Apple a-t-il vraiment exigé l’utilisation de l’authentification à deux facteurs (2FA) pour les utilisateurs de la version bêta de MacOS High Sierra iOS 11 ? Une telle décision serait-elle importante ?
La réponse est non. Apple n’a pas rendu le 2FA obligatoire pour tous, mais vous pouvez comprendre pourquoi les utilisateurs beta utilisant déjà la technologie de vérification en deux étapes (2SV), ont pu mal comprendre un email récent d’Apple :
Si vous installez les versions bêtas publiques iOS 11 ou MacOS High Sierra cet été, et que vous répondez aux exigences de base, votre ID Apple sera automatiquement mis à jour pour vous permettre d’utiliser l’authentification à deux facteurs (2FA).
Cela signifie simplement que les personnes qui utilisaient déjà la 2SV, seront mises à niveau pour utiliser le 2FA, alors que celles qui n’ont jamais utilisé la 2SV ne subiront aucun changement.
Sans doute que beaucoup d’utilisateurs ne comprennent pas vraiment les avantages de passer du 2SV vers le nouveau 2FA, c’est pourquoi nous allons les éclairer.
La vérification en deux étapes est disponible pour les comptes Apple ID et iCloud depuis 2013, tandis que l’authentification à deux facteurs (2FA) est apparue en 2015 pour tous les utilisateurs utilisant OS X El Capitan ou iOS 9 ou versions antérieures. Apple ne précise pas combien d’utilisateurs utilise l’une ou l’autre, mais il est quasi certain qu’il s’agit d’une petite minorité.
Le 2SV d’Apple est essentiellement la même authentification sécurisée que celle offerte par les services web tels que Google, Twitter, PayPal et Facebook, et implique que l’utilisateur s’enregistre un numéro de téléphone et déclare un ou plusieurs périphériques, afin de recevoir un code unique qui doit être entré avec le mot de passe du service Apple.
Cette technique est vulnérable vis à vis d’attaques de l’homme du milieu et des fraudes SIM-swap, c’est pourquoi Apple veut inciter ses utilisateurs à passer à l’authentification à deux facteurs (2FA) si possible.
En plus d’envoyer des SMS aux utilisateurs comme le 2SV le pratique (et pour plus de sécurité, à tous les périphériques enregistrés), le 2FA peut également générer ses propres codes hors ligne à l’aide d’une application intégrée. Cela ressemble beaucoup à l’application Authenticator de Google, excepté qu’il est plus étroitement intégré au système d’exploitation lui-même.
Une interprétation de ce changement est qu’Apple est en train de transformer chaque périphérique Apple en un jeton matériel, capable de générer des codes hors connexion.
Ce point de vue est probablement exagéré car un véritable jeton d’authentification à deux facteurs est toujours un objet dédié (par exemple, YubiKey ou RSA SecurID), qui ne peut pas servir en écriture. Tous les vrais jetons génèrent des codes pour prouver qu’ils sont bien dans les mains de l’utilisateur, alors que la technologie d’Apple réalise une émulation de ce concept à l’aide d’un logiciel.
Google intégrera probablement Authenticator dans Android à un certain moment, mais son ambition est de développer un système d’authentification pour l’ensemble du web. Apple, en revanche, se concentre exclusivement sur ses propres utilisateurs, ce qui lui rend la vie un peu plus facile.
Ce qu’Apple doit encore faire, c’est sensibiliser ses utilisateurs pour qu’ils commencent à penser à l’authentification pour se défendre contre toute une série d’attaques, y compris des attaques de rançonnage récentes sur iCloud.
À un certain point, cette couche deviendra obligatoire, tout simplement parce qu’il est logique de faire les choses de cette façon. Ce moment n’est pas arrivé, mais la direction prise est claire : les utilisateurs d’Apple devront se préparer en se mettant à niveau dès à présent.
Billet inspiré de Apple to auto-update devices to two-factor authentication, sur Sophos nakedsecurity.