Apple a décidé avec iOS 12 de simplifier le quotidien de ses clients. Son nouveau système d'exploitation est capable de détecter les opérations nécessitant une double authentification et de récupérer le code envoyé par SMS afin de l'envoyer automatiquement au site le demandant.
C'est plutôt pratique alors que ce genre de mesure se généralise.
Des experts en sécurité s'émeuvent toutefois de cette automatisation. Ils craignent qu'elle ne soit exploitée par des pirates pour compromettre la sécurité des transactions. Pour eux, l'intervention humaine est indispensable et doit rester effective dans ces conditions.

On verra ce qu'en pensent les banques qui utilisent de plus en plus ce procédé pour valider les ventes par cartes bancaires en ligne. Si la fraude augmente, elles accuseront probablement Apple d'avoir mis en place ce procédé pour favoriser son propre système, Apple Pay.

Lien vers le billet original

Franchement ce qui m'épate le plus (et ce n'est pas spécifique à Apple), c'est l'énergie déployée pour inventer ou mettre au point des technologies qui n'ont qu'une seule finalité : permettre au consommateur de payer.
Savoir que des ingénieurs hautement qualifiés travaillent pour que surtout on n'arrête pas de consommer et donc d'épuiser les ressources de la planète, cela n'aide pas à avoir une vision optimiste de l'avenir.

Les banques françaises s’eloignent de plus de plus du sms pour utiliser un système d’authentification interne plus robuste basé sur l’imei du téléphone, un code mémorisé par l’utilisateur en plus de contrôle sur des habitudes de vie.

Le seul problème de ces systèmes qu’on appelle clé digital chez BNP ou Secur’pass chez BPCE (pour ne citer qu’eux) c’edt Que l'enrôlement à ces systèmes se basent sur .... un sms.

Donc oui le sms est un système d’authentification faillible (sim swapping) il n’en demeure pas moins indispensable dans certains cas.

Pour avoir côtoyé des experts de la fraude bancaire j’ai plutôt tendance à aller dans le sens de l’article.

Pourras t-on désactiver cette fonction?

Apple a juste voulu tester cette fonction et va certainement revenir dessus.
Ils sont très prudents chez Apple, ils vont donc revenir à la raison et se défausser très vite sur l'utilisateur (pour une fois avec raison).
Je les vois mal prendre la responsabilité du copier/coller des codes reçus par sms à la place des utilisateurs.
Mais à présent que tout le monde sait que c'est faisable, certains ne manqueront pas d'essayer de coder cette fonction pour un usage frauduleux.
Et pendant ce temps là sous MacOS c'est la situation inverse: c'est à l'utilisateur de valider l'installation des extensions au système, alors même qu'elles proviennent de développeurs "legacy" et qu'Apple devrait assumer la légitimé de ces développeurs.

Ce message a été modifié par ekami - 3 Jul 2018, 10:14.

j'ai du mal à comprendre comment quelqu'un pourrait avoir l'idée saugrenue de mettre ce système automatique en place :
Le principe de la double authentification est bien de confirmer que vous êtes le possesseur du compte utilisé via une action volontaire sur votre téléphone.

Là, si le système répond à la place de l'utilisateur, où est la double authentification ? On peut très bien imaginer le pirate passer commande de chez lui et mon téléphone de répondre sans que je sois informé que quelqu'un usurpe mon identité ailleurs dans le monde.

L'imei ca peut se changer... epicfail...
Sinon c'est clairement une faille le système d'Apple...

Toujours la même chose : favoriser l'achat par le fait que c'est transparent. Les études montrent que payer par carte bleu permet de dépenser des sommes importantes plus facilement qu'avec du liquide : le fait de payer par carte que ce soit 1 centimes ou 1000 euros c'est le même geste... avec les billets en main, on se rend plus facilement compte de la somme...

Les failles du SS7 permettent déjà cela, mais malgré cela c'est pourquoi je n'affiche plus de preview de mes SMS (entre autres): il serait facile de déverrouiller un de mes comptes juste en ayant la capacité de voir l'écran de mon iPhone, verrouillé et posé, au bureau, dans un café, même pas besoin de le voler (mais fonctionne aussi, pas besoin du code PIN si les sms sont prévisualisés).

