Cet automne, et très probable en septembre prochain, Apple dévoilera la prochaine version majeure de son système d’exploitation mobile, iOS 12. La version iOS 12 bêta étant disponible depuis un certain temps maintenant, j’en ai donc profité pour la tester et essayer certaines modifications liées à la sécurité, qui seront intégrées à cette nouvelle version lors de sa sortie prochaine.
Safari stoppe les traceurs sociaux
Apple s’est fait un devoir de se positionner comme le défenseur de la vie privée de ses utilisateurs, et ce sur plusieurs fronts. Grâce à la mise à jour iOS 12, Safari s’inspire de plusieurs autres navigateurs en infligeant à son tour un camouflet aux traceurs sociaux, en les forçant à arrêter le suivi des utilisateurs.
À partir d’iOS 12, Safari empêchera les annonceurs d’avoir accès à l’identifiant unique du téléphone d’un utilisateur et bloquera le suivi des utilisateurs au niveau des boutons de partage et des sections commentaires, sauf si l’utilisateur a choisi d’interagir avec ces boutons et ces sections.
Cette approche empêchera les sites de réseaux sociaux (à savoir essentiellement Facebook) de continuer à garder un œil sur les utilisateurs qui n’utilisent pas les sites en question, et empêchera également les annonceurs de suivre les utilisateurs de téléphones (pour diffuser des annonces très ciblées bien sûr) pendant leur navigation au sein du web.
De nombreux navigateurs comportent déjà des fonctionnalités intégrées ou complémentaires pour le respect de la vie privée, dans certains cas assez similaires à celles que Safari proposera désormais, comme par exemple, le module complémentaire Facebook Container de Firefox. Une différence notable est que ces protections de suivi seront désormais présentes dans le navigateur par défaut, protégeant ainsi la vie privée des utilisateurs qui ne se sont peut-être même pas rendu compte qu’ils étaient suivis.
iOS peut maintenant se mettre à jour automatiquement
Après l’installation de la nouvelle version iOS 12, votre téléphone redémarrera et, comme pour toutes les mises à jour iOS majeures, vous proposera un bref processus d’initialisation. Celles-ci sont généralement assez similaires, entrez vos identifiants iCloud et définissez un code si vous ne l’avez pas déjà fait (et vous devriez). Cependant, cette fois-ci, une nouvelle fonctionnalité va faire son apparition : l’activation des mises à jour automatiques pour iOS.
Actuellement, les utilisateurs doivent télécharger et installer manuellement chaque mise à jour iOS. Compte tenu de toutes les mises à jour incrémentales à installer entre 2 versions majeures, cette fonctionnalité peut s’avérer à la fois fastidieuse pour les utilisateurs et sous-optimale pour des raisons de sécurité : en effet, les utilisateurs qui n’installent pas immédiatement les mises à jour (ou ne savent pas comment procéder), passent à côté de mises à jour qui pourraient les protéger vis-à-vis de menaces et d’attaques actives.
Apple mettra désormais cette option, incontournable désormais, clairement en avant pour ses utilisateurs iOS qui exécutent iOS 12 pour la première fois, avec une grande invite pour activer les mises à jour automatiques :
Les utilisateurs qui auront activé cette option recevront un avertissement au niveau de leur téléphone, les avertissant qu’une nouvelle mise à jour va être installée, ainsi qu’une notification une fois la mise à jour effectuée.
La saisie automatique des identifiants (AutoFill) possible avec des gestionnaires de mots de passe tiers
La plupart des mises à jour dans iOS 12 semblent indiquer qu’Apple souhaite faciliter la gestion des mots de passe pour tous, et ce même s’ils ne souhaitent pas utiliser exclusivement des produits Apple. Bien entendu, Apple préfère que les utilisateurs iOS conservent Safari, de sorte que l’essentiel des mises à jour ne fonctionneront que si ce dernier est utilisé comme navigateur web.
Cela dit, les gestionnaires de mots de passe tiers seront en mesure de saisir automatiquement les identifiants au niveau des applications et de Safari via une API. Ainsi, si vous visitez un site web et que vous savez que votre gestionnaire de mot de passe (non Apple) de votre choix dispose des identifiants de connexion stockés, vous n’avez plus besoin de faire un va-et-vient-copier-coller pour saisir le nom d’utilisateur et le mot de passe, entre votre application ou votre navigateur et votre gestionnaire de mots de passe. Au lieu de cela, le gestionnaire de mots de passe fonctionnera comme sur le navigateur de votre ordinateur, où Safari affichera une option permettant de renseigner automatiquement vos identifiants à partir de votre gestionnaire de mots de passe directement au niveau de la QuickBar.
