Android O apporte de nombreuses petites améliorations très discrètes et l’une d’elles vient d’être repérée par XDA. Elle concerne l’identification des applications par SMS.
En effet, il arrive que certaines applications comme WhatsApps, Google Allo ou Facebook Messenger demandent une identification par SMS. Pour cela, l’utilisateur entre son numéro de téléphone et reçoit dans les secondes qui suivent un SMS avec un code à rentrer dans l’application. Au mieux l’application lit les SMS et entre le code elle-même, au pire l’utilisateur doit le copier à la main et ensuite supprimer le SMS.
Dans les deux cas, Android O compte améliorer ce processus avec une API permettant aux développeurs d’envoyer un token d’identification à 11 caractères par SMS. Le système le reconnaît alors et le renvoie à l’application sans que celle-ci n’ait accès à notre messagerie. Le SMS est ensuite automatiquement effacé et n’encombre pas la boîte de réception de l’utilisateur.
Pour mémoire, la Developer Preview 2 d’Android O devrait être disponible cette semaine, au cours de la Google I/O, tandis que la version définitive est attendue pour le troisième trimestre.
Pour aller plus loin
Android 8.0 Oreo : quelles sont les nouveautés ?
Étant au niveau du système, je suppose qu'il y a possibilité de supprimer le SMS automatiquement, de la même manière que cette API, sans que tu te rendes compte de quoi que ce soit. On est quand même loin du cas de l'application classique :-)
Pour les application t'as surement raison, mais Lineage OS par contre m'a fait la validation en 2 etapes de maniere totalement transparente sans trace de SMS ou de demande d'acces
Ou un Xiaomi.. https://uploads.disquscdn.com/images/996b86a8788d8bffa5afe716be7570efd294805cc5e39a56a7af9e3cb50a670f.jpg
Heu... Relis l'article lol "Elle concerne l’identification des APPLICATIONS par SMS. En effet, il arrive que certaines APPLICATIONS comme WhatsApps, Google Allo ou Facebook messenger... " C'est uniquement une amélioration du système existant qui lit les sms et qui rentre les codes dans une appli à la config d'un compte ou autre. Rien à voir avc les pc et tout xD
Oui ce serait l'idéal !
C'est pas tout à fait exact. Comme j'ai expliqué un peu plus tôt (dans les commentaires ici), la fonctionnalité est déjà possible effectivement, mais : l'application qui l'implémente a besoin de la permission d'accéder aux SMS. Tout le temps, et tous les SMS. De plus, pour "écrire" sur la liste des SMS (pour supprimer un SMS, par exemple), il faut être l'application SMS par défaut, donc les applications qui font ça aujourd'hui laissent traîner le SMS contenant le token. Cette API vise à faire exactement la même chose, mais en plus simple et plus direct : les applications n'ont pas besoin de permissions spéciale (c'est le système qui se charge d'aiguiller le bon SMS vers cette application), et le SMS est supprimé automatiquement une fois l'authentification réussie. Le but étant de simplifier au maximum l'adoption du 2FA. Pour ça, il faut que ce soit simple à implémenter côté application, simple à utiliser, et que ça ne fasse pas peur à l'utilisateur ("mais pourquoi cette application a besoin de lire mes SMS ?!")
Hum je sais pas. Perso j'ai la version root qui est gratuite. Ya une version non root il me semble bien, après jsais pas trop ce qu'on peux faire avec ne l'ayant pas utilisé.
