iOS 12 : le remplissage automatique du code de sécurité reçu par SMS peut être un danger
iOS 12 inaugure une fonction de remplissage automatique des codes de sécurité reçus par SMS. Ces mots de passe uniques, souvent composés d’une série de chiffres, peuvent être envoyés par des services en ligne dans le cadre d’une authentification à deux facteurs, ou encore par une banque pour valider une transaction. Actuellement, pour remplir le champ du code, il faut soit s’en rappeler, soit passer sans cesse de Messages au navigateur ou à l’application.
iOS 12 facilite les choses en affichant au dessus du clavier virtuel le fameux code de vérification provenant de Messages :
Petite mignardise, cette fonction est aussi disponible sur macOS Mojave :
Le remplissage automatique des codes de sécurité fait partie des nouveautés en lien avec la sécurité d’iOS 12. On y trouve aussi l’amélioration de l’interface de sélection des identifiants, ainsi que le support des gestionnaires de mots de passe tiers (lire : Vie privée : Apple veut renforcer les mots de passe et clarifier les messages d’alerte).
Cette fonction facilite donc la vie des utilisateurs, mais elle est aussi susceptible de présenter un problème de sécurité, soulève Andreas Gutmann de OneSpan. Selon le chercheur, le remplissage automatique des codes de sécurité retire tout son intérêt à l’authentification de transaction bancaire. Habituellement, les SMS envoyés par une banque comprennent non seulement le fameux code, mais aussi une explication de la transaction (autorisation de virement, de retrait, de paiement, etc.).
L’utilisateur n’a plus à ouvrir ce fameux SMS, le code de sécurité lui étant automatiquement proposé. Par conséquent, il peut autoriser une transaction sans savoir ce qui se cache réellement derrière. Une faute d’inattention précipitée par une fonction à l’origine pleine de bonne volonté… L’absence de contexte pourrait effectivement être préjudiciable, et elle ouvre éventuellement la porte à des attaques de type man in the middle potentiellement ravageuses. Un malandrin serait ainsi en mesure de récupérer des informations bancaires, par exemple.
Le tout est finalement une affaire d’équilibre entre la sécurité et la facilité d’utilisation. Peut-être que cet avertissement parviendra aux oreilles d’Apple qui mettra en place une parade pour éviter ce danger.
OK mais :
Seul le remplissage est automatique, la validation reste manuelle
Donc rien n’empêche de vérifier le message comme avant ?♂️
@MickaëlBazoge
Certes , mais qui lit et analyse réellement le contenu du SMS ??
Pas vraiment Autour de moi.
Le plus important est tout de même d’avoir un second canal d’authentification
Et que le sms est envoyé suite à une action utilisateur
@MickaëlBazoge
Tu demandes un virement de 50€ , l’App t’indique de valider 50€
Mais le SMS indique 100€ ?
Pourquoi ne pas tout simplement ajouter Touch/FaceID ?
@francis2012
Beaucoup de sites préfèrent utiliser la double Authentification via SMS
( et il y a aussi le cas d’accès au site Web)
@Sgt. Pepper
Entièrement d’accord je ne vois pas le problème.
Oui tout à fait et ça reste contextuel : je commande, je donne mon numéro de carte, je reçois un sms et le code se met dans la bonne case.
La validation de création d'une carte Apple Pay est transparente côté réception du SMS de confirmation (au début on recevait un code par SMS, plus maintenant, ce code est intégré par l'iPhone dans votre dos, et personne n'est chamboulé, car c'est contextuel, le SMS arrive quand je génère une action qui elle-même gère le SMS)
Mais saisie automatique ou pas, le principe est le même sauf qu’on n’a plus à l’écrire.. je n’ai pas compris en quoi c’est un danger, si on sait que le sms provient de notre banque puisqu’à l’instant t on fait un achat, aucune inquiétude à avoir.
Faut en vouloir pour valider une transaction accidentellement au vu des différentes étapes à faire avant d’en arriver là ( au paiement final ), et ce pour la plupart des sites
@GtnDns
"aucune inquiétude à avoir"
C'est précisément là qu'est le problème que veut soulever ce chercheur, je pense ;)
Après, j'aimerais bien qu'on m'explique une situation d'exploitation concrète, parce sue, comme toi, je vois pas trop non plus.
Après, qu'il faille rester paranoïaque avec ces trucs là, certainement, et je suis bien placé pour le savoir : ça fait trois fois qu'on usurpe ma carte soit disant hypersecurisée (plein de s) sans que la banque, qui me rembourse sans discuter et donc qui sait, ne me donne la moindre explication.
Pour éviter les allers retours vers Message, il suffit de régler la bannière sur persistante dans ses réglages de notification ?
@Androshit
C'est exactement ce que je fais
@Androshit
Vous pouvez pas retenir un code à 4 chiffres plus de 5 secondes ?
@eleodie
Si votre banque vous file un code si court il faut se plaindre ou en changer ?
@eleodie
Un poisson rouge c’est trois minutes. (Légende, mais amusant.)
