Les utilisateurs qui ont la validation en deux étapes activée sur leur(s) compte(s) connaissent bien les mots de passe à usage unique. Ils les reçoivent par SMS ou une application dédiée. Ces codes sont à entrer en plus de son identifiant et de son mot de passe. Apple a justement envie de simplifier le processus, tout en améliorant la sécurité.

Depuis iOS 12, il est possible d’avoir le code de sécurité reçu par SMS via les suggestions du clavier

Deux propositions ont été faites par les ingénieurs de WebKit, à savoir le moteur de rendu du navigateur Safari. La première consiste à introduire un moyen d’associer les codes reçus par SMS à une URL. Cela se fait en ajoutant l’URL de connexion à l’intérieur du SMS lui-même. Le deuxième objectif est de créer un format standard pour les SMS avec des codes de sécurité, afin que les navigateurs et autres applications puissent facilement détecter le SMS entrant, reconnaître le nom de domaine à l’intérieur du message, puis extraire automatiquement le code et terminer l’opération de connexion sans autre interaction de l’utilisateur.

Un tel système permettrait à l’utilisateur de gagner du temps et améliorerait au passage sa sécurité puisque son téléphone aura bien vérifié que le code reçu correspond bien au site ou à l’application qui le demande. Dans le détail, Apple indique que le format devrait être le suivant :

747723 est votre code d’authentification pour [nom du site].
@website.com #747723

La première ligne est destinée aux utilisateurs qui veulent éventuellement faire une vérification. La seconde est destinée aux navigateurs et applications pour comprendre quel est le code et à quel site il correspond.

À ce stade, Apple (WebKit) et Google (Chromium) soutiennent cette idée. Mozilla, qui gère Firefox, n’a pas encore réagi.