Depuis iOS 12 et macOS Mojave, Apple permet aux utilisateurs de profiter de la nouvelle fonction de remplissage automatique du mot de passe qui facilite la gestion des codes d’authentification à deux facteurs envoyés par SMS. Si la fonction vise à accélérer le processus d’identification, un chercheur en sécurité se dit inquiet quant aux fraudes potentielles.
Andreas Gutmann, chercheur au Cambridge Innovation Center de OneSpan, évoque les problèmes de sécurité liés à la nouvelle fonction de remplissage automatique d’Apple : « Security Code AutoFill est une nouvelle fonctionnalité iOS 12 pour iPhone. Elle est censée améliorer l’utilisabilité de l’authentification à deux facteurs, mais pourrait exposer les utilisateurs à la fraude bancaire en ligne en supprimant la validation humaine du processus de signature / authentification. »
Gutmann explique en effet que le processus de validation humaine est un aspect important de l’authentification à deux facteurs. Sans cela, un utilisateur pourrait être plus vulnérable aux attaques « man-in-the-middle, phishing ou autres attaques d’ingénierie sociale ».
Le chercheur ajoute que la fonctionnalité pourrait causer des problèmes pour l’authentification des transactions par rapport à la banque :
« L’authentification de transaction, par opposition à l’authentification de l’utilisateur, atteste de la justesse de l’intention d’une action plutôt que de l’identité d’un utilisateur. Il est le plus connu dans les services bancaires en ligne, et en particulier en tant que moyen de répondre aux exigences de la directive européenne sur les services de paiement révisés (PSD2) pour la liaison dynamique, un outil essentiel pour se défendre contre des attaques sophistiquées.
Le fait qu’un utilisateur vérifie cette information saillante est précisément ce qui fournit l’avantage de sécurité. Enlever cela du processus le rend inefficace. Les exemples dans lesquels le code de sécurité AutoFill peut représenter un risque pour la sécurité bancaire en ligne incluent une attaque Man-in-the-Middle pour l’utilisateur qui accède aux services bancaires en ligne depuis Safari sur son MacBook, en injectant le champ de saisie nécessaire si besoin ou si l’application accède au service bancaire en ligne légitime de la banque. »
Gutmann a donc des réticences quant à cette fonction qui lui semble encore trop instable pour assurer une vraie sécurité aux utilisateurs. Retrouvez l’intégralité de son article à cette adresse.
