Connexion
Abonnez-vous

Apple Watch et Yubikey : comment simplifier votre connexion sur macOS Sierra

Un OS, plein de possibilités

Apple Watch et Yubikey : comment simplifier votre connexion sur macOS Sierra

Le 24 décembre 2016 à 12h37

Avec la dernière version de macOS, de nouveaux dispositifs de connexion sont apparus. Si celui exploitant l'Apple Watch est connu, il en est tout autrement de l'exploitation des smartcards, notamment à travers les Yubikey.

Dans la longue liste de nouveautés de macOS Sierra, une a particulièrement retenu l'attention : la possibilité de se connecter de manière simplifiée grâce à une Apple Watch. Un dispositif similaire à ce que Microsoft tente de proposer avec Windows Hello et son Companion Device Framework (voir cette vidéo de Channel 9), mais que chacun peut déjà exploiter dans la pratique.

Déverrouiller son Mac grâce à son Apple Watch

Comme souvent, le dispositif est assez simple, et nécessite un modèle mi-2013 ou supérieur. Vous devez bien entendu être à jour sous macOS et Watch OS et vous rendre dans la section Sécurité et confidentialité des Préférences système. Là, dans l'onglet Général, une nouvelle option est disponible, Autoriser votre Apple Watch à déverrouiller votre Mac :

Déverrouiller Mac Apple Watch

Une fois la case cochée, vous devrez taper votre mot de passe et attendre quelques secondes pour l'activation du service. Et c'est tout. Notez néanmoins que cela n'a qu'une portée limitée. En effet, si vous redémarrez complètement votre machine ou que votre session est fermée, vous devrez à nouveau taper votre mot de passe une première fois, un peu comme avec TouchID sous iOS.

Mais si votre machine se met en veille ou que vous suspendez son activité, il vous suffira d'être devant votre machine pour que la session s'ouvre à nouveau sans que vous ayez à taper votre mot de passe. Notez que cela ne fonctionne que si votre montre est déverrouillée, il ne suffira donc pas de vous la prendre et de l'approcher pour exploiter le système à votre insu.

Les smartcards font leur retour avec macOS Sierra

Mais ce que l'on sait moins, c'est que Sierra a signé le retour du support des smartcards pour la connexion, alors qu'il avait été déprécié à partir d'OS X à partir de la version Lion (10.7) en 2011. Il était alors basé sur CDSA/Tokend.

Dès la WWDC le début de l'été, Ludovic Rousseau, véritable bible sur le sujet, avait évoqué le fait que l'API CryptoTokenKit introduite avec Yosemite en 2014 se préparait à être utilisée. De quoi ouvrir la voie aux développeurs, d'autant plus que la version 10.12 introduisait la possibilité d'exploiter (en lecture) le contenu de certaines smartcards comme une extension du système.

Yubico saisit l'occasion : utilisez votre Yubikey

C'est cette possibilité qui a été saisie par l'équipe de Yubico afin de proposer un système de connexion simplifié exploitant ses Yubikey. Pour rappel, il s'agit d'un produit qui gère de nombreux standard de la génération de mots passe à usage unique, à la double authentification (U2F de la FIDO alliance). Elle permet ainsi déjà de faire office de Smartcardde stocker une clef via GPG, de renforcer la sécurité de vos comptes DashlaneDropboxGitHubGoogle, etc. 

Les modèles compatibles sont les NeoNeo-n4 et 4 Nano. Pour rappel, ces deux derniers se distinguent de par une certification FIPS 140 et le support de RSA 4096 / ECC p384. Cela leur permet notamment d'être supportées par Docker, ce qui n'est pas le cas des modèles inférieurs.

Notez que le modèle Neo reste le seul à gérer le NFC (notamment utile avec les smartphones Android) comme le détaille ce comparatif. Si votre machine Apple ne dispose pas d'un port USB classique, notez que vous avez toujours la possibilité d'acheter un adaptateur Type-C pour quelques euros en attendant un support natif.

PIV Manager pour générer un certificat

Dans la pratique, comment cela fonctionne ? De manière assez simple, même si un outil reste nécessaire pour initier la procédure. En effet, pour fonctionner comme une smartcard, votre Yubikey doit contenir un certificat.

 Yubikey macOS SierraYubikey macOS Sierra
Avant / Après

Pour simplifier la vie de ses utilisateurs, Yubico a mis à jour son application PIV Manager afin de vous proposer une procédure qui ne demandera que quelques clics (le certificat généré sera valable 30 ans). Si vous en avez déjà un, vous pourrez bien entendu l'utiliser à votre convenance.

Pour notre essai, nous avons utilisé une Yubikey 4 sur un Mac mini disposant déjà d'un compte (protégé par un mot de passe). Une fois l'application installée, vous la trouverez dans le Launchpad. Elle vous demandera d'insérer la clef dans un port USB de la machine, puis de procéder à son initialisation.

Un code PIN comme second élément de sécurité

Pour cela, vous devrez choisir un code PIN composé de six à huit caractères numériques (sinon vous devrez changer de code par la suite). lI sera nécessaire, en complément de la clef, pour procéder à votre connexion.

Ainsi, vous pourrez remplacer un mot de passe complexe par un code plus simple, mais qui nécessitera un élément physique pour donner accès à votre Mac. Bien entendu, vous pouvez utiliser ce dispositif en complément de la connexion simplifiée via l'Apple Watch.

Yubikey macOS SierraYubikey macOS Sierra

Notez que le PIN peut être utilisé comme clef de gestion, ou vous pouvez décider d'en créer une qui pourra vous être demandé de temps à autre. En cas de souci, un code PUK de votre choix pourra être exigé.

Une fois la procédure terminée, il vous sera proposé d'associer votre Yubikey avec votre compte utilisateur macOS. Vous devrez alors taper votre code PIN, retirer puis remettre votre clef. Vous serez alors invité à taper votre code PIN à nouveau ainsi que votre mot de passe. La procédure sera alors terminée.

Dès lors, dès que votre machine sera verrouillée et que la Yubikey sera présente dans un port USB, on vous demandera le code PIN de cette dernière pour vous connecter. Sinon, vous devrez taper votre mot de passe de session habituel. Une pratique qui semble bien plus saine que ce qui a finalement été mis en place pour Windows 10 via une application dédiée.

Yubikey macOS SierraYubikey macOS Sierra 

 

Retrouvez notre dossier Chiffrement, clefs de sécurité et cryptobidules :

Commentaires (7)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Deux billets là-dessus, le contenu sponsorisé arrive sur NXI ?

votre avatar







v6relou a écrit :



Deux billets là-dessus, le contenu sponsorisé arrive sur NXI ?





Je dirai plutôt qu’ils se sont achetés une Yubikey et ont fait mumuse ? (enfin j’espère…)


votre avatar

Faut changer de grille de lecture les gars, vous voyez le mal partout…

votre avatar

Outre le fait que ce soit un peu lourd d’avoir à toujours tout redire dès qu’un parle d’un produit, (alors que le sponso dégouline partout ailleurs de manière clairement indiquée ou non) la réponse est non. L’app Windows 10 a été mise en ligne, on a fait un papier pour le dire. On a du coup parlé de l’implémentation macOS dans la foulée (qu’on a testé y’a un moment, mais c’était l’occasion de publier).



Sinon pour la redite classique : pas de sponso, on l’a toujours dit, ça n’a pas changé en 15 ans, ce serait de toutes façons mentionné puisque c’est légalement obligatoire. Et non, parler d’une marque ne constitue pas en soi de la publicité et ceux qui sont les plus attentifs savent de toutes façons que l’on est loin de se limiter à YK ;)



 twitter.com Twitter

votre avatar

Ok, merci pour la clarification. Je trouvais bizarre que subitement il y ait deux billets sur un produit inconnu.



La structure de l’article est un peu déroutante ceci dit avec le mélange Apple Watch et les capacités du framework de macOS et l’autre partie qui suit sur Yubikey, ça aurait mérité deux articles séparés à mon avis.

votre avatar

Oui et non, ça revient à proposer un dispositif similaire concernant la connexion simplifiée. La méthode et les outils diffèrent, mais ça ne mérite pas une segmentation du papier en deux (surtout que le dossier aura bien assez de parties indépendantes comme ça ;))

votre avatar

Yubikey un produit inconnu ? Pour celui qui bosse dans la sécu c’est un produit très connu. A ça j’ajouterai que les journalistes sont de plus en plus la cible d’écoutes, les clés publiques PGP fleurissent un peu partout pour les contacter de manière sécurisée. Je peux comprendre que ce sujet chaud inspire les rédacteurs en ce moment.

Apple Watch et Yubikey : comment simplifier votre connexion sur macOS Sierra

  • Déverrouiller son Mac grâce à son Apple Watch

  • Les smartcards font leur retour avec macOS Sierra

  • Yubico saisit l'occasion : utilisez votre Yubikey

  • PIV Manager pour générer un certificat

  • Un code PIN comme second élément de sécurité

Fermer