Avec iOS 12 et macOS 10.14 Mojave, Apple a introduit une fonction bien pratique : lorsque vous avez activé une identification à deux facteurs, le SMS reçu sur votre iPhone vient automatiquement se placer dans le champ ad-hoc du navigateur ou de l'app en premier plan.
L'opération évite de perdre du temps à copier/coller ou taper à la main le code reçu par SMS, ce qui peut se révéler assez rébarbatif à l'usage, surtout avec la multiplication des services utilisant ce type de vérification. Malgré tout, l'idée d'Apple n'est peut-être pas si géniale sur le plan de la sécurité, comme le dévoile une nouvelle étude d'Andreas Gutmann, chercheur au Cambridge Innovation Centre.
En effet, le système d'Apple pourrait exposer plus facilement les utilisateurs aux risques de fraudes, en supprimant une étape manuelle, qui fait partie intégrante du processus de vérification. Sans cela, un utilisateur pourrait être plus vulnérable aux attaques «man-in-the-middle, phishing ou autres attaques d'ingénierie sociale. L'homme évoque par exemple une prise de contrôle de Safari à distance de la part d'une pirate mal intentionné, et qui pourrait valider une transaction sans aucune intervention de la victime.
Pour faire simple, en amenant le code SMS directement sur le Mac ou l'application iOS, Apple supprime l'action humaine, qui faisait partie du processus d'intention et rajoute un facteur de risque à l'opération. Dans une certaine mesure, les gestionnaires de mot de passe peuvent être accusés des mêmes maux, ce qui avait d'ailleurs poussé les banques et les systèmes sécurisés à adopter cette identification avec un second facteur externe... qui se retrouve finalement aujourd'hui confronté aux mêmes problèmes.
