Connexion
Abonnez-vous

Apple active la double authentification dans les pays anglo-saxons

Il était plus que temps

Apple active la double authentification dans les pays anglo-saxons

Le 22 mars 2013 à 09h08

Apple vient d’activer dans plusieurs pays un processus d’authentification en deux temps. Il s’agit d’une mesure de sécurité complémentaire qui permet de faire valider par un code spécifique une opération sur une autre machine. Une barrière supplémentaire à l’ingénierie sociale.

icloud

Des dangers bien réels 

Bien que les solutions de type cloud soient très puissantes dans le confort quotidien qu’elles apportent, elles comportent un danger inhérent à la concentration des informations. En août 2012, le journaliste Mat Honan est victime d’une attaque qui a largement affecté sa vie numérique. Un pirate avait réussi à obtenir le mot de passe de son compte iCloud. Les conséquences ont été multiples : adresse Gmail piratée (suffixe identique, compte iCloud configuré en solution de secours), contenu effacé sur son iPhone, son iPad et même son MacBook Pro, et finalement tous les appareils bloqués...

 

Le pirate avait obtenu les informations nécessaires directement auprès de l'Apple Care, le service client de la pomme. Les questions de sécurité, visiblement trop simples, avaient permis au pirate d’obtenir une réinitialisation du mot de passe. Très rapidement, Apple avait réagi en lançant un audit généralisé de ses méthodes de vérification d’identité. La firme avait ensuite annoncé qu’elle serait plus stricte sur les appels à l’Apple Care et sur la vérification d’identité. D’ailleurs, la réinitialisation des mots de passe par téléphone était tout simplement impossible pendant quelques semaines.

Vérification supplémentaire pour les machines inhabituelles 

Apple vient maintenant d’activer l’authentification à deux temps dans certains pays anglo-saxons : États-Unis, Royaume-Uni, Irlande, Australie et Nouvelle-Zélande. De fait, la mise en place d’un nouveau processus n’est pas étonnante.

 

icloud

 

Le principe de fonctionnement est simple. Une fois activée, l’option va réclamer systématiquement un deuxième code d’authentification pour valider une opération importante, qui peut être un achat sur iTunes ou sur l’App Store. Cette demande de code sera faite uniquement sur des machines où l’utilisateur n’a pas l’habitude d’aller, une mesure mise en place pour juguler les attaques par ingénierie sociale.

 

icloud

Une protection bienvenue mais qui n'est pas absolue 

Dans le cas de Mat Honan par exemple, l’obtention du mot de passe iCloud n’aurait pas été suffisante. Utilisé sur une machine inhabituelle, le compte aurait réclamé le deuxième code. Or, ce code est envoyé soit par SMS, soit par l’application Localiser mon iPhone. Sans le code à quatre chiffres, l’opération n’aurait jamais abouti puisque les modifications de compte font partie désormais des opérations surveillées. On pense également à l’ensemble des malwares dont l’objectif est d’obtenir ce genre de renseignements, ou aux campagnes de phishing. Il n’est pas rare de recevoir un faux email d’Apple indiquant qu’une connexion au compte iCloud est nécessaire afin qu’il ne soit pas « détruit ».

 

Mais attention : ce type de double authentification, que l’on retrouve déjà chez Google, ou même chez Blizzard pour leurs jeux, réduit les risques mais ne les supprime pas. En l’occurrence, voler le téléphone de la victime casserait le bénéfice du second code. Notez que dans tous les cas, Apple vous fournira une clé de récupération qu’il faudra placer en lieu sûr en cas de problème majeur.

 

Il s’agit quoi qu’il en soit d’un pas dans le bon sens. Il suffit maintenant d’attendre que cette possibilité soit étendue au reste des pays.

Commentaires (13)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar







Khalev a écrit :



Surtout si la NSA s’en mêle je pense que le monsieur aura d’autres problèmes que la sécurité de son compte Apple auquel ils ont surement déjà accès.



“Bonjour Monsieur c’est la NSA, lachez cet iPod!

-Nooon pas mon iPod… Oui j’avoue c’est moi j’avais préparé un plan pour faire sauter la maison Blanche et la faire courir en rond sur ses petites pattes, mais s’il vous plaît, ne toucher pas à mon compte Apple…”



<img data-src=" />





=====&gt; :vroum:





Faire sauter la maison blanche ? There is an app for that !


votre avatar

Gmail le fait lorsque l’on se connecte depuis l’étranger … et bien c’est plus que c*t si l’on ne veut pas donner son numéro de téléphone … <img data-src=" />

votre avatar

Je comprends pas que ça n’existe pas encore chez eux… Gmail le fait, facebook le fais, avec suivi de session etc… Et c’est pas sur Facebook que l’ont met nos information de payement etc…

votre avatar

Je l’ai sur mes gmail avec Google Authentificator et sur Lastpass avec ma Yubikey, je me suis dis la même chose que le sous titre quand j’ai lu l’actu. D’ailleurs l’authentification forte devrait être proposé beaucoup plus largement et surtout dans le secteur bancaire.

votre avatar

Pareil, activé sur mon compte Google. Indispensable !

votre avatar



La firme avait ensuite annoncé qu’elle serait plus stricte sur les appels à l’Apple Care et sur la vérification d’identité





ça n’a pas été vraiment le cas. Récement, dans une boite un iPhone tout neuf non utilisé a été volé par une personne non identifiée. Par un simple coup de fil à Apple et en discutant un peu, il a été facile d’obtenir l’email utilisé pour activer l’iPhone…

votre avatar



Mais attention : ce type de double authentification, que l’on retrouve déjà chez Google, ou même chez Blizzard pour leurs jeux, réduit les risques mais ne les supprime pas. En l’occurrence, voler le téléphone de la victime casserait le bénéfice du second code.





Je crois tout de même que la méthode Blizzard est plus sécurisée si on utilise un verrouillage écran (et FDE sur Android). Dans la méthode Apple, la notification des SMS permet d’obtenir le code, et le code surtout, circule en clair. (Alors qu’il est généré à partir d’une clé locale dans la méthode blizzard)



En entreprise en tout cas, les méthodes d’authentification à deux facteurs par SMS sont très mal notées d’un point de vu sécurité.

votre avatar







daroou a écrit :



ça n’a pas été vraiment le cas. Récement, dans une boite un iPhone tout neuf non utilisé a été volé par une personne non identifiée. Par un simple coup de fil à Apple et en discutant un peu, il a été facile d’obtenir l’email utilisé pour activer l’iPhone…





Cas particulier, cas général, tout ça…


votre avatar



En l’occurrence, voler le téléphone de la victime casserait le bénéfice du second code.





Oui enfin l’idée c’est que sans le mot de passe ça ne marche pas non plus, et le temps que le voleur arrive à trouver le mot de passe (on fait l’hypothèse que ce n’est pas password ou 1234 hein) on a le temps de changer les infos du téléphone sur le site de Google/Facebook/Apple.



Pour ma part je trouve ce système suffisamment sécurisé pour la quasi-totalité des situations. Après si la NSA s’en mêle c’est une autre histoire, mais je ne crois pas que la NSA s’intéresse à mr tout le monde…

votre avatar







Skeeder a écrit :



Je crois tout de même que la méthode Blizzard est plus sécurisée si on utilise un verrouillage écran (et FDE sur Android). Dans la méthode Apple, la notification des SMS permet d’obtenir le code, et le code surtout, circule en clair. (Alors qu’il est généré à partir d’une clé locale dans la méthode blizzard)



En entreprise en tout cas, les méthodes d’authentification à deux facteurs par SMS sont très mal notées d’un point de vu sécurité.







Il faut arriver à intercepter le SMS quand même. Même si on est d’accord que le token c’est mieux :)


votre avatar

Pas sûr que je puisse activer ça sur mes comptes US et UK avec un numéro de portable français.

votre avatar

Je peux pas l’activer sur mon compte Google, il me demande toujours un numéro de téléphone alors que je veux utiliser l’application Google Authentificator …

votre avatar







Athropos a écrit :



Pour ma part je trouve ce système suffisamment sécurisé pour la quasi-totalité des situations. Après si la NSA s’en mêle c’est une autre histoire, mais je ne crois pas que la NSA s’intéresse à mr tout le monde…





Surtout si la NSA s’en mêle je pense que le monsieur aura d’autres problèmes que la sécurité de son compte Apple auquel ils ont surement déjà accès.



“Bonjour Monsieur c’est la NSA, lachez cet iPod!

-Nooon pas mon iPod… Oui j’avoue c’est moi j’avais préparé un plan pour faire sauter la maison Blanche et la faire courir en rond sur ses petites pattes, mais s’il vous plaît, ne toucher pas à mon compte Apple…”



<img data-src=" />





=====&gt; :vroum:


Apple active la double authentification dans les pays anglo-saxons

  • Des dangers bien réels 

Fermer