Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

  1. #1
    Chroniqueur Actualités
    Avatar de Patrick Ruiz
    Homme Profil pro
    Redacteur web
    Inscrit en
    février 2017
    Messages
    899
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Redacteur web
    Secteur : Communication - Médias

    Informations forums :
    Inscription : février 2017
    Messages : 899
    Points : 30 201
    Points
    30 201
    Par défaut Sécurité : Apple veut normaliser le format des SMS contenant des codes d’accès à usage unique (OTP)
    Sécurité : Apple veut normaliser le format des SMS contenant des codes d’accès à usage unique (OTP)
    Pour automatiser le processus de réception et de saisie via un navigateur ou une appli

    L’authentification à deux facteurs (2FA) par SMS est l’un des moyens sur lesquels de nombreuses plateformes en ligne s’appuient comme moyen de sécuriser les comptes des utilisateurs de leurs services. Dans le processus, un code à usage unique fait l’objet d’envoi sur le téléphone portable d’un internaute. Ce dernier doit ensuite l’introduire de façon manuelle sur un formulaire en ligne afin d’accéder au service. Mais, chez Apple, on est d’avis que cela ne devrait pas marcher de la sorte ; selon les ingénieurs WebKit, la procédure devrait être automatisée, toute chose qui fait qu’ils proposent une normalisation du format des SMS contenant des codes d’accès à usage unique.

    Nom : sms otp.png
Affichages : 881
Taille : 133,3 Ko

    Selon la nouvelle proposition, les nouveaux SMS pour les codes OTP devraient être présentés en deux lignes :

    747723 est votre code d'authentification de site web.
    @website.com #747723

    La première, à l’intention de l’internaute, lui permettra de savoir de quel site web provient le code d’accès unique. La deuxième, bien que destinée en premier aux navigateurs et applications, s’adresse également à l’utilisateur humain. À la lecture de cette dernière, les applications et les navigateurs extrairont automatiquement le code OTP et effectueront l'opération de connexion sans intervention de l’utilisateur. Le processus de réception et de saisie d'un code d'accès à usage unique pourrait ainsi être automatisé, éliminant le risque qu'un utilisateur tombe dans le piège d'une escroquerie en saisissant un code OTP sur un site de phishing via une mauvaise URL.

    Cette approche devrait également permettre de se prémunir d’un stratagème qui permet à un attaquant de prendre le contrôle d’un compte en ligne s’il a connaissance du numéro de téléphone lié. En effet, dans une vidéo de démonstration parue il y a plus de deux ans, les chercheurs de la firme de sécurité Positive Technologies illustrent la prise de contrôle d’un compte en exploitant des failles du protocole SS7 utilisé sur les réseaux de télécommunication. En 2014 lors du Chaos Communication Congress à Hambourg en Allemagne, des chercheurs en sécurité se sont étendus sur celles-ci. Il est connu depuis lors qu’il permet de géolocaliser des téléphones et d’intercepter des communications vocales et textuelles. « À partir du moment où vous avez accès au réseau, il n'y a quasiment plus aucun mécanisme de sécurité », expliquait alors Tobias Engel, l’un des deux chercheurs s’exprimant à ce sujet.

    Seulement, pour revenir à l’approche proposée par Apple, la nouveauté majeure consiste en l’introduction d’une URL au sein de la chaîne de caractères qui inclut le code d’accès à usage unique. « C’est une porte ouverte aux attaques par hameçonnage », commente un acteur de la filière sécurité.

    Nom : sms otp bis.png
Affichages : 789
Taille : 24,9 Ko

    Google contribue à ces travaux depuis leur début. Mozilla pour sa part ne s’est, semble-t-il, pas encore prononcé sur la question. Les fournisseurs de codes d’accès à usage unique pourront faire usage de ce format dès que les navigateurs seront capables de le lire.


    Source : Apple

    Et vous ?

    Qu’en pensez-vous ?

    Voir aussi :

    Authentification à deux facteurs : Google abandonne la validation par SMS comme méthode par défaut et déploie une invite de validation plus sécurisée
    GitHub opte à son tour pour l'authentification à deux facteurs, l'option 2FA est déjà disponible et recommandée
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Membre à l'essai
    Homme Profil pro
    Développeur Web
    Inscrit en
    septembre 2019
    Messages
    12
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Développeur Web

    Informations forums :
    Inscription : septembre 2019
    Messages : 12
    Points : 21
    Points
    21
    Par défaut
    Qu’en pensez-vous ?
    Que la 2FA par SMS apporte des contraintes de sécurité (e.g SIM Hijacking) et qu'elle ne devrait plus être utilisée, au détriment des codes OTP (sans SMS donc). Pour ce qui est de la saisie automatique, oui pourquoi pas.

Discussions similaires

  1. Réponses: 1
    Dernier message: 28/09/2017, 23h50
  2. Réponses: 2
    Dernier message: 19/01/2015, 15h01
  3. Format des logs Pcap / TcpDump
    Par Kikx dans le forum C++
    Réponses: 9
    Dernier message: 28/09/2006, 11h41
  4. [C#] Format des dates pour une ComboBox...
    Par frechy dans le forum Windows Forms
    Réponses: 5
    Dernier message: 07/01/2005, 18h08
  5. question sur le format des images ..
    Par vbcasimir dans le forum Langages de programmation
    Réponses: 7
    Dernier message: 28/08/2003, 13h08

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo