2FA : Apple veut normaliser le format des SMS OTP

Les ingénieurs d’Apple ont proposé aujourd’hui de normaliser le format des messages SMS contenant des codes d’accès à usage unique (OTP) que les utilisateurs reçoivent lors du processus d’identification à deux facteurs (2FA). Cette proposition émane des ingénieurs d’Apple qui travaillent sur WebKit, le composant central du navigateur web Safari.

La proposition a deux objectifs. Le premier est d’introduire un moyen d’associer les SMS OTP à une URL. Cela se fait en ajoutant l’URL de connexion à l’intérieur du SMS lui-même. Le second objectif est de normaliser le format des SMS 2FA/OTP, de sorte que les navigateurs et autres applications mobiles puissent facilement détecter le SMS entrant, reconnaître le domaine web à l’intérieur du message, puis extraire automatiquement le code OTP et terminer l’opération de connexion sans autre interaction de l’utilisateur.

Dans ce cas, le processus de réception et de saisie d’un code d’accès unique serait automatisé, éliminant le risque qu’un utilisateur tombe dans le piège d’une escroquerie et saisisse un code OTP sur un site de phishing, avec une mauvaise URL.

Un SMS à double sens

Selon la nouvelle proposition, le nouveau format de SMS pour les codes OTP ressemblerait à ce qui suit :

747723 est votre code d’authentification de site web.
@website.com #747723

La première ligne s’adresse à l’utilisateur humain, lui permettant de savoir de quel site web provient le code SMS OTP.

La deuxième ligne est tout autant destinée à l’utilisateur qu’aux applications et navigateurs.

Les applications et les navigateurs extrairont automatiquement le code OTP et effectueront l’opération de connexion 2FA. En cas de non-concordance et d’échec de l’opération de remplissage automatique, l’utilisateur pourra voir l’URL réelle afin de la comparer avec celle du site sur lequel il souhaite se connecter. Si les URL sont différentes, l’utilisateur est averti qu’il s’agit d’un site de phishing et pourra donc annuler sa connexion.

Les ingénieurs d’Apple (WebKit) et de Google (Chromium) se sont dits favorables à cette norme. Mozilla (Firefox) n’a pas encore fourni de commentaire officiel sur la proposition.

Dès que les navigateurs seront en mesure de lire ce nouveau format, les fournisseurs de codes transmis par SMS OTP pourront l’utiliser. Twilio a déjà exprimé son intérêt pour la mise en œuvre de ce nouveau format pour ses services SMS OTP.

Source : ZDNet.com