Apple continue de travailler sur le développement d’un format standard pour les messages SMS contenant des codes de sécurité d’authentification à deux facteurs. Les ingénieurs Google lui viennent également en aide. La proposition de l’entreprise fait en effet officiellement partie des spécifications du WICG (Web Platform Incubator Community Group).
Annoncé avec une mise à jour sur GitHub, le nouveau projet a été co-édité par Theresa O’Connor d’Apple et Google par Sam Goto.
Initialement proposée par les ingénieurs d’Apple WebKit et soutenue par Google en janvier, l’initiative vise à simplifier le mécanisme OTP SMS couramment utilisé par les sites Web, les entreprises et d’autres services pour confirmer les informations de connexion dans le cadre des systèmes d’authentification à deux facteurs.
Bien que de nombreux sites Web et services en ligne utilisent OTP via SMS, il n’existe pas de méthode normalisée pour formater le texte des messages entrants. Par conséquent, « l’extraction programmatique de codes à partir de messages SMS doit être basée sur des heuristiques, qui sont souvent peu fiables et sujettes à des erreurs. En outre, sans mécanisme permettant d’associer ces codes à des sites Web spécifiques, les utilisateurs pourraient être amenés à fournir le code à des sites Web malveillants », lit le document mis à jour.
Actuellement, les utilisateurs doivent saisir manuellement les codes d’accès reçus par SMS directement dans le champ de texte d’un site Web hôte. Apple souhaite proposer une solution plus simple et plus sûre.
La proposition de l’entreprise vise à éliminer l’intervention manuelle de l’utilisateur dans le processus SMS OTP, désormais obligé de copier-coller les codes dans le navigateur ou l’application pour s’authentifier. De plus, ce format standard garantirait que les codes uniques envoyés par SMS ne sont utilisés que sur les sites d’origine.
Le format de texte léger développé par Apple incorpore du code qui ne peut être utilisé qu’une seule fois dans un SMS et relie ce code à une URL source particulière. Cette solution permet aux systèmes destinataires (par exemple iOS) d’extraire automatiquement le code et d’accéder à un site Web associé sans intervention de l’utilisateur.
Apple fournit un exemple de SMS :
“ 747723 is your [website] authentication code.
@website.com #747723 “
La première ligne du message est un texte facultatif lisible par l’utilisateur pour toutes les informations pertinentes. Des caractères spéciaux sont ensuite utilisés pour indiquer le code unique et l’URL source associée, qui sont dans ce cas respectivement « 747723 » et « website.com ».
Cette proposition fait désormais partie du WICG, première étape vers une normalisation du format qui n’est cependant pas encore certaine pour le moment.
