Sur Android, Google Chrome s’apprête à simplifier une étape (très) pénible du quotidien

Cela dit, pas de panique inutile. Chrome ne lit pas vos SMS sans autorisation explicite. C’est vous qui décidez, comme pour certaines applis bancaires qui proposent déjà ce type de lecture ponctuelle. Par là même, les codes A2F sont temporaires, valables quelques minutes à peine. Pour en tirer quoi que ce soit, il faudrait aussi avoir l’identifiant, le mot de passe… et tomber pile au bon moment.

En clair, sans accès au téléphone, un pirate ne peut pas faire grand-chose avec cette seule fonction – à moins de réussir une attaque plus lourde de type SIM swapping, ou d’installer une version corrompue de Chrome sur votre appareil. Ce genre de scénario n’est certes pas impossible, mais il reste rare. De toute façon, on imaginera sans mal que si votre téléphone est déjà compromis à ce niveau-là, le remplissage automatique des codes ne sera pas le cœur du problème.

À toutes fins utiles, on rappellera quand même que le SMS n’est pas une option idéale pour sécuriser un compte. Trop vulnérable au vol de carte SIM, aux redirections ou aux détournements, il reste une solution de secours, pas une référence. Pas mieux du côté de la vérification par mail, quand votre adresse sert généralement d’identifiant d’accès à l’ensemble de vos comptes. Si vous voulez vraiment bien faire les choses, optez plutôt pour une application A2F dédiée. Ou mieux, passez aux passkeys, quand c’est possible, en gardant bien à l’esprit ce qu’elles impliquent.