Apple travaille à des mots de passe uniques plus sûrs et moins contraignants

Apple et Google semblent d'ores et déjà d'accord sur la marche à suivre

 

Les ingénieurs d'Apple WebKit ont détaillé cette semaine sur GitHub leur vision du futur des mots de passe uniques envoyés par SMS. Parfois contraignants à utiliser, ces derniers pourraient bientôt gagner en praticité, tout en étant plus sûrs grâce à des URL contenus directement dans les SMS.

L’équipe d’Apple WebKit a de grands projets pour les mots de passe à usage unique envoyés par SMS. Sur GitHub, les ingénieurs du géant de Cupertino ont proposé de changer le format de ces messages. L’objectif ? Simplifier l’identification à deux facteurs, en renforcer la sécurité… et la rendre peut-être un peu plus pratique qu’elle ne l’est à l’heure actuelle. Pour ce faire, Apple WebKit souhaite notamment lier ces codes véhiculés par SMS à une URL renvoyant d’un seul clic vers la page de login.

Simplifier la vie de l’utilisateur tout en limitant encore plus les risques de phishing

Cette mesure s’accompagne d’une seconde proposition plus ambitieuse : standardiser le format de ces codes afin de permettre aux applications mobiles comme aux navigateurs de les identifier en tant que mots de passe à usage unique et de reconnaître le domaine correspondant. Une nouveauté qui permettrait aux applications ou aux navigateurs « d’extraire automatiquement le code OTP et de compléter l’identification sans recourir à une autre interaction de l’utilisateur », lit-on sur GitHub.

Fait intéressant, les ingénieurs de Google et d’Apple soutiennent conjointement ce projet, indique 9to5Mac, tandis que Mozilla ne s’est pas encore positionné sur la question. Le fait que Google et Apple soient d’accord sur la marche à suivre laisse en tout cas espérer une adoption rapide de ce nouveau standard. On connaît en effet la force de frappe des deux firmes lorsqu’il s’agit d’imposer à des services tiers des mesures qu’elles mettent en place… cela laisse donc augurer du meilleur.

Un SMS capable d’être interprété par une application ou un navigateur

De manière concrète, ce nouveau standard de SMS serait décliné comme suit, en deux lignes. La première est destinée à l’utilisateur, qui verrait le mot de passe à usage unique et le site auquel il est destiné (ici « FooBar », dans l’exemple pris par les ingénieurs d’Apple). La seconde prend la forme d’une URL réduite, capable d’être interprétée automatiquement par une application ou un navigateur. L’utilisateur n’aurait plus qu’à cliquer dessus pour se connecter. Rien d’autre à faire, puisque l’authentification se fera alors sans son intervention, grâce à un système d’autocomplétion.

Crédit : Apple WebKit via GitHub

Crédit : Apple WebKit via GitHub

ZDNet, qui s’est aussi penché sur la proposition faite par Apple HomeKit sur GitHub, explique pour sa part ce qu’il se passera dans le cas d’une tentative de phishing.

« Les applications et les navigateurs extrairont automatiquement le code OTP et effectueront l’opération de connexion 2FA », explique le site spécialisé. « En cas de non-concordance et d’échec de l’opération d’autocomplétion, les utilisateurs pourront voir l’URL réelle du site web et la comparer avec le site pour lequel ils essaient d’ouvrir une session. Si les deux ne sont pas identiques, ces derniers seront alors avertis qu’ils se trouvent en réalité sur un site de phishing et pourront abandonner le processus de connexion ».

À noter que cette méthode de connexion perfectionnée fait écho à une fonctionnalité ajoutée par Apple à iOS 12, qui permet déjà l’interprétation d’un mot de passe à usage unique fournit par SMS… et son remplissage assisté dans le champ requis pour une identification à deux facteurs. Apple est visiblement déterminé à aller plus loin dans cette démarche.

Les derniers articles