Pourquoi le remplissage automatique du code de sécurité d'iOS 12 est risqué + Comment vous protéger

L'un des plus petits ajouts de la prochaine mise à jour iOS 12 d'Apple est un petit astucieux qui s'appelle Security Code AutoFill.

Fondamentalement, c'est un système qui facilite grandement la saisie de codes d'authentification à deux facteurs lors de la connexion.

Mais pour autant qu'il le fasse, un chercheur en sécurité considère Security Code AutoFill comme une vulnérabilité potentielle dont pourraient tirer parti des attaquants malveillants.

Voici pourquoi vous devez savoir.

Remplissage automatique du code de sécurité iOS 12

La connexion à un compte avec une authentification à deux facteurs implique généralement deux étapes distinctes, d'où le nom.

Vous saisirez votre nom d'utilisateur et votre mot de passe, puis vous recevrez un SMS avec un code à usage unique. Une fois que vous avez tapé ce code, vous êtes libre de vous connecter.

Mais iOS 12 gère cela un peu différemment. Il peut détecter automatiquement lorsque vous recevez un code d'authentification à deux facteurs (également appelé code d'accès à usage unique ou OTP).

EN RELATION:

• Fonctionnalités de sécurité iOS 12
• Qu'est-ce qu'un mot de passe fort? Pourquoi mon iPhone choisit-il des mots de passe pour moi ?
• Top 25 des fonctionnalités iOS 12 qui valent votre temps

Le système enregistrera ensuite ce nom et vous donnera la possibilité de le saisir en un seul clic. Dans iOS 12, il apparaîtra comme une option au-dessus du clavier avec une note indiquant qu'il s'agit de « Des messages ».

Bien sûr, cela peut vous faire gagner un peu de temps car cela vous évite d'avoir à sauter entre les applications ou à mémoriser l'OTP en un éclair.

Mais la facilité d'utilisation est aussi la raison pour laquelle cela pourrait constituer un risque pour la sécurité dans certaines circonstances.

Quel est le risque

Le risque repose principalement sur les institutions financières. Bien qu'il existe probablement d'autres cas où le remplissage automatique du code de sécurité peut être risqué, c'est le scénario le plus inquiétant.

Andreas Gutmann, chercheur en sécurité au Cambridge Innovation Center de OneSpan, dit que le problème le plus urgent se concentre sur quelque chose appelé un numéro d'authentification de transaction (TAN).

Qu'est-ce qu'un TAN ?

Comme l'authentification à deux facteurs, un TAN est un code à usage unique qui est envoyé à votre téléphone. Mais un TAN ne sert pas à se connecter - c'est plutôt un moyen d'ajouter une protection 2FA aux transactions financières.

Fondamentalement, lorsque vous transférez de l'argent ou effectuez un paiement, une banque enverra un TAN à votre téléphone comme étape de vérification supplémentaire pour s'assurer qu'aucune tromperie ne se passe.

Vous saisissez ce TAN dans un champ approprié et la transaction est approuvée de votre côté. Si vous recevez un TAN mais que vous n'avez effectué aucune transaction récente, vous êtes censé contacter votre banque immédiatement.

Bien qu'elles ne soient pas encore très répandues aux États-Unis, les transactions protégées par TAN sont assez courantes en Europe et dans d'autres régions.

Le risque avec le remplissage automatique du code de sécurité

Étant donné que le remplissage automatique du code de sécurité extrait automatiquement un mot de passe à usage unique des messages, il laisse de côté tout le contexte pertinent.

Pour les services bancaires, ce contexte, comme le montant financier ou la destination du paiement, est essentiel pour savoir si une transaction est légitime.

« Le fait qu'un utilisateur vérifie ces informations importantes est précisément ce qui offre un avantage en matière de sécurité », a écrit Gutmann dans un article de blog. « Supprimer cela du processus le rend inefficace. »

En d'autres termes, la nouvelle fonctionnalité d'Apple qui permet de gagner du temps pourrait potentiellement rendre les utilisateurs plus vulnérables à la fraude financière ou aux attaques de l'homme du milieu.

Un utilisateur pourrait théoriquement saisir automatiquement un OTP pour approuver une transaction financière frauduleuse. Un attaquant pourrait potentiellement usurper un remplissage automatique de code de sécurité à l'aide d'un site Web ou d'une application malveillante.

Apple peut-il y faire quelque chose ?

La principale chose qu'Apple pourrait faire est d'implémenter un type de mesure dans le remplissage automatique du code de sécurité qui peut faire la différence entre une demande 2FA et un TAN.

Il n'est actuellement pas clair si le remplissage automatique du code de sécurité peut faire la distinction entre 2FA et TAN. Si c'est le cas, alors ce problème devient beaucoup moins problématique.

Bien sûr, si suffisamment de personnes s'inquiètent de la vulnérabilité de la fonction de remplissage automatique du code de sécurité, Apple pourrait la mettre à jour pour atténuer le problème.

Comment se protéger

Tout d'abord, vous devriez ne pas désactiver l'authentification à deux facteurs sur l'un de vos comptes.

Alors que l'authentification à deux facteurs basée sur SMS est un système relativement défectueux qui est sujet à l'interception ou aux attaques, c'est bien mieux que de simplement compter sur un mot de passe.

Si vous êtes en Europe, la meilleure chose à faire est de vérifier chaque OTP ou 2FA que vous recevez. Cela ne prend que quelques secondes pour passer à Messages et vérifier les informations contextuelles.

C'est particulièrement vrai si vous ne pouvez pas facilement faire la distinction entre un code TAN et un mot de passe 2FA sans vérifier le message texte SMS d'origine.

Si vous n'êtes pas dans un pays qui utilise TAN, il est probablement toujours judicieux de vérifier les OTP suspects qui sont envoyés à votre appareil. Si vous ne vous connectez pas activement et que vous recevez un message texte OTP, alors quelque chose ne va probablement pas.

De plus, soyez à l'affût des systèmes TAN à mettre en œuvre plus largement dans les banques américaines. Ces derniers temps, l'Europe a mené la charge en matière de normes de confidentialité et de sécurité. Il est probable que le TAN soit adopté par les banques et institutions financières américaines dans un proche avenir.

Vous devez également utiliser les meilleures pratiques de sécurité en général lorsque vous traitez des données financières ou des informations de connexion. Même le meilleur mot de passe et la sécurité 2FA ne peuvent pas vous protéger de l'ingénierie sociale.