Chrome rend les codes de sécurité par SMS plus conviviaux, si vous avez la patience de tout configurer
On le dit et on ne cesse de le répéter : pour bien sécuriser un compte sur un site web, il ne suffit pas de choisir un mot de passe solide et unique.
Des SMS de sécurité qui passent du téléphone au PC
Il s'avère que Google a eu l'idée, avec la version 93 de son navigateur web Chrome, de rendre l'usage de l'authentification forte plus conviviale. Celle-ci prend en général la forme d'un code de quelques chiffres, qui est soit envoyé par SMS soit généré par une application, comme Authy ou Google Authenticator. Bien sûr, cela suppose d'avoir associé son numéro de téléphone avec le compte à protéger.
C'est sur le premier scénario, l'envoi d'un code par SMS, que Google s'est focalisé. Chrome 93, qui est disponible depuis le 31 août 2021, propose en fait de synchroniser les codes reçus sur le smartphone avec son ordinateur, de façon à les avoir sous les yeux et, si possible, de les insérer directement dans le champ de saisie prévu à cet effet -- et, donc, de pouvoir se connecter au site web concerné.
La technologie utilisée par Google a été présentée dans les grandes en ligne à travers un billet de blog paru le 28 juillet. « Les mots de passe à usage unique par SMS (ou SMS OTP) sont couramment utilisés pour vérifier un numéro de téléphone, par exemple comme deuxième étape d'authentification, ou pour vérifier les paiements sur le web », rappellent les deux auteurs de la publication, Yi Gu et Eiji Kitamura.
« Mais, poursuivent-ils, l'ensemble du processus consistant à passer du bureau au mobile, à ouvrir l'application SMS, à mémoriser et à saisir l'OTP sur le site web d'origine, de retour sur le bureau, ajoute des frictions. Il est facile de commettre des erreurs de cette façon et c'est vulnérable aux attaques de phishing ». Alors dans ce cas, pourquoi ne pas transférer ce code SMS du smartphone au PC ?
Pratique, à condition de satisfaire tous les prérequis
Ces frictions peuvent donc être contournées grâce à Google Chrome, mais cela nécessite au préalable de remplir une liste de pré-requis :
Il faut posséder un PC de bureau ou un PC portable (sous Windows, Mac, Linux ou Chrome OS).
Côté smartphone, celui-ci doit fonctionner avec Android et disposer de Google Play Services en version 20.30.12 ou supérieure.
Installer Google Chrome 93 (ou plus, la fonctionnalité ayant vocation à perdurer) sur le PC et le smartphone qui participeront à ce transfert.
Se connecter au même compte Google via Chrome, à la fois sur le PC et sur le mobile
Se connecter à Android sur le smartphone via « Paramètres »-> « Google » ;
Régler Chrome 93 comme le navigateur web par défaut sur le smartphone Android ;
Faire en sorte que Chrome 93 soit en train d'être affiché à l'écran du smartphone ou, au moins, être en fonctionnement en arrière-plan.
Si vous acceptez d'évoluer pleinement dans l'écosystème de Google et si vous avez la patience de satisfaire tous ces exigences préalables, alors vous pourrez bénéficier de ce transfert de code SMS et manipuler les mots de passe unique de manière presque transparente. Notez qu'une page de démonstration est disponible pour faire une simulation de ce transfert.
Sur un plan technique, Google mobilise l'API WebOTP (Web One Time Password) qui sert à vérifier des numéros de téléphone sur le net. Elle n'est pas limitée à Google, en témoigne la documentation de Mozilla à son sujet : elle « fournit une méthode pour vérifier qu'un numéro de téléphone appartient à l'utilisateur, en générant un mot de passe à usage unique à la réception d'un message SMS spécialement mis en forme ».
Il est à noter que parmi les diverses méthodes de double authentification, celle basée sur les SMS n'est pas la plus sûre. Il existe certaines attaques particulières qui peuvent la fragiliser, comme le SIM Swapping, qui a pu poser des problèmes y compris à des patrons de la tech. Mais il faut raison garder : Mieux vaut la double authentification par SMS que rien du tout.
Les changements annoncés par Google pour Chrome 93 préparent le terrain. Maintenant, il reste aux plateformes à s'en emparer.