iOS 12 : le remplissage automatique du code de sécurité reçu par SMS peut être un danger

Mickaël Bazoge |

iOS 12 inaugure une fonction de remplissage automatique des codes de sécurité reçus par SMS. Ces mots de passe uniques, souvent composés d’une série de chiffres, peuvent être envoyés par des services en ligne dans le cadre d’une authentification à deux facteurs, ou encore par une banque pour valider une transaction. Actuellement, pour remplir le champ du code, il faut soit s’en rappeler, soit passer sans cesse de Messages au navigateur ou à l’application.

iOS 12 facilite les choses en affichant au dessus du clavier virtuel le fameux code de vérification provenant de Messages :

Petite mignardise, cette fonction est aussi disponible sur macOS Mojave :

Le remplissage automatique des codes de sécurité fait partie des nouveautés en lien avec la sécurité d’iOS 12. On y trouve aussi l’amélioration de l’interface de sélection des identifiants, ainsi que le support des gestionnaires de mots de passe tiers (lire : Vie privée : Apple veut renforcer les mots de passe et clarifier les messages d’alerte).

Cette fonction facilite donc la vie des utilisateurs, mais elle est aussi susceptible de présenter un problème de sécurité, soulève Andreas Gutmann de OneSpan. Selon le chercheur, le remplissage automatique des codes de sécurité retire tout son intérêt à l’authentification de transaction bancaire. Habituellement, les SMS envoyés par une banque comprennent non seulement le fameux code, mais aussi une explication de la transaction (autorisation de virement, de retrait, de paiement, etc.).

L’utilisateur n’a plus à ouvrir ce fameux SMS, le code de sécurité lui étant automatiquement proposé. Par conséquent, il peut autoriser une transaction sans savoir ce qui se cache réellement derrière. Une faute d’inattention précipitée par une fonction à l’origine pleine de bonne volonté… L’absence de contexte pourrait effectivement être préjudiciable, et elle ouvre éventuellement la porte à des attaques de type man in the middle potentiellement ravageuses. Un malandrin serait ainsi en mesure de récupérer des informations bancaires, par exemple.

Le tout est finalement une affaire d’équilibre entre la sécurité et la facilité d’utilisation. Peut-être que cet avertissement parviendra aux oreilles d’Apple qui mettra en place une parade pour éviter ce danger.

avatar Sgt. Pepper | 

OK mais :
Seul le remplissage est automatique, la validation reste manuelle

Donc rien n’empêche de vérifier le message comme avant ?‍♂️

avatar Mickaël Bazoge | 
Oui bien sûr, mais les utilisateurs ne vont pas forcément lire le contenu du SMS qui donne le contexte du code de sécurité bien qu'il apparaisse brièvement dans la notification.
avatar Sgt. Pepper | 

@MickaëlBazoge

Certes , mais qui lit et analyse réellement le contenu du SMS ??

Pas vraiment Autour de moi.

Le plus important est tout de même d’avoir un second canal d’authentification
Et que le sms est envoyé suite à une action utilisateur

avatar Mickaël Bazoge | 
Quand ça vient de ma banque, je fais gaffe un minimum, ça leur est déjà arrivé de se planter dans un virement…
avatar Sgt. Pepper | 

@MickaëlBazoge

Tu demandes un virement de 50€ , l’App t’indique de valider 50€
Mais le SMS indique 100€ ?

avatar francis2012 | 

Pourquoi ne pas tout simplement ajouter Touch/FaceID ?

avatar Sgt. Pepper | 

@francis2012

Beaucoup de sites préfèrent utiliser la double Authentification via SMS
( et il y a aussi le cas d’accès au site Web)

avatar shaba | 

@Sgt. Pepper

Entièrement d’accord je ne vois pas le problème.

avatar frankm | 

Oui tout à fait et ça reste contextuel : je commande, je donne mon numéro de carte, je reçois un sms et le code se met dans la bonne case.
La validation de création d'une carte Apple Pay est transparente côté réception du SMS de confirmation (au début on recevait un code par SMS, plus maintenant, ce code est intégré par l'iPhone dans votre dos, et personne n'est chamboulé, car c'est contextuel, le SMS arrive quand je génère une action qui elle-même gère le SMS)

avatar GtnDns | 

Mais saisie automatique ou pas, le principe est le même sauf qu’on n’a plus à l’écrire.. je n’ai pas compris en quoi c’est un danger, si on sait que le sms provient de notre banque puisqu’à l’instant t on fait un achat, aucune inquiétude à avoir.

Faut en vouloir pour valider une transaction accidentellement au vu des différentes étapes à faire avant d’en arriver là ( au paiement final ), et ce pour la plupart des sites

avatar Bigdidou | 

@GtnDns

"aucune inquiétude à avoir"

C'est précisément là qu'est le problème que veut soulever ce chercheur, je pense ;)
Après, j'aimerais bien qu'on m'explique une situation d'exploitation concrète, parce sue, comme toi, je vois pas trop non plus.
Après, qu'il faille rester paranoïaque avec ces trucs là, certainement, et je suis bien placé pour le savoir : ça fait trois fois qu'on usurpe ma carte soit disant hypersecurisée (plein de s) sans que la banque, qui me rembourse sans discuter et donc qui sait, ne me donne la moindre explication.

avatar Androshit | 

Pour éviter les allers retours vers Message, il suffit de régler la bannière sur persistante dans ses réglages de notification ?

avatar mmenfin | 

@Androshit

C'est exactement ce que je fais

avatar eleodie | 

@Androshit

Vous pouvez pas retenir un code à 4 chiffres plus de 5 secondes ?

avatar dorninem | 

@eleodie

Si votre banque vous file un code si court il faut se plaindre ou en changer ?

avatar fte | 

@eleodie

Un poisson rouge c’est trois minutes. (Légende, mais amusant.)

avatar Bigdidou | 

@fte

"Un poisson rouge c’est trois minutes. (Légende, mais amusant.)"

