Sur Android, Google Chrome s’apprête à simplifier une étape (très) pénible du quotidien

Saisir manuellement un code reçu par SMS pour valider une connexion ? Bientôt de l’histoire ancienne pour les internautes sous Android. Chrome teste une fonction attendue qui pourrait faire gagner un temps précieux à celles et ceux qui préfèrent les sites aux applis.

Voilà déjà un moment que les applications Android savent détecter automatiquement les codes d’authentification envoyés par SMS, et les saisir à votre place. Une option aujourd’hui indissociable de nombreux usages, qui contribue à banaliser l’authentification à deux facteurs (A2F) malgré son apparente lourdeur. En revanche, dès qu’on sort des applis pour revenir sur un site web mobile, retour à la case copier-coller. Il faut ouvrir sa messagerie, repérer le bon SMS, copier le code, revenir sur le navigateur et le coller dans le champ prévu. Rien d’insurmontable en soi, mais une gymnastique lassante à la longue, il faut le dire.

Ce que les applis faisaient déjà, Chrome s’y met enfin

Mais, hauts les cœurs ! Google pourrait bien finir par entendre vos soupirs. D’après le leaker Leopeva64, la firme testerait actuellement l’intégration de cette fonction directement dans Chrome pour Android.

L’option, dissimulée dans les flags de la version Canary sous le nom Enable SMS OTP Filling, est bien visible, même si la fonction en elle-même n’est pas encore active. Elle suggère toutefois que le navigateur pourrait bientôt détecter automatiquement les codes 2FA reçus par SMS et les reporter dans les champs dédiés. Un gain de confort évident, surtout pour celles et ceux qui utilisent les versions web faute d’application, ou qui refusent d’encombrer leur téléphone avec des apps en trop.

Encore faut-il accepter d’en confier un peu plus à Google. Chrome, Android, vos SMS, votre compte Gmail… tout transite déjà dans le même écosystème. Ajouter à cela les codes d’authentification, c’est prolonger un peu plus la logique de centralisation. Pas forcément un souci de sécurité immédiat, mais une vraie question de confiance à moyen terme. Si vous laissez Chrome remplir automatiquement vos champs sensibles, il faut être à l’aise avec l’idée que le navigateur – et donc Google – puisse techniquement y avoir accès. Même si la firme promet que ces données ne sont pas utilisées à d’autres fins, y compris publicitaires.

Une option pratique, tant que tout va bien

Cela dit, pas de panique inutile. Chrome ne lit pas vos SMS sans autorisation explicite. C’est vous qui décidez, comme pour certaines applis bancaires qui proposent déjà ce type de lecture ponctuelle. Par là même, les codes A2F sont temporaires, valables quelques minutes à peine. Pour en tirer quoi que ce soit, il faudrait aussi avoir l’identifiant, le mot de passe… et tomber pile au bon moment.

En clair, sans accès au téléphone, un pirate ne peut pas faire grand-chose avec cette seule fonction – à moins de réussir une attaque plus lourde de type SIM swapping, ou d’installer une version corrompue de Chrome sur votre appareil. Ce genre de scénario n’est certes pas impossible, mais il reste rare. De toute façon, on imaginera sans mal que si votre téléphone est déjà compromis à ce niveau-là, le remplissage automatique des codes ne sera pas le cœur du problème.

À toutes fins utiles, on rappellera quand même que le SMS n’est pas une option idéale pour sécuriser un compte. Trop vulnérable au vol de carte SIM, aux redirections ou aux détournements, il reste une solution de secours, pas une référence. Pas mieux du côté de la vérification par mail, quand votre adresse sert généralement d’identifiant d’accès à l’ensemble de vos comptes. Si vous voulez vraiment bien faire les choses, optez plutôt pour une application A2F dédiée. Ou mieux, passez aux passkeys, quand c’est possible, en gardant bien à l’esprit ce qu’elles impliquent.

Source : Leopeva64 via Reddit