« Apple affirme que 95 % des utilisateurs d'iCloud ont déjà activé la 2FA », titre 9to5Mac, qui rappelle qu'elle sera obligatoire « lorsque les passkeys seront lancés dans le cadre d'iOS 16, macOS Ventura et iPadOS 16 » :
« La norme passkeys est décrite comme des clés numériques uniques conçues pour remplacer complètement les mots de passe par une connexion simplifiée sur vos appareils, sites web et applications. »
La prise en charge par Apple de cette norme, annoncée lors de la WWDC en juin, vise à remplacer le mot de passe par une clé numérique unique, qui reste sur le périphérique, est chiffrée de bout en bout et n'est jamais stockée sur un serveur Web. « Chaque clé que vous créez est unique pour cette application, ce site Web ou ce service », précise 9to5Mac :
« Les Passkeys sont une extension de la fonction FIDO Standard qu'Apple a mise en œuvre dans le cadre d'iOS 15 et de macOS 12 l'année dernière. La fonction FIDO Standard exige toutefois que l'utilisateur se connecte à chaque application ou site web sur chaque appareil avant d'activer une méthode de connexion sans mot de passe. Les Passkeys suppriment cette étape et permettent aux utilisateurs de passer entièrement à une méthode de connexion sans mot de passe. »
Commentaires (15)
#1
cela manque honnêtement de précision dans le communiqué :
95% des utilisateurs ont ils eux meme activé spontanément l’authentification 2FA?
ou est ce qu’apple les a forcé à faire contre leur gré?
ayant une dent canonique contre le 2FA, j’ai quitté apple/iphone suite à cette aventure. Un tel est un objet trop volatile pour assurer la sécurité en ligne, amha.
#2
Traduction : les utilisateurs n’ont pas eu le choix ou n’ont pas su comment désactiver, ou cliquer sur le petit bouton caché pour skipper l’écran
#3
De mémoire c’est activé par défaut si tu crées un nouveau compte.
Pour les comptes existants ca reste désactivé… mais je crois me souvenir d’un popup (?) qui conseillait de l’activer.
#4
pour certains appareil, cela signifie une “obsolescence programmée” accélérée
#4.1
Mais à un moment donné il faut bien avancer vers plus de sécurité, non ? Quitte a devoir mettre au rebut des usages adoptés en masse.
Ce genre d’argument utilisé de façon aléatoire ne permet pas de construire l’avenir. Il faudrait selon l’argument, revenir aux cireurs de chaussures et interdire la cire personnelle pour sauvegarder des emplois ?
#4.2
Ça n’a aucun lien avec la sécurité, offrir un nouveau moyen de sécuriser est une chose; en l’imposant, le but n’est pas la sécurité, mais de faire plus de ventes…
On peut avoir des cireurs de chaussures sans pour autant interdire la cire personnelle !
#5
Donc si on a encore un iMac sous 10.13 et qu’on envisage d’acheter un Iphone sous iOS 15, l’iPhone est inutilisable ? Ou partiellement inutilisable ?
#6
Le 2FA est pas demandé sur https://www.icloud.com/find, de ce fait si on vous vole votre téléphone et qu’ils réussissent un phishing c’est bon, ils peuvent le supprimer. J’ai tenté de remonter ce trou béant à Apple sans succès.
#7
C’est tout le pb du 2FA : ça fait chier au quotidien, et y’a toujours un moyen d’accès sans : ce qui rend ce 2FA totalement inutile…
Là c’est voulu par Apple s’ils sécurisent la page “Trouver mon iphone” en 2FA, le risque est de devoir valider une popup sur le téléphone à chercher…
Pour tous les services, c’est le même scénario : le 2FA est rendu obligatoire, l’armée des bots / commerciaux / décérébrés vient expliquer en long et en large sur internet que c’est génial, ses GAFAM sont des bienfaiteurs de la sécurité.
L’intérêt principal est de collecter des no de téléphones, de compléter tes données et donc d’augmenter leur valeur. La page j’ai oublié mon mot de passe, reste dans 100% du temps sans sécurité : et oui il faudrait des humains pour valider les demandes de reset de mots de passe…
L’apport en sécurité est nul (il suffit toujours de poutrer la page j’ai oublié mon mot de passe pour entrer), voir négatif: L’utilisateur pensant son accès sécurisé par 2FA va utiliser un mot de passe plus simple ou être moins vigilant avec celui-ci (le stocker en clair, l’utiliser sur plusieurs sites…)
#8
Le 2FA où il faut recopier les 6 chiffres, oui, pour le reste, je ne suis pas d’accord:
Tu racontes un peu n’importe quoi la. Le 2FA te permet de te faire voler ton mot de passe. Même mieux, si quelqu’un tente d’utiliser ton mot de passe et qu’il se plante sur le 2FA, certain service te prévienne et t’indique donc que tu t’es probablement fait voler ton mot de passe.
Et “il suffit de poutrer la page j’ai oublié mon mot de passe”. Avec cet argument, c’est facile: “il suffit de poutrer la base de donnée”, ca marche aussi…
#9
Euh… est-ce que ça veut dire qu’à chaque fois que l’on change le périphérique (nouveau smartphone, nouvel ordinateur, etc.), il faut refaire chaque inscription ?