On a des problèmes d'authentifications de plus en plus important, notamment en comptant les failles de conception des process de récupérations, incluant le cas où quelqu'un a eu son smartphone volé (et la personne veut ré-accéder à ses comptes en "double-authentification"), avec de nombreux outils mais imparfait car tout cela n'est pas global et reste quand même l'interface entre des humains et des systèmes d'information. Entre humains c'est tellement facile et naturel de s'authentifier

Je recommande cette lecture (en anglais) : HOW APPLE AND AMAZON SECURITY FLAWS LED TO MY EPIC HACKING, un chef d'œuvre démontrant que personne n'est à l'abri!

SMS one-time passcodes will appear automatically as AutoFill suggestions, so you never have to worry about quickly memorizing them or typing them again.

Ce message a été modifié par downanotch - 3 Jul 2018, 11:13.

Si l’emei change alors les systèmes que j’ai cité les détectent et dans ce cas le mobile n’est plus enrôlé au service d’authentification interne. Il n’y a donc pas de risque en soit. Changer l’imei ne constitue pas un vecteur d’attaque puisqu’il se détecte.

Le sms avait un véritable souci avec le sim swapping et Free en a longtemps été victime. Quand il y a le sim swapping le sms est reçu par deux téléphone, le tiens et celui du pirate, qui peut alors valider son achat. En général ces achats sont effectués à des heures tardives pour gagner du temps.

Avec les AF des banques il n’y a plus ces problèmes la. Il y en a d’autres mais l’imei n’en est pas un à priori.

+1

Et la possibilité pour un pirate de se faire délivrer une autre SIM physique avec du piratage social dans une boutique (généralement en prétendant être le légitime propriétaire et s'être fait dévalisé).

c'est 50% de mon boulot. faire que les gens ait envie de continuer et si possible d'acheter des trucs..
après si tu as la chance de travailler uniquement entre compagnies c cool, mais sinon faut achalander le consommateur !


et comment on fait ca ?

Ce message a été modifié par raoulito - 3 Jul 2018, 12:46.

Réglages : Notifications -> Messages

Pareil que iAPX ...

Et avec FaceID ... il t’identifie il montre le contenu des notifications sinon non, aucune notification n’est affichée par défaut chez moi.

Si ça reste une option de remplissage automatique et que l'option est désactivée par défaut alors c'est peut-être jouable.
Mais je suis effaré du nombre d'options et choix de paramétrages existants dans iOS.

Achalander le consommateur ? Ça marche bien ?

Ne vas jamais sur Android ^^

Paramétrage du Samsung S8 d'un neveu.J'ai laché l'affaire au bout de 10 mn et laissé finir mon frére.Ca me donne la jaunisse cet OS troué (Usine a gaz a fuites)

Android = Liberté = Réglages optimum a son image ? Ou tuning'touch ?

Si la fraude ... Elles accuseront ....
AFFIRMATION GRATUITE ET IMAGINAIRE
Encore

Si des études le montrent, c'est que les gens sont stupide.
Je préfère tout payer par carte ou via mon compte bancaire en gérant mon budget, que de payer cash.
Le résultat et le même, mais cela me fait moins mal aux yeux, que de voir partir mes sous à la poste.

en fait faut vivre/avoir vecu dans un apys ou 80% de tout ce que tu payes est en liquide pour comprendre. Et encore, dans les années 2006/2010 meme mon salaire etait en liquide (je parle ici du maroc) je vous promet qu'effectivement la mentalité est différente car du coup on sait plus intuitivement combien on met alors qu'avec la carte entre 25 et 35€ c'est pas toujours simple de se souvenir...

Il y a déjà bien des alternatives à la double identification par SMS. Surtout dans le secteur bancaire - mais ailleurs qu'en France.

En Belgique, il existe depuis une bonne dizaine d'année une technologie avec lecteur de cartes: à chaque opération, il faut insérer sa carte bancaire dans un lecteur non connecté pour générer un code temporaire à 6 chiffres. Donc pas de SMS. Une nouvelle technologie vient de voir le jour, appelée "ItsMe" qui est basée sur le cryptage de la carte SIM et le numéro IMEI du téléphone et un code personnel à 5 chiffres.

Au Luxembourg, il existe plusieurs technologies de Luxtrust, qui utilisent soit un token qui génère un code à 6 chiffres aléatoires et qui est associée à un compte utilisateur protégé par mot de passe, soit par un lecteur de carte d'identité, etc.

Comme vous voyez il a déjà de bonnes alternatives à l'envoi de simple SMS. Il faudrait surtout que les gens se réveillent un peu en France et qu'il regarde aussi ce qui se passe ailleurs (au lieu de réinventer la roue)! C'est ce qu'on appelle la "best practice" - mais ça ce n'est pas très français…