Apple vient d’activer dans plusieurs pays un processus d’authentification en deux temps. Il s’agit d’une mesure de sécurité complémentaire qui permet de faire valider par un code spécifique une opération sur une autre machine. Une barrière supplémentaire à l’ingénierie sociale.

Des dangers bien réels 

Bien que les solutions de type cloud soient très puissantes dans le confort quotidien qu’elles apportent, elles comportent un danger inhérent à la concentration des informations. En août 2012, le journaliste Mat Honan est victime d’une attaque qui a largement affecté sa vie numérique. Un pirate avait réussi à obtenir le mot de passe de son compte iCloud. Les conséquences ont été multiples : adresse Gmail piratée (suffixe identique, compte iCloud configuré en solution de secours), contenu effacé sur son iPhone, son iPad et même son MacBook Pro, et finalement tous les appareils bloqués...

Le pirate avait obtenu les informations nécessaires directement auprès de l'Apple Care, le service client de la pomme. Les questions de sécurité, visiblement trop simples, avaient permis au pirate d’obtenir une réinitialisation du mot de passe. Très rapidement, Apple avait réagi en lançant un audit généralisé de ses méthodes de vérification d’identité. La firme avait ensuite annoncé qu’elle serait plus stricte sur les appels à l’Apple Care et sur la vérification d’identité. D’ailleurs, la réinitialisation des mots de passe par téléphone était tout simplement impossible pendant quelques semaines.

Vérification supplémentaire pour les machines inhabituelles 

Apple vient maintenant d’activer l’authentification à deux temps dans certains pays anglo-saxons : États-Unis, Royaume-Uni, Irlande, Australie et Nouvelle-Zélande. De fait, la mise en place d’un nouveau processus n’est pas étonnante.

Le principe de fonctionnement est simple. Une fois activée, l’option va réclamer systématiquement un deuxième code d’authentification pour valider une opération importante, qui peut être un achat sur iTunes ou sur l’App Store. Cette demande de code sera faite uniquement sur des machines où l’utilisateur n’a pas l’habitude d’aller, une mesure mise en place pour juguler les attaques par ingénierie sociale.

Une protection bienvenue mais qui n'est pas absolue 

Dans le cas de Mat Honan par exemple, l’obtention du mot de passe iCloud n’aurait pas été suffisante. Utilisé sur une machine inhabituelle, le compte aurait réclamé le deuxième code. Or, ce code est envoyé soit par SMS, soit par l’application Localiser mon iPhone. Sans le code à quatre chiffres, l’opération n’aurait jamais abouti puisque les modifications de compte font partie désormais des opérations surveillées. On pense également à l’ensemble des malwares dont l’objectif est d’obtenir ce genre de renseignements, ou aux campagnes de phishing. Il n’est pas rare de recevoir un faux email d’Apple indiquant qu’une connexion au compte iCloud est nécessaire afin qu’il ne soit pas « détruit ».

Mais attention : ce type de double authentification, que l’on retrouve déjà chez Google, ou même chez Blizzard pour leurs jeux, réduit les risques mais ne les supprime pas. En l’occurrence, voler le téléphone de la victime casserait le bénéfice du second code. Notez que dans tous les cas, Apple vous fournira une clé de récupération qu’il faudra placer en lieu sûr en cas de problème majeur.

Il s’agit quoi qu’il en soit d’un pas dans le bon sens. Il suffit maintenant d’attendre que cette possibilité soit étendue au reste des pays.