compagnie USA .
Le jour où tu devras utiliser ta carte SIM en urgence dans un autre téléphone tu comprendras (peut-être) .
“useless” pour toi, pour tout les autres ça permet de savoir que le correspondant à reçu le message ,fonction escamoté pour mieux être revendu ensuite par Apple et son iMessage ,mais seulement entre iPhone (ce qui permet de comprendre très clairement le mode opératoire d’Apple ).
#21
Mouais la plupart du temps c’est la plateforme qui a besoin de ce code qui envoi ce même code donc elle connait parfaitement le format du sms qu’elle envoi et elle peut donc tout a fait adapter son api pour le récupérer automatiquement du moment qu’on l’autorise a le faire. C’est pas une question de standard, c’est une volonté de pas se faire chier.
#22
La carte sim ne va plus vivre très longtemps, les eSim vont prendre le pouvoir très rapidement.
#23
à une époque pas si lointaine, le stockage sur SIM avait des limitations bien pénibles; pas possible de sauvegarder 2 numéros de téléphones pour un contact, un nombre maximum de caractères qui fait qu’un nom du style Pierre-Edouard ADRIANARISATA était forcément tronqué etc…
#24
#25
Si c’est toi qui décide , peut-être.
En tout cas, la eSIM est ce qu’il y a de pire pour l’utilisateur ,ce qui est justement dans la droite ligne d’Apple.
L’exemple que je donnais sera encore plus flagrant pour appeler un contact à partir d’un autre téléphone si le sien tombe en panne ,ni contacts et ni carte SIM.
Alors qu’on aurait très bien pu implémenter l’avantage de la eSIM dans la SIM ,par exemple associer l’identifiant d’une carte SIM universelle à un IMEI/compte d’abonné.
Par contre ,oui ,ça fait un orifice de moins à percer et un support de moins à souder , encore une fois tout bénéfice pour le constructeur.
#26
quezaco ? car jmembete encore à save mon téléphone à l’ancienne , apprend moi maitre :o
#27
Je crois plutôt que l’opérateur informe de la délivrance du message.
#28
#29
Je croyais que WebAuthn avait été créé dans le but de se débarrasser de cet archaïque code SMS.
Pourquoi on l’enterre pas pour de bon ce viux système de code SMS ?
#30
Parce que : La proposition de recommandation “WebAuthn Level 1” a été publiée le 17 janvier 2019 ce qui fait très peu de temps pour que ça soit généralisé et adopté par le grand public.
Et aussi parce que (même page wikipedia) : En août 2018, une équipe de chercheurs de Paragon Initiative Enterprises a réalisé un audit de sécurité du futur standard WebAuthn. Bien qu’aucun exploit n’ait été trouvé, l’audit a révélé de graves faiblesses dans la manière dont la cryptographie sous-jacente au protocole est utilisée et est prescrite par le standard.
Je ne suis pas sûr que l’on ait lu cela ici dans les articles qui en parlent.
#31
La confidentialité du SMS et du GSM en général étant compromises depuis un moment, faire du 2FA par SMS est un non sens en matière de sûreté.
#32
Il y a souvent un code à l’intérieur et l’appli demande l’autorisation de lire les messages.
Un accusé de réception, ça prouve que le numéro existe mais pas qu’il correspond bien à l’utilisateur en question.
#33
Comme évoqué plus haut Apple lance ça dans son coin au moment où le SMS est officiellement reconnu comme insuffisant au niveau sécurité.
Ok Apple a le nez dans son marché US (le seul où iOS arrive à maintenir une pdm importante) et ce n’est qu’en Europe que la DSP2 va interdire le SMS pour authentifier les paiements à distance, mais c’est justement aux US qu’il y a le plus de cas de SIM swapping.