L'identifiant Apple comme nouvelle méthode de connexion sur le web ?
Votre identifiant Apple pourrait servir à vous connecter à d’autres services qu’iCloud dans le futur. 9to5Mac a découvert dans la bêta d’iOS 11.3 un nouveau composant baptisé SecureChannel qui permet à un site web d’accéder à des données iCloud de l’utilisateur, sans plus de précision. Il y a aussi un composant lié permettant de scanner un QR code.
L’hypothèse la plus probable est qu’il s’agit d’un nouveau système d’authentification similaire à Facebook Login et Google Sign-In. À voir si cela se concrétise.
Ca va être sympa vu la fréquence à laquelle les services Apple tombent en rade…
@huexley
N’exagère pas non plus
Trop dangereux. À la moindre faille dans le site web, l’identifiant Apple est corrompu.
@Giloup92
Absolument pas. Si ça fonctionne comme FB login ou Google login le site n’a jamais accès à l’identifiant mais que aux informations dont il demande l’accès.
Et encore, que durant la durée de vie du "token" obtenu desdits services d'authentification, en général assez courte.
@Baptiste_nv18
"Absolument pas. Si ça fonctionne comme FB login ou Google login le site n’a jamais accès à l’identifiant mais que aux informations dont il demande l’accès."
Prendre Facebook et Google comme parangon de la sécurité des données... euh, comment dire?
Perso, je ne vois pas pourquoi un site aurait besoin de mes identifiants iCloud pour fonctionner. Ce sera sans moi.
@pat3
> Prendre Facebook et Google comme parangon de la sécurité des données...
> euh, comment dire?
Vous préférez croire que la sécurité de vos données sur les centaines de sites sur lesquelles vous en avez laisser, certes chaque fois avec des identifiants différents (euh, on parie que souvent vous réutilisez le meme, genre l'adresse mail...) est forcément meilleure ?
@byte_order
Complètement d’accord.
Après c’est comme tout, difficile de trouver l’équilibre entre le tout centralisé et le tout distribué !
La génération de mdp aléatoire de Safari est une très bonne solution pour éviter d’utiliser le même mdp quand on ne veut pas passer par un SSO tiers.
@Giloup92 @pat3
L’idée derrière ces mécanismes de SSO (Single Sign On) est de n’autoriser l’accès à ton couple utilisateur/mot de passe qu’à un seul acteur (Apple, Google, autre...), les autres sites ne les verront jamais passer. Ce qu’il faut regarder, c’est la nature des informations que cet acteur renvoie ensuite au site concerné : un email ? Un pseudo ? Tes noms et prénoms, ton adresse postale ? Ton genre ? Ton âge ?
Et là comme le dit pat3, il y a matière à faire attention, mais ces questions de confidentialité ne remettent pas en doute la qualité technique (les user/password ne se baladent pas).
@byte_order
1) j’utilise 1Password pour générer mes mots de passe, 2) j’ai plusieurs comptes poubelle (le premier, c’est un gmail), 3) et si les sites l’acceptent, j’utilise Mailinator.
Bref, tu supposes mal.
1) que tes différents identifiants d'accès soient sur 1Password ne change rien sur la garantie que les sites sur lequel tu as dû rentrer des données personnelles attachées à ces identifiants n'en font pas un usage caché ou qu'ils les protègent mal.
2) pareil, cela change pas grand chose si derrière ces comptes "poubelles" ton adresse physique est la bonne, ton numéro de tel aussi, etc, si les sites en question sont mal sécurisés, ces données peuvent fuirent tout autant.
3) pareil, cela ne change rien.
Vous confondez sécuriser les identifiants avec sécuriser les données personnelles qui y sont attachés. Hors cet attachement est fait sur les sites, pas chez vous. Une fois que vous les avez renseigner (votre adresse physique de livraison et votre numéro de tel, identifiant poubelle ou pas, email de notif temporaire ou pas, doivent bien être les vrais pour recevoir vos commandes, non !?).
Hors vous ne controlez pas pendant combien de temps ces données personnelles sont accessibles à ce site. Ni comment elles sont protégées.
Alors qu'avec un tiers d'authentification, vous controlez combien de temps et à qui elles sont accessibles, voir même lesquelles le sont ou le ne sont pas.
Je dis pas que c'est le paradis. Ce que je dis c'est que vous gardez un contrôle sur vos données personnelles "accessibles" à des sites tiers, là où après avoir les avoir confiés à un site tiers sous n'importe quel identifiant, même unique, même poubelle, vous n'avez aucune garantie sur le contrôle que vous pouvez garder dessus ensuite.
Heuuu Google a des années d'avance pour la sécurité des données. Après il a des défauts, mais niveau sécurité, tu connais beaucoup de comptes Google compromis par rapport au nombre de comptes icloud et Twitter ?
Tu confonds vraiment avec d'autres choses que l'on pourrait effectivement reprocher ;-)
@Ze_misanthrope
"Heuuu Google a des années d'avance pour la sécurité des données. Après il a des défauts, mais niveau sécurité, tu connais beaucoup de comptes Google compromis par rapport au nombre de comptes icloud et Twitter ?"
https://www.generation-nt.com/google-android-gooligan-malware-million-compte-piratage-actualite-1936373.html
Euh, NOn merci garder votre merde.... Si il y a un truc dont je peux plus, c'est bien ces &€€):(€€ d'identification à la Apple... J'ai du changer 7 fois en 2017 de mot de passe, j'arrive pas à passer une semaine sans que sur un de mes appareils n'arrive le fameux entrer le mot passe pour iCloud/iTunes... C'est encore pire que les spam de mise à niveau de l'os....
@debione
Comment tu te débrouilles ? Entre demander le mot de passe et devoir le changer, c’est pas bien la même chose... et oui si tu changes ton mot de passe forcément il sera redemandé de partout ou tu l’avais saisie
Il y a les deux... Apple m'a obliger à changer 7 fois de mots de passe lànnee passée, mais tiens encore hier, il me demandais de confirmer les mots de passe dans réglages alors que le dernier changement date d'il y a 1 mois.
Et je ne parle absolument pas de quand tu changes devoir le mettre sur tout tes autres appareils, ca c'est u. Fonctionnement normal...
Après le plus drôle, c'est que j'ai tout en francais, mais les questions subsidiaires quand il te les demande ben elles sont ... en allemand... bien venue en Suisse...
C'est clairement le truc le plus chiant chez Apple dans mes appareils iOS. Au point de réellement vouloir me faire aller voir ailleurs ( super quand tu utilises un IPad pour faire de la musique de voir apparaître un pop up te demandant de valider ton mot de passe, tu presses sur l'option plus tard et hop, le pop up réapparaît... je dois en moyenne le faire trois ou quatre fois pour qu'il me le demande plus pendant 24 heures)
Ahah, je suis de Lausanne, et je comprends tout à fait ta peine avec le Suisse Allemand et Apple (doivent pas savoir que le Romand ca existe).
@debione
Oui c’est clairement bizarre cette situation, je peux comprendre l’agacement. Mais à mon avis il y a un problème quelques part au niveau de ton compte, sinon les gens deviendraient fous avec leurs appareils Apple.
Mais bon difficile de dire quoi...
@debione
J’ai eu ce souci et c’est clairement un problème au niveau de l’adresse eMail. Pourquoi ? Je l’ignore.
Changer l'adresse mail suffirait? Ce serait super... Vais essayer cette option.
@debione
Ça m’est arrivé aussi à une période. Maintenant ça va, je n’ai plus ce soucis, mais je ne sais pas pourquoi ... ha peut-être parce que j’ai fais une restauration complète en repartant de zéro ?
En tout cas peut-être que tu devrais essayer ?
De quoi parles-tu par "restauration de 0"?
@debione
Effacer l’iPhone et le configurer comme nouveau téléphone. Ensuite seulement tu reconnectes ton compte iCloud.
Je précise:Mon parc familial iOS : IpadAir/Air2/2x ipod touch/Iphone 5s. Seul l'ipad Air est connecté à iCloud, les autres je ne veux pas.
Donc je devrais faire backup de tous les appareils+ réinstalle ( à la rigueur iCloud n'est jamais utilisé sur l'ipadAir donc je vais même pas le reconnecter... Et il va plus me faire chier avec ces identifiants?
@debione
Cela peut être aussi deux identifiants qui se battent en duel sur un ibidule.
J'ai qu'un seul et unique identifiant, le même pour tous
Personnellement, je vois aussi la possibilité de faire un concurrent à Google authenticator.
J’ai reçu cette nuit un sms en provenance d’Apple ID indiquant ceci (sans rien demander) : Le code de validation de votre identifiant Apple est : XXXXXX
(J’ai remplacé les chiffres par des X).
Je suis sous la dernière bêta d’iOS.
Identification en 2 étapes activées, c'est le code à saisir quand on connecte un nouvel appareil ou une nouvelle application à son compte iCloud, non?
Quelqu'un (peut-être vous-même) à cherché à accéder à votre compte iCloud?
@hubnium
Clairement quelqu’un qui a récupéré votre adresse et mot de passe (peut être, sûrement?) de votre compte iCloud. Donc changement de mot de passe à faire très vite à mon avis.
Merci pour vos retours. Je viens de modifier le mot de passe en prévention.
Effectivement, j'ai bien l'identification en 2 étapes d'activées. Par contre, je n'ai pas reçu le code par sms cette fois, mais directement via un pop up sur l'iphone.
Je n'avais pas fait de demande (en plein milieu de la nuit). Puis-je connaitre la provenance de la demande ?
@hubnium
"Je n'avais pas fait de demande (en plein milieu de la nuit). Puis-je connaitre la provenance de la demande ?"
C'est peu probable.
Quoique, en principe, il me semble que si c'est avec un appareil non connu, Apple t'envoie un mail pour te prévenir de la tentative de connexion en te donnant la zone géographique d'où elle provient.
Ceci étant, je me demande si je confonds pas avec microsoft et/ou google.
Effectivement, Apple envoi un mail pour prévenir de l'utilisation de l'identifiant en indiquant l'heure et le système d'exploitation. J'ai bien eu ce mail tout à l'heure quand j'ai modifié mon mot de passe. Par contre, je n'ai rien eu cette nuit, uniquement le SMS en provenance d'Apple ID (l'interface de l'application message qui se modifie en gris est d'ailleurs stylée !)
Si c'est par sms attention! Ça peut être un sms semblant venir d'AppleID mais ayant un tout autre expéditeur pour essayer de vous diriger vers un site frauduleux imitant celui d'Apple où vous saisirez identifiant et mot de passe que le malfrat récupérera.
Effectivement, c'est bien via message, avec l'interface qui passe en gris automatiquement :
https://image.noelshack.com/fichiers/2018/06/1/1517838249-img-6527.jpg
Voici les infos sur l'expediteur :
https://image.noelshack.com/fichiers/2018/06/1/1517838244-img-6525.png
Pour revenir à la news, ce serait une bonne idée mais APPLE arrive bien tard sir ce créneau, on en a tous déjà un compte Google ou Facebook.