De plus en plus de services utilisent aujourd’hui une authentification par SMS. Le principe est simple : vous recevez un code sur votre téléphone et il suffit alors de le rentrer dans une application ou un site Internet. En ce qui concerne les applications Android, deux possibilités : soit vous recevez un SMS et copiez à la main le contenu, soit l’application lit directement le message et exécute le processus automatiquement.
Cette deuxième méthode est souvent mal perçue par les utilisateurs, car elle requiert l’ajout de la permission d’accès aux SMS. Depuis Android 6.0 Marshmallow, les permissions sont certes demandées dynamiquement avec, dans la plupart des cas, un texte explicatif, mais les utilisateurs sont souvent récalcitrants. En effet dès lors que la permission est accordée, l’application peut certes lire le SMS contenant le code, mais aussi l’intégralité de l’historique des messages.
Android O va enfin apporter une solution concrète à ce problème. Les applications pourront désormais indiquer qu’elles doivent recevoir un code par SMS. Ensuite dès qu’une certaine chaîne de caractères sera reçue (token unique à l’application), le contenu sera automatiquement redirigé vers l’application en question. L’intérêt de la solution est double. D’une part, les applications n’auront plus besoin de demander la permission pour accéder aux SMS. D’autre part, les SMS avec vos codes de connexion ne seront plus affichés dans votre liste de messages. Cela évitera ces longues conversations qui n’ont que peu d’intérêt.
Grâce à cette fonctionnalité, on remarque une nouvelle fois qu’Android O est une version du système qui ne bouleversa pas la plateforme. En revanche, elle offrira des évolutions par petites touches qui ne feront qu’améliorer l’existant.
Utilisez-vous Google News (Actualités en France) ? Vous pouvez suivre vos médias favoris. Suivez Frandroid sur Google News (et Numerama).
Le problème, c'est que récupérer le numéro de téléphone depuis la carte SIM, c'est très compliqué. Les standards changent de temps en temps sur ce point, et suivant la carte SIM que tu utilises, Android peut y arriver, comme il peut ne pas réussir du tout. Ce n'est pas pour rien que la plupart des applications qui demandent ton numéro de téléphone ne le pré-remplissent quasiment jamais. Après, il y a d'autres contraintes : il faut formater le numéro de manière identique aux deux bouts. +33123456789 est identique à 0123456789 ou encore 0033123456789. Mais juste quand tu es en France, pour le second… c'est vraiment très compliqué. Autre chose : utiliser un SMS permet une utilisation transparente, quel que soit le périphérique sur lequel tu veux te connecter. Je m'explique : si tu veux te connecter sur ton téléphone, très bien, tu reçois tout sur ton téléphone. Par contre, si tu veux te connecter sur ta tablette : elle ne recevra pas directement le SMS, c'est le téléphone qui le recevra. Pour autant, tu as demandé le token de la même manière. L'utilisateur n'a pas à se demander comment le token sera reçu et par qui avant de se connecter.
Ce que je voulais dire c'est que dans le cas ou l'application qui demande l’authentification tourne le téléphone alors elle peut normalement ou peut être capable de récupérer toute seule le numéro de téléphone sur lequel l'application tourne. Et si le numéro correspond à celui enregistrer par le site distant alors pas la peine de faire du copier ou autre technique pour finaliser l'authentification. Bien entendu tout ça peut marcher si l'api de recupération du numéro de telephone est sans faille de securité.
Alors : - cette procédure n'utilise pas les SMS donc c'est hors sujet - avoir accès au mail effondre tout, c'est pas nouveau D'où le lock du téléphone qui est indispensable.
Ben tu fais la procédure de récup d'un mot de passe perdu ...
Oui : Un utilisateur télécharge une application anodine qui a accès à internet et lui fait saisir son numéro CB à l'occasion (pour un achat), ou lui demande son compte facebook. Un jour, une mise à jour de cette application introduit un trojan qui sait recevoir une demande du hacker qui la téléguide. Ce hacker, peut utiliser ce qu'il sait de la victime pour essayer de réaliser une transaction nécessitant une validation par SMS (type 3D secure) ou pour prendre le contrôle du facebook de la victime. Il lui suffit d'utiliser les infos qu'il a déjà récupérées via son application anodine de départ (pour du paiement de contenu, etc) ... faire ce qu'il a à faire, et, au moment où on lui demande le code reçu par SMS, il informe l'appli qu'elle doit se déclarer "en attente d'un code-SMS" ... celle-ci le recevra et le lui forwardera de façon silencieuse.
Euh je trouve ça pas malin. Ça va être exploité a mauvais escient . C'est pas trop bien niveau sécurité ce truc. J’espère que ce sera optionnel .