Si on s'authentifie depuis un PC, je pense pas que la démarche sera la meme que maintenant, ce serait pas logique de la part des developpeurs sinon vu qu'il y aurait plus de securité du tout
Ils pourraient faire ça en utilisant notre espace du cloud
Dommage, avant certains operateurs le faisaient comme Orange mais depuis ça a été retiré
Deja present avec quelques applications et meme pour l'ajout d'un compte Google sur Lineage OS au premier demarrage du telephone
Moi j'aimerais bien la double authentification ET un vrai concurrent à iMessages ?
oups MDR !!!! :p
j'avais compris ;) je disais ça genre google n'a pas de serveur à mettre à dispo pour ce genre de chose ;) (genre pas assez de pognon pour ça)
Oh, je parlais de moi hein :-D
oui faut être root non ?
pour rappel je ne trolle pas ! par contre, j'utilise à gogo l'ironie et le 2ème / 3ème degré (après effectivement, il m'arrive d'être incompris...)
À force de troller, je crois que même si je postulais, je serais refusé :-D
J'avoue ça fait pas du tout sérieux ...
en tous cas, ton iOpinion est loin d'être universelle.
et j'observe que @tre01:disqus a les mêmes craintes et les mêmes arguments (vol du téléphone) que dans cet article. Bien vu pour cette répétition.
génial pour cette réponse !!! Tu ne veux pas rédiger les news de sécurité pour FrAndroid ?
Titanium backup le permet dans sa version pro mais uniquement pour dropbox, box, ou google drive. Et ce pour les sms ou tout autres données: agenda, applications, etc
Pardon, je me suis mal exprimé. En fait, tu as plusieurs possibilités pour le 2FA. Première : tu utilises un token basé sur le temps, géré par une application du type Microsoft Authenticator ou Authy. Dans ce cas là, la nouvelle API ne change absolument rien pour toi. La deuxième situation, qui nous intéresse ici : tu n'utilises pas le même type de token, mais un token envoyé par SMS à chaque fois que tu le demandes. C'est stupide pour de multiples raisons, à mon avis (ça ne fonctionne pas si tu n'as pas de réseau sur ton téléphone, tu es lié à ta carte SIM et à ton numéro de téléphone, qui peut être résilié à tout moment par ton opérateur, tu dois changer tous tes comptes si tu déménages à l'étranger…), mais ce n'est pas la question. Dans ce cas-là, il y a à nouveau deux situations distinctes : l'endroit où tu essaies de t'authentifier est sur ton téléphone, ou ailleurs. Si c'est ailleurs : tu recevras ton SMS comme avant, ça ne change rien. Par contre, si tu essaies de t'authentifier sur une application sur ton téléphone : elle pourra attendre explicitement (grâce à cette nouvelle API) le SMS contenant le token. Une fois reçu, hop, elle le lit toute seule, s'authentifie, et le supprime. C'est déjà possible aujourd'hui, sans cette API. Telegram le fait, par exemple. Malheureusement, pour ça, une application doit avoir la permission d'accéder à tous les SMS du téléphones - alors qu'elle n'en a l'utilité qu'à un moment très précis, et sur un SMS très précis. Ça permettra de peaufiner ce cas d'usage (actuellement, Telegram ne supprime pas le SMS, par exemple), tout en ayant une permission de moins. Après, cette API n'a clairement pas vocation à révolutionner le 2FA. Simplement de faciliter son adoption :-)
En même temps c'est pas facile de se rappeler de ce qu'on paraphrase. Mets toi un peu a leur place.
ok du coup quelle différence avec : Microsoft Authenticator https://play.google.com/store/apps/details?id=com.azure.authenticator qui sait gérer plusieurs comptes ?
Yep, ça ne change rien pour s'authentifier via du web ou sur un autre téléphone/tablette/…
L'idée, c'est que l'application doit être sur ton téléphone. Tu peux par exemple utiliser cette API pour authentifier GMail en 2FA, pour te connecter à l'application GMail sur ton téléphone. Pas pour te connecter à la version web de GMail. Et pour demander la connexion à GMail sur le téléphone, il faut que ce dernier soit déverrouillé :-)
ok dans ce cas pourquoi pas
non car moi si on me vole mon tel, il est verrouillé et les notificaitons désactivées par raison de sécu, du coup s'il s'authentifie depuis un PC avec mon 1er code, il ne pourra pas lire le sms d'authentification
ok du coup je comprends mieux, par contre faudrait donc voir comment ça se passe quand on s'authentifie depuis un PC
J'aime bien les gens qui disent "tout le monde" suivi d'une phrase en se basant sur leur propre ressenti. Le résultat est forcément faux.