Cette fonctionnalité de saisie automatique des identifiants ne fonctionnera que si votre gestionnaire de mots de passe tiers (comme 1Password ou LastPass) prend en charge l’API du gestionnaire de mots de passe d’Apple sous iOS 12.
Alors que nous sommes toujours à la version bêta, les éditeurs de gestionnaires de mots de passe travaillent toujours, de leur côté, pour que tout soit en ordre de marche, mais 1Password et LastPass ont tous deux déclaré qu’ils supporteront la fonctionnalité AutoFill lorsque iOS 12 sera officiellement lancé (avis aux utilisateurs de KeePass, il y a déjà eu plusieurs demandes de prise en charge iOS AutoFill sur plusieurs applications mobiles KeePass, alors gardez un œil sur cette fonctionnalité). Auparavant, les utilisateurs iOS qui voulaient utiliser une telle fonctionnalité devaient installer au préalable une extension ou opter pour l’utilisation d’un trousseau iCloud.
Pour les utilisateurs iOS qui sont fidèles aux gestionnaires de mots de passe non-Apple et aux navigateurs non-Apple (comme Firefox ou Chrome), il semblerait, encore aujourd’hui, qu’un téléchargement d’extensions ou de modules complémentaires soit nécessaire, s’ils souhaitent obtenir une expérience similaire.
Faciliter le remplacement des mots de passe réutilisés par des mots de passe forts et uniques
En plus d’aider les utilisateurs à choisir des mots de passe uniques plus puissants, en facilitant l’utilisation d’un gestionnaire de mots de passe, iOS 12 avertira également gentiment les utilisateurs qui réutiliseront leurs mots de passe sur plusieurs sites.
iOS 12 va également aller plus loin et générera un mot de passe unique et complexe pour remplacer l’ancien, et proposera de stocker ce nouveau mot de passe dans le trousseau iCloud.
Il s’agit d’une fonctionnalité que de nombreux gestionnaires de mots de passe tiers proposent également, mais cette fonctionnalité intégrée améliorera l’hygiène des mots de passe des utilisateurs qui utilisent des produits Apple. Un changement comme celui-ci pourrait ne pas être plébiscité par la plupart des utilisateurs iOS, mais ces fonctionnalités faciliteront l’utilisation de mots de passe uniques, sans trop d’effort ou de réflexion de la part des utilisateurs.
Rendre le 2FA par SMS un peu moins pénible
Tandis qu’une discussion plus large se poursuit (à juste titre d’ailleurs) sur la sécurité du 2FA par SMS, et comment inciter davantage d’internautes à adopter le 2FA basé sur des jetons, la réalité est que même s’il ne s’agit pas de la meilleure solution pour le 2FA, c’est sans doute la seule disponible. Mais comme le mieux est l’ennemi du bien, il existe tout de même, une mise à jour dans iOS 12 qui vous permettra de récupérer encore plus facilement le code 2FA qui vous a été envoyé.
Le code sera désormais facile à mettre en évidence au niveau de l’aperçu dans Messages et il apparaîtra également comme un champ de saisie automatique dans le navigateur, afin que les utilisateurs n’aient pas à aller et venir entre les applications pour obtenir le code dont ils ont besoin.
Si vous pensez que ce ne sont que des changements mineurs, n’oubliez pas que les petits ruisseaux font les grandes rivières. Pendant des années, les professionnels de l’informatique et de la sécurité ont incité, imploré, supplié, obligé les utilisateurs à utiliser des mots de passe forts et uniques. Nous avons écrit sur les raisons pour lesquelles les mots de passe uniques sont importants et sur la facilité de mise en œuvre lorsque vous utilisez un gestionnaire de mots de passe.
Mais s’embarquer dans ce genre de démarche demande beaucoup de temps et d’efforts (rechercher un gestionnaire de mots de passe, le télécharger, le configurer), et bien sûr… pour commencer il faut que la cybersécurité soit importante pour vous tout simplement !
Toute mesure visant à trouver un compromis dans l’adaptation d’une meilleure sécurité est une bonne chose. La facilité d’utilisation et la sécurité ne devraient pas être des ennemis. Nous avons peut-être du mal à faire en sorte que la sécurité soit une préoccupation majeure pour l’utilisateur “moyen”, c’est pourquoi j’applaudis toutes les initiatives qui améliorent la sécurité et la rendent accessible à tous.
Alors qu’en dites-vous ? Voulez-vous installer iOS 12 en version bêta et la tester ? En espérant que tous les gestionnaires de mots de passe tiers respectent les délais afin que leurs extensions soient prêtes pour le lancement d’iOS 12 !
En attendant, je profite d’une mise à jour iOS 12 non sécurisée : un rappel pour appeler ma mère !
Billet inspiré de The security changes you can expect in iOS 12, sur Sophos nakedsecurity.