Les applications comme Google, Twitter, FB, etc..., qui demandent déjà la double authentification ont les droits pour lire les SMS, justement afin d'éviter la saisie manuelle. Avec un API, ca permettera d'encadrer l'accès à tes SMS par ces applis, qui n'auront plus besoin, et ne pourront plus, accéder à la totalité de ta boite de réception comme c'est le cas actuellement.
Bin moi je vois pas ce que ça change. Tu peux donner un scénario précis qui marchait pas avant et qui du coup va marcher (faille) ?
C'est un coup à finir en prison ça !
Oui sur ce point j'avais compris. Je parlais du changement de sécurité entre la nouvelle API et l'ancien système.
Fais-le, vole-toi ton propre téléphone en ne sachant rien d'autre que ce qu'il y a dans le téléphone et dis-moi ce que tu en fais. Tu verras : on te demandera toujours un mot de passe avant de commencer à parler de SMS de confirmation.
Oui, mais si on t'a volé ton tel, on n'a pas ton mot de passe. C'est le principe de la double authentification, il faut DEUX authentifications. Le mot de passe ET le téléphone. Donc si c'est pour dire que des espions vachement calés peuvent te piquer ton téléphone et découvrir ton mot de passe : c'est vrai, mais ça, on s'en fout. Il faut que tu sois visé directement pour ce que tu es (haut industriel, ou haut politique, ou bandits de grands chemins... quoique c'est pareil ;) ).
SI on t'a volé ton tel, le système précédent n'était pas sûr non plus...
Sauf si on t'as volé ton tel, et la avec ce système automatisé tout devient possible pour accéder à certaines applis ou services...
C'est quand meme fabuleux tout ça. Le progrès, c'est bo ! Je me demande juste si à un moment donné, tous ces gens intelligents ne ferait pas mieux de s'occuper de vrai problème.
Non, on s'en fiche que ce soit automatique ou manuel. La sécurité apportée par le SMS est un cas précis, mais qui représente 90% de la fraude. Quand un pirate chinois du FBI russe trouve ton mot de passe par attaque de force brute ou par achat des mots de passe piratés de Yahoo!, il en fera rien parce qu'il n'a pas aussi ton téléphone. Il n'y a rien de plus, et en échange d'un protocole tout con, on tue dans l'oeuf la plus grosse source fraude sur Internet.
La solution n'est en rien spécifique à Google, beaucoup de sites/applications utilisent des SMS (malgré la passoire qu'est cette technologie…) pour l'authentification. Il faut bien un retour jusqu'au téléphone dans tous les cas, sinon, quel est l'intérêt ? Tu pourrais te connecter aux comptes de tous tes contacts dont tu as le numéro.
Dans ce cas c'est dommage de vouloir faire peur en mettant en gras une régression de sécurité alors qu'il n'en est rien.
Google déteste les SMS, il fait tout pour qu'il disparaisse. Dernière en date Hangouts ne gérera plus les SMS. En même temps c'est bien plus difficile pour Google de tracker les SMS Ici dans cette nouveauté je ne suis même pas sur qu'il ait besoin de lire un SMS car si on réfléchit il a juste besoin de connaître le numéro de tel pour voir s'il correspond à celui fourni à la banque ou le site ni plus ni moins.
Ce sera au développeur de l'implémenter (rien ne l'oblige). Cette méthode automatique fonctionne à l'aide d'un token unique que seule l'application connaîtra.
Après ce sera sans doute désactivable, la confirmation par SMS est déjà un sérieux gain en sécurité notament pour les paiement bancaire, la rendre plus simple au détriment d'un peu de sécurité n'est pas si mal, et comme je le dit tant que l'on à le choix on s'y retrouvera.
Je pense exactement la ême chose, ce qui est présenté comme un avantage est pour moi un faille de sécu ! L'intérêt de recevoir un sms de confirmation est justement que l'UTILISATEUR saisit lui-même le code reçu après avoir déverrouillé son terminal, là si je comprends bien tout sera automatisé par les apps !
Je ne suis pas expert, mais est ce que ce n'est pas une régression de la sécurité ? J'imagine une application tierce qui manipule le smartphone pour obtenir un accès (à un paiement ou autre) et qui en plus dispose de l'accès aux SMS pour confirmer. Qu'en pensez vous ?
Ce contenu est bloqué car vous n'avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par Disqus.
Pour pouvoir le visualiser, vous devez accepter l'usage étant opéré par Disqus avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l'amélioration des produits d'Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l'audience de ce site (en savoir plus)
En cliquant sur « J’accepte tout », vous consentez aux finalités susmentionnées pour l’ensemble des cookies et autres traceurs déposés par Humanoid et ses partenaires.
Vous gardez la possibilité de retirer votre consentement à tout moment. Pour plus d’informations, nous vous invitons à prendre connaissance de notre Politique cookies.
Gérer mes choix