Le style de vie moderne et connecté, avec ses dizaines de comptes web, d’ordinateurs, et de gadgets mobiles, exige des mesures de sécurité complètes. Aujourd’hui, toute notre vie est concentrée sur notre smartphone, du flux de photos à l’historique de navigation, en passant par les applications bancaires.
L’authentification à deux facteurs constitue une mesure de protection fréquente et très fiable, qu’on retrouve sous de nombreuses formes. Par exemple, lorsqu’on installe la plateforme de jeu « Steam » sur un nouvel ordinateur, un code PIN envoyé à l’adresse e-mail associée au compte est nécessaire pour pouvoir se connecter. Les services bancaires en ligne utilisent aussi l’authentification à deux facteurs : une fois connecté sur ordinateur avec votre mot de passe, vous recevez un code d’authentification de la transaction (TAN) sur l’application de votre smartphone.
L’authentification à deux facteurs d’Apple est différente
Pour iCloud, Apple a également recours à une authentification à deux facteurs, mais son fonctionnement est un peu différent. Au lieu d’être envoyé par e-mail, le code PIN est affiché dans une fenêtre pop-up sur un appareil déjà enregistré. Si par exemple vous configurez un nouveau MacBook, vous recevrez le PIN sur votre iPhone. Après saisie du PIN, le MacBook sera considéré par Apple comme digne de confiance.
En principe, cette procédure est sécurisée, mais en pratique, il y a un gros problème. Car Apple n’envoie sa fenêtre de notification qu’à d’autres appareils Apple tels que les iPhone, iPad (depuis iOS 9) et Macs (depuis El Capitan). Lorsqu’on ne possède qu’un seul produit Apple, il est impossible de recevoir le PIN sur un ordinateur Windows ou sur un smartphone Android (par exemple par e-mail). Lorsqu’on configure un iPhone sans autre appareil Apple à portée de main, le PIN peut être reçu par SMS ou généré localement sur le téléphone. Mais ce n’est plus une réelle authentification à deux facteurs.
Les navigateurs sont catégorisés comme des « appareils de confiance »
La procédure frise l’absurde lorsqu’on se connecte à iCloud par un navigateur web. Le code de sécurité est alors envoyé à tous les appareils, y compris celui depuis lequel on tente de se connecter. La raison : Apple considère les navigateurs comme des « appareils de confiance ».
Nous avons fait le test en nous connectant à iCloud depuis le navigateur Firefox sur un iMac. Le code de sécurité a alors été envoyé sur l’iMac. Concrètement, il ne s’agit alors plus d’une authentification à deux facteurs. La même chose se produit lors d’une tentative de connexion depuis un iPhone ou un iPad.
Cette situation devient explosive lorsqu’un assaillant connaît le mot de passe et obtient l’accès à un Mac ou à un iPhone. Le problème est plus grave encore si les mots de passe de Safari sont enregistrés dans le trousseau iCloud, car l’assaillant dispose alors d’un accès total à la vie de sa victime. Apple est conscient de cette faiblesse, mais ne compte y remédier.