Et nous une trentaine de secondes pour la mémoire de travail, comme quoi...;)
Avec un empan de 5 à 7 chez la grande majorité des personnes.
C'est pas un hasard si ces codes de validation sont en général de 6 chiffres.

avatar Amaczing | 

@eleodie

Certains sont alphanumériques grosse bique !

avatar reborn | 

Ça existe dans iOS 11 non ? Le code sms de validation SMS est directement lu par l’app wallet lors de la réception du message.

avatar Sgt. Pepper | 

@reborn

Uniquement pour les SMS Apple.

Pour iOS 12 , cela fonctionnera pour tous les systèmes.

avatar reborn | 

Ok ?

avatar Amaczing | 

@reborn

Si c’est prévu exactement

avatar iSimon12 | 

Essayé pour la première fois ce matin, c’est top.

avatar Fabeme | 

Perso les sms de validation de la banque ne sont pas éligibles au remplissage auto, tous les autres types de code oui, mais pas ceux pour la validation d’une transaction

avatar FloMo | 

On a toujours la notification qui s’affiche.

avatar xDave | 

Pour le coup, ce n'est pas le code que je ne saisis pas, c'est le problème :)

blague à part, si iOS permettait de ne sélectionner qu'un petit bout de texte dans les bulles au lieu de tout le contenu ça résoudrait pas mal de choses.

avatar Smartiiez | 

Hahaha je pensais la même chose en lisant l'article. En attendant, je recopie le code dans le champs de saisie de message et de là, je le coupe / colle.

avatar gimly54 | 

Il n’y a en soit aucun problème, lorsque tu reçois ce SMS, il contient simplement les informations déjà écrite sur le site de la banque (sur lequel on est redirigé justement quand le code est nécessaire).

Ensuite, dans les bêta actuelle et à terme aussi je pense, ce n’est pas une saisie automatique, ça apparaît en tant que prédiction et il faut cliquer dessus puis valider dans la page.

avatar naarin | 

Si vous recevez un code de validation de votre banque sans l’avoir sollicité et que vous validez quand même la transaction sans regarder de quoi il s’agit, Apple ne peut rien pour vous ?

avatar Oracle | 

J’ai vu l’autre jour que c’était automatique pour Apple, j’ai beaucoup aimé. Hâte d’avoir ça sur les autres services.

avatar hugo16700 | 

il suffit de n’afficher le code que si le sms a été ouvert!
Compliqué ce monsieur !

avatar Troogdor | 

Cas concret d'attaque: je crée un faux site: `gagne-2000-euros-par-sms.com`, le site est simple, deux pages: une première page qui affiche une courte description: "Rentrez votre numéro de téléphone dans le champ ci dessous pour gagner 2000 euros" et du coup, un simple formulaire de numero de telephone, sur la page suivante, un simple formulaire ou l'on me demande de renseigner le code reçu par SMS pour valider mon inscription.

J'envoie ensuite ce lien a Mr Lambda, Mr Lambda visite le site, et veut évidement gagner les 2000€, il renseigne son numéro de téléphone, arrive sur la deuxième page, et au même moment reçoit le SMS qu'il ne vérifie pas puisque Safari lui propose automatiquement de pré-remplir le champ, il soumet le tout, mais rien ne se passe. Mr Lambda abandonne, et oublie le tout, pensant que c'était de toute façon trop beau pour être vrai.

En réalité ce qui s'est passé: le site, par derrière transmet automatiquement le numéro fourni par monsieur lambda au formulaire de re-initialisation de mot de passe de son opérateur téléphonique, qui envoie un SMS avec un code a Mr Lambda pour valider la demande. Dans le deuxième formulaire, le code est toujours transmis a l'opérateur, pour valider son identité et finalement accéder a son compte.

Ensuite, j'ai potentiellement un accès complet au compte de Mr. Lambda chez son opérateur mobile, avec par exemple la possibilité de voir ses factures, ses relevés d'appels, potentiellement d'accéder a ses papiers d'identités, de résilier son abonnement, voir même de commander des telephones mobiles, qui lui seront facturés sur sa prochaine facture.

Okay, la faute reviens a Mr Lambda, et ça aurait très bien pu lui arriver même sans le remplissage automatique, mais il faut quand même avouer que ça simplifie beaucoup les démarches

avatar Sgt. Pepper | 

@Troogdor

?

Attaque difficile à mettre en place
( faut le MdP initial, que la cible réponde a l’attaque,..)

Certes pas impossible.
Mais même actuellement pas sûr que la cible lise bien tout le contenu du SMS

Il faudrait forcer un overlay avec le contenu SMS par dessus la fenêtre rempli automatiquement ?

avatar Ast2001 | 

Comme cela existe aussi sous Android, il serait intéressant de savoir s'il y a le même pb. De ce que je comprends, je dirais oui.

avatar MisteriousGaga | 

Bah perso ça fait des années que j'attend cette fonction, parce que certains sms sont pire qu'est des url donc t'es obligé de copier mais wait, tu dois copier tout le message pour le coller puis effacer ce qu'il y'a dans le code. La au moins c'est plus direct

avatar 1Er0ck | 

C’est un faux problème puisque les sms arrivent déjà sur le mac par transfert. Le fait que le code par sms s’affiche directement sur l’ecran de verrouillage est déjà plus problématique.

avatar adixya | 

Non mais il faudrait avoir la page d’une transaction ouverte en attente du code exactement au meme moment sur le telephone pour que ça pose soucis, je vois pas comment c’est possible dans la vie réelle.

CONNEXION UTILISATEUR