iGeneration

iOS 12 : le remplissage automatique du code de sécurité reçu par SMS peut être un danger

Mickaël Bazoge |

iOS 12 inaugure une fonction de remplissage automatique des codes de sécurité reçus par SMS. Ces mots de passe uniques, souvent composés d’une série de chiffres, peuvent être envoyés par des services en ligne dans le cadre d’une authentification à deux facteurs, ou encore par une banque pour valider une transaction. Actuellement, pour remplir le champ du code, il faut soit s’en rappeler, soit passer sans cesse de Messages au navigateur ou à l’application.

iOS 12 facilite les choses en affichant au dessus du clavier virtuel le fameux code de vérification provenant de Messages :

Petite mignardise, cette fonction est aussi disponible sur macOS Mojave :

Le remplissage automatique des codes de sécurité fait partie des nouveautés en lien avec la sécurité d’iOS 12. On y trouve aussi l’amélioration de l’interface de sélection des identifiants, ainsi que le support des gestionnaires de mots de passe tiers (lire : Vie privée : Apple veut renforcer les mots de passe et clarifier les messages d’alerte).

Cette fonction facilite donc la vie des utilisateurs, mais elle est aussi susceptible de présenter un problème de sécurité, soulève Andreas Gutmann de OneSpan. Selon le chercheur, le remplissage automatique des codes de sécurité retire tout son intérêt à l’authentification de transaction bancaire. Habituellement, les SMS envoyés par une banque comprennent non seulement le fameux code, mais aussi une explication de la transaction (autorisation de virement, de retrait, de paiement, etc.).

L’utilisateur n’a plus à ouvrir ce fameux SMS, le code de sécurité lui étant automatiquement proposé. Par conséquent, il peut autoriser une transaction sans savoir ce qui se cache réellement derrière. Une faute d’inattention précipitée par une fonction à l’origine pleine de bonne volonté… L’absence de contexte pourrait effectivement être préjudiciable, et elle ouvre éventuellement la porte à des attaques de type man in the middle potentiellement ravageuses. Un malandrin serait ainsi en mesure de récupérer des informations bancaires, par exemple.

Le tout est finalement une affaire d’équilibre entre la sécurité et la facilité d’utilisation. Peut-être que cet avertissement parviendra aux oreilles d’Apple qui mettra en place une parade pour éviter ce danger.

Sur iPhone | Sur Android
Accédez aux commentaires de l'article