Parce que si c’est cela et qu’un jour tous les sites web adoptent ce standard, je me vois mal gérer mes
par ce biais. Certes il y a une poignée d’ultra-utilisées et le reste bien moins, mais ça va quand même être un calvaire.
313314 inscriptions#10
La vache. Autant de lieux communs à côté de la plaque pour commencer le message, c’est de l’art.
Il y a toujours une procédure d’urgence/brise-glace dans tous les systèmes protégés ; c’est normal. Une des façons les plus répandues de le faire est de fournir une liste de code à usage unique. Mais c’est totalement inapplicable dans le cas où tu te fais voler ton téléphone.
ça serait sympa comme scénario d’un point de vue utilisateurs : tu viens de te faire voler ton téléphone, et soit tu sors un code unique, soit tu valides sur ton téléphone voler le fait que tu veux accéder au service pour le déclarer volé …
Un jour, il faudra se souvenir qu’on ne fait pas de “l’IT” pour le plaisir de faire de la tech, mais qu’on doit rendre un service à des utilisateurs qui n’ont rien à voir avec ce domaine.
Ouaip, et l’armée de jean-techos qui a un avis sur tout ce qui se rapporte de près ou de loin à de la “technologie” est bien évidemment pertinent.
On connait le fameux discours du “nous on est meilleur en sécurité que les acteurs qui investissent des milliards dedans tous les ans, on a choisi les meilleures briques des meilleures offres pour répondre à notre besoin. On a mis des firewalls partout et interdit le télétravail, on donne des machines ultra verrouillées aux utilisateurs et on a une alerte quand ils veulent lancer netflix à la pause, et pour être bien sécurisé un utilisateur doit changer son mot de passe tous les 90j avec un historique des 25 derniers mdp inutilisables. Bon, par contre, on n’a personne pour mettre en place les nouvelles briques de sécu, c’est un peu compliqué en ce moment, pénurie de talents toussa toussa”
BTW, si le MFA est si mauvais que ça, tu ne devrais avoir aucun mal à pénétrer Azure/AWS/GCP sur des comptes “administrateurs” du service (et pas des clients) … C’est bientôt la black hat europe, ça sera le bon moment pour prouver au monde entier que tu as raison.
Jean-techos option complotiste, on est bon là.
Dans le cas général, on peut faire du MFA sans téléphone. RSA Token, Windows Hello for Business, Yubikey … Ce ne sont pas les exemples qui manquent.
Dans le cas présent, Apple qui vend des téléphones a besoin du MFA pour obtenir les numéros de téléphones ?
Poutrer la page ?
Tu veux dire, compromettre l’adresse mail utilisée qui n’est pas protégée par du MFA pour s’introduire dans un système protégé par du MFA ? :]
Alors que l’utilisateur éclairé avec son “mot de passe plus compliqué” ne va pas du tout se reposer sur ses lauriers et va être vigilant (et ne pas avoir un mot de passe maître pour déverrouiller son instance locale lastpass par exemple). Et d’ailleurs, en entreprise, cet utilisateur éclairé cherche par tous les moyens à s’émanciper des politiques de sécurité parce que lui, il connait.
Encore un message de qualité d’un jean-techos à qui on ne la fait pas, la sécurité ça marchait bien y’a 30 ans avec des firewalls et des antivirus et on n’avait pas de problème, on savait administrer les 3 serveurs qui se battaient en duel dans l’archi, alors que la jeune génération biberonnée aux gafam qui ne passe plus ces soirées à monter linux chez soit pour “s’amuser” …
#10.1
#10.2
Tiens le commercial MS… À quel moment on parle d’Azure dans cet article ?
Comment utilise-t-on Yubikey RSA key ou Windows Hello avec icloud ?
peux-tu éclairer ma lanterne de “jean-techos” ? https://support.apple.com/en-us/HT204915 ?!
#10.3
Ah oui, on ne te laisse pas dire des conneries en paix, donc on est forcément un commercial (synonyme d’insulte cachée). Loupé papy.
On remarquera que tu ne réfutes aucun des arguments du commentaire #10 ou du mien.
Tu t’attaques au MFA en général ET sur l’implémentation par Apple, je te réponds sur le MFA en général ET sur ton propos complotiste débile selon lequel Apple met ça en place pour récupérer les numéros de téléphones des iPhones qu’ils vendent. On peut néanmoins être déçu qu’Apple ne permette pas de choisir sa solution de MFA, mais bon, quand on achète dans l’écosystème Apple on sait à quoi s’en tenir.
Tu lances une pique sur les “gafam” et insulte des centaines de milliers de personnes, et tu t’étonnes que le sujet soit élargi pour répondre à ton propos ?
Mon propos reste le même, pour toi le MFA est inutile, alors fait nous la démonstration en attaquant les services qui utilisent le plus cette technologie-là, ceux que j’ai cité, surtout qu’en plus ils sont conçus par des “bots / commerciaux / décérébrés”; ça ne devrait pas tenir 5min face à ton génie. Mais si tu veux rester juste sur le sujet initial d’avant que tu dévies, pas de soucis, tu devrais pouvoir nous industrialiser un process pour récupérer les comptes iCloud par dizaine.