Si tu t'identifies sur ton ordi avec sms de confirmation, le token n'étant valable que sur le telephone, ça ne validera rien, car ton telephone ne sera pas au courant du token de l'ordinateur. Si tu t'identifies avec le télephone, ça veut dire que la personne a déja déverouillé ton telephone, donc elle a acces aux sms quoi qu'il arrive. Aucun problème de sécurité pour moi
+1
Je penses que ce système ne concerne que les app installées qui ont besoin de la double auth, pas une page d'authent d'un site web.
l'article ne parle pas du déverrouillage du tel... moi j'ai compris que tout se fait tout seul sans aucune action de l'utilisateur. Dans mon cas (avec double authentification), je fais comme ça : 1- connexion au service via le 1er mot de passe 2- réception du sms d'authentification sur le mobile 3- le tel est configuré pour n'affiche aucune notification, ni aucun message sur l'écran de verrouillage, juste led de notification 4- saisie du code de déverrouillage (je n'utilise pas le capteur, ni le schéma) 5- j'ouvre mes sms, je lis le code et je saisi le code sur le site en question Je ne vois pas comment on peut faire plus sécure, et la nouvelle solution proposée me semble certe faciliter la chose mais au détriment de la sécurité... Après je rate peut être quelque chose ?
Heu dans tout les cas ça ne change rien ! Si on te vole ton tel, que le voleur reçoivent le SMS et le copie à la main ou que ça se fasse seule le résultat est le même...
Achète un Samsung :D
C'est grandiose. 9to5google sort un article sur le sujet cette nuit : vite, un article sur cette fameuse découverte ! Ce qui est dommage, c'est qu'elle n'a rien de nouvelle. Elle avait déjà été traitée en mars. Par, entre autres… vous. https://www.frandroid.com/android/419848_android-o-apporte-une-vraie-gestion-des-codes-recus-par-sms
C'est déja le cas: si qq1 trouve le premier mdp et parvient à déverrouiller ton tel pour la double authentification, il a accès ton compte. L'avantage ici, est que les applications qui utilisent ce procédé n'auront pas accès aux SMS qui ne leur sont pas spécialement destinés.
non faut des serveurs pour çà... ->
"Au mieux l’application lit les SMS et entre le code elle-même" "Le système le reconnaît alors et le renvoie à l’application sans que celle-ci n’ait accès à notre messagerie." C'est moi ou ces solutions ne me semble pas sécure car tout semble automatisé sans intervention de l'utilisateur, du coup quelqu'un qui a le tel volé (ou emprunté) et qui trouve le 1er mot de passe voit son authentification automatiquement validée par l'appli pour la partie "seconde authentification" ???? O_o
Au contraire je trouve ça top moi
L'option dont tout le monde se fout. C'était très utile qu'il s'attardent dessus, alors qu'il y a d'autres problèmes à gérer avec les SMS comme enfin mixer l'app SMS avec une app comme Allo pour faire un iMessage universel, mais ça ils semblent pas pressés.
Ce contenu est bloqué car vous n'avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par Disqus.
Pour pouvoir le visualiser, vous devez accepter l'usage étant opéré par Disqus avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l'amélioration des produits d'Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l'audience de ce site (en savoir plus)
En cliquant sur « J’accepte tout », vous consentez aux finalités susmentionnées pour l’ensemble des cookies et autres traceurs déposés par Humanoid et ses partenaires.
Vous gardez la possibilité de retirer votre consentement à tout moment. Pour plus d’informations, nous vous invitons à prendre connaissance de notre Politique cookies.
Gérer mes choix