Apple Watch et Yubikey : comment simplifier votre connexion sur macOS Sierra
Un OS, plein de possibilités
Le 24 décembre 2016 à 12h37
6 min
Logiciel
Logiciel
Avec la dernière version de macOS, de nouveaux dispositifs de connexion sont apparus. Si celui exploitant l'Apple Watch est connu, il en est tout autrement de l'exploitation des smartcards, notamment à travers les Yubikey.
Dans la longue liste de nouveautés de macOS Sierra, une a particulièrement retenu l'attention : la possibilité de se connecter de manière simplifiée grâce à une Apple Watch. Un dispositif similaire à ce que Microsoft tente de proposer avec Windows Hello et son Companion Device Framework (voir cette vidéo de Channel 9), mais que chacun peut déjà exploiter dans la pratique.
Déverrouiller son Mac grâce à son Apple Watch
Comme souvent, le dispositif est assez simple, et nécessite un modèle mi-2013 ou supérieur. Vous devez bien entendu être à jour sous macOS et Watch OS et vous rendre dans la section Sécurité et confidentialité des Préférences système. Là, dans l'onglet Général, une nouvelle option est disponible, Autoriser votre Apple Watch à déverrouiller votre Mac :
Une fois la case cochée, vous devrez taper votre mot de passe et attendre quelques secondes pour l'activation du service. Et c'est tout. Notez néanmoins que cela n'a qu'une portée limitée. En effet, si vous redémarrez complètement votre machine ou que votre session est fermée, vous devrez à nouveau taper votre mot de passe une première fois, un peu comme avec TouchID sous iOS.
Mais si votre machine se met en veille ou que vous suspendez son activité, il vous suffira d'être devant votre machine pour que la session s'ouvre à nouveau sans que vous ayez à taper votre mot de passe. Notez que cela ne fonctionne que si votre montre est déverrouillée, il ne suffira donc pas de vous la prendre et de l'approcher pour exploiter le système à votre insu.
Les smartcards font leur retour avec macOS Sierra
Mais ce que l'on sait moins, c'est que Sierra a signé le retour du support des smartcards pour la connexion, alors qu'il avait été déprécié à partir d'OS X à partir de la version Lion (10.7) en 2011. Il était alors basé sur CDSA/Tokend.
Dès la WWDC le début de l'été, Ludovic Rousseau, véritable bible sur le sujet, avait évoqué le fait que l'API CryptoTokenKit introduite avec Yosemite en 2014 se préparait à être utilisée. De quoi ouvrir la voie aux développeurs, d'autant plus que la version 10.12 introduisait la possibilité d'exploiter (en lecture) le contenu de certaines smartcards comme une extension du système.
Yubico saisit l'occasion : utilisez votre Yubikey
C'est cette possibilité qui a été saisie par l'équipe de Yubico afin de proposer un système de connexion simplifié exploitant ses Yubikey. Pour rappel, il s'agit d'un produit qui gère de nombreux standard de la génération de mots passe à usage unique, à la double authentification (U2F de la FIDO alliance). Elle permet ainsi déjà de faire office de Smartcard, de stocker une clef via GPG, de renforcer la sécurité de vos comptes Dashlane, Dropbox, GitHub, Google, etc.
Les modèles compatibles sont les Neo, Neo-n, 4 et 4 Nano. Pour rappel, ces deux derniers se distinguent de par une certification FIPS 140 et le support de RSA 4096 / ECC p384. Cela leur permet notamment d'être supportées par Docker, ce qui n'est pas le cas des modèles inférieurs.
Notez que le modèle Neo reste le seul à gérer le NFC (notamment utile avec les smartphones Android) comme le détaille ce comparatif. Si votre machine Apple ne dispose pas d'un port USB classique, notez que vous avez toujours la possibilité d'acheter un adaptateur Type-C pour quelques euros en attendant un support natif.
PIV Manager pour générer un certificat
Dans la pratique, comment cela fonctionne ? De manière assez simple, même si un outil reste nécessaire pour initier la procédure. En effet, pour fonctionner comme une smartcard, votre Yubikey doit contenir un certificat.
Pour simplifier la vie de ses utilisateurs, Yubico a mis à jour son application PIV Manager afin de vous proposer une procédure qui ne demandera que quelques clics (le certificat généré sera valable 30 ans). Si vous en avez déjà un, vous pourrez bien entendu l'utiliser à votre convenance.
Pour notre essai, nous avons utilisé une Yubikey 4 sur un Mac mini disposant déjà d'un compte (protégé par un mot de passe). Une fois l'application installée, vous la trouverez dans le Launchpad. Elle vous demandera d'insérer la clef dans un port USB de la machine, puis de procéder à son initialisation.
