L’iPhone peut à son tour servir de clé de sécurité pour se connecter à Google
Google propose d’utiliser un smartphone Android en guise de clé de sécurité pour se connecter à ses services. C’est exactement le même principe que les clés de sécurité physiques, comme les Yubikeys, qui agissent comme second facteur pour les sites et services qui les prennent en charge, à la place d’un SMS ou d’un code généré par une app. Au lieu d’acheter un autre produit, un smartphone peut faire l’affaire.
Cette fonction n’est plus réservée aux terminaux Android : les iPhone peuvent désormais en bénéficier eux aussi. La dernière version de l’app Google Smart Lock exploite l’enclave sécurisée présente dans tous les iPhone depuis le 5S pour stocker les informations de connexion sans risque. Une fois la configuration effectuée, votre iPhone peut s’identifier en Bluetooth comme une clé de sécurité, et débloquer l’accès à votre compte Google.
C’est la principale limite de cette solution, par rapport aux clés dédiées, elle ne fonctionne que pour renforcer la sécurité lors de vos connexions au compte Google utilisé pendant la configuration. En revanche, elle fonctionne partout, sur les ordinateurs comme sur tous les smartphones et toutes les tablettes. Pour les ordinateurs, il faut absolument utiliser Chrome pour bénéficier de la fonction.
Sur un