@fte
"Un poisson rouge c’est trois minutes. (Légende, mais amusant.)"
Et nous une trentaine de secondes pour la mémoire de travail, comme quoi...;)
Avec un empan de 5 à 7 chez la grande majorité des personnes.
C'est pas un hasard si ces codes de validation sont en général de 6 chiffres.
@eleodie
Certains sont alphanumériques grosse bique !
Ça existe dans iOS 11 non ? Le code sms de validation SMS est directement lu par l’app wallet lors de la réception du message.
@reborn
Uniquement pour les SMS Apple.
Pour iOS 12 , cela fonctionnera pour tous les systèmes.
Ok ?
@reborn
Si c’est prévu exactement
Essayé pour la première fois ce matin, c’est top.
Perso les sms de validation de la banque ne sont pas éligibles au remplissage auto, tous les autres types de code oui, mais pas ceux pour la validation d’une transaction
On a toujours la notification qui s’affiche.
Pour le coup, ce n'est pas le code que je ne saisis pas, c'est le problème :)
blague à part, si iOS permettait de ne sélectionner qu'un petit bout de texte dans les bulles au lieu de tout le contenu ça résoudrait pas mal de choses.
Hahaha je pensais la même chose en lisant l'article. En attendant, je recopie le code dans le champs de saisie de message et de là, je le coupe / colle.
Il n’y a en soit aucun problème, lorsque tu reçois ce SMS, il contient simplement les informations déjà écrite sur le site de la banque (sur lequel on est redirigé justement quand le code est nécessaire).
Ensuite, dans les bêta actuelle et à terme aussi je pense, ce n’est pas une saisie automatique, ça apparaît en tant que prédiction et il faut cliquer dessus puis valider dans la page.
Si vous recevez un code de validation de votre banque sans l’avoir sollicité et que vous validez quand même la transaction sans regarder de quoi il s’agit, Apple ne peut rien pour vous ?
J’ai vu l’autre jour que c’était automatique pour Apple, j’ai beaucoup aimé. Hâte d’avoir ça sur les autres services.
il suffit de n’afficher le code que si le sms a été ouvert!
Compliqué ce monsieur !
Cas concret d'attaque: je crée un faux site: `gagne-2000-euros-par-sms.com`, le site est simple, deux pages: une première page qui affiche une courte description: "Rentrez votre numéro de téléphone dans le champ ci dessous pour gagner 2000 euros" et du coup, un simple formulaire de numero de telephone, sur la page suivante, un simple formulaire ou l'on me demande de renseigner le code reçu par SMS pour valider mon inscription.
J'envoie ensuite ce lien a Mr Lambda, Mr Lambda visite le site, et veut évidement gagner les 2000€, il renseigne son numéro de téléphone, arrive sur la deuxième page, et au même moment reçoit le SMS qu'il ne vérifie pas puisque Safari lui propose automatiquement de pré-remplir le champ, il soumet le tout, mais rien ne se passe. Mr Lambda abandonne, et oublie le tout, pensant que c'était de toute façon trop beau pour être vrai.
En réalité ce qui s'est passé: le site, par derrière transmet automatiquement le numéro fourni par monsieur lambda au formulaire de re-initialisation de mot de passe de son opérateur téléphonique, qui envoie un SMS avec un code a Mr Lambda pour valider la demande. Dans le deuxième formulaire, le code est toujours transmis a l'opérateur, pour valider son identité et finalement accéder a son compte.
Ensuite, j'ai potentiellement un accès complet au compte de Mr. Lambda chez son opérateur mobile, avec par exemple la possibilité de voir ses factures, ses relevés d'appels, potentiellement d'accéder a ses papiers d'identités, de résilier son abonnement, voir même de commander des telephones mobiles, qui lui seront facturés sur sa prochaine facture.
Okay, la faute reviens a Mr Lambda, et ça aurait très bien pu lui arriver même sans le remplissage automatique, mais il faut quand même avouer que ça simplifie beaucoup les démarches
@Troogdor
?
Attaque difficile à mettre en place
( faut le MdP initial, que la cible réponde a l’attaque,..)
Certes pas impossible.
Mais même actuellement pas sûr que la cible lise bien tout le contenu du SMS
Il faudrait forcer un overlay avec le contenu SMS par dessus la fenêtre rempli automatiquement ?
Comme cela existe aussi sous Android, il serait intéressant de savoir s'il y a le même pb. De ce que je comprends, je dirais oui.
Bah perso ça fait des années que j'attend cette fonction, parce que certains sms sont pire qu'est des url donc t'es obligé de copier mais wait, tu dois copier tout le message pour le coller puis effacer ce qu'il y'a dans le code. La au moins c'est plus direct
C’est un faux problème puisque les sms arrivent déjà sur le mac par transfert. Le fait que le code par sms s’affiche directement sur l’ecran de verrouillage est déjà plus problématique.
Non mais il faudrait avoir la page d’une transaction ouverte en attente du code exactement au meme moment sur le telephone pour que ça pose soucis, je vois pas comment c’est possible dans la vie réelle.