Un code PIN comme second élément de sécurité
Pour cela, vous devrez choisir un code PIN composé de six à huit caractères numériques (sinon vous devrez changer de code par la suite). lI sera nécessaire, en complément de la clef, pour procéder à votre connexion.
Ainsi, vous pourrez remplacer un mot de passe complexe par un code plus simple, mais qui nécessitera un élément physique pour donner accès à votre Mac. Bien entendu, vous pouvez utiliser ce dispositif en complément de la connexion simplifiée via l'Apple Watch.
Notez que le PIN peut être utilisé comme clef de gestion, ou vous pouvez décider d'en créer une qui pourra vous être demandé de temps à autre. En cas de souci, un code PUK de votre choix pourra être exigé.
Une fois la procédure terminée, il vous sera proposé d'associer votre Yubikey avec votre compte utilisateur macOS. Vous devrez alors taper votre code PIN, retirer puis remettre votre clef. Vous serez alors invité à taper votre code PIN à nouveau ainsi que votre mot de passe. La procédure sera alors terminée.
Dès lors, dès que votre machine sera verrouillée et que la Yubikey sera présente dans un port USB, on vous demandera le code PIN de cette dernière pour vous connecter. Sinon, vous devrez taper votre mot de passe de session habituel. Une pratique qui semble bien plus saine que ce qui a finalement été mis en place pour Windows 10 via une application dédiée.
Retrouvez notre dossier Chiffrement, clefs de sécurité et cryptobidules :
- Chiffrement : notre antisèche pour l'expliquer à vos parents
- OpenPGP et GnuPG : 25 ans de chiffrement pour tous, ce qu'il faut savoir avant de s'y mettre
- GPG : création de votre première paire de clefs et chiffrement d'un fichier
- GPG : comment créer une paire de clefs presque parfaite
- Keybase.io : profil certifié, partage de fichiers et maintenant un chat sécurisé
- Keybase.io : comment ça marche ?
- Facebook : comment y diffuser votre clef GPG et recevoir des notifications chiffrées
- Clefs GPG : comment les stocker et les utiliser via une clef USB OpenPGP Card ?
- Yubikey et Windows 10 : comment se connecter simplement à travers Windows Hello
Apple Watch et Yubikey : comment simplifier votre connexion sur macOS Sierra
-
Déverrouiller son Mac grâce à son Apple Watch
-
Les smartcards font leur retour avec macOS Sierra
-
Yubico saisit l'occasion : utilisez votre Yubikey
-
PIV Manager pour générer un certificat
-
Un code PIN comme second élément de sécurité
Commentaires (7)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 24/12/2016 à 14h09
Deux billets là-dessus, le contenu sponsorisé arrive sur NXI ?
Le 24/12/2016 à 14h12
Le 24/12/2016 à 14h15
Faut changer de grille de lecture les gars, vous voyez le mal partout…
Le 24/12/2016 à 14h15
Outre le fait que ce soit un peu lourd d’avoir à toujours tout redire dès qu’un parle d’un produit, (alors que le sponso dégouline partout ailleurs de manière clairement indiquée ou non) la réponse est non. L’app Windows 10 a été mise en ligne, on a fait un papier pour le dire. On a du coup parlé de l’implémentation macOS dans la foulée (qu’on a testé y’a un moment, mais c’était l’occasion de publier).
Sinon pour la redite classique : pas de sponso, on l’a toujours dit, ça n’a pas changé en 15 ans, ce serait de toutes façons mentionné puisque c’est légalement obligatoire. Et non, parler d’une marque ne constitue pas en soi de la publicité et ceux qui sont les plus attentifs savent de toutes façons que l’on est loin de se limiter à YK ;)
Twitter
Le 24/12/2016 à 14h18
Ok, merci pour la clarification. Je trouvais bizarre que subitement il y ait deux billets sur un produit inconnu.
La structure de l’article est un peu déroutante ceci dit avec le mélange Apple Watch et les capacités du framework de macOS et l’autre partie qui suit sur Yubikey, ça aurait mérité deux articles séparés à mon avis.
Le 24/12/2016 à 14h40
Oui et non, ça revient à proposer un dispositif similaire concernant la connexion simplifiée. La méthode et les outils diffèrent, mais ça ne mérite pas une segmentation du papier en deux (surtout que le dossier aura bien assez de parties indépendantes comme ça ;))
Le 24/12/2016 à 15h15
Yubikey un produit inconnu ? Pour celui qui bosse dans la sécu c’est un produit très connu. A ça j’ajouterai que les journalistes sont de plus en plus la cible d’écoutes, les clés publiques PGP fleurissent un peu partout pour les contacter de manière sécurisée. Je peux comprendre que ce sujet chaud inspire les rédacteurs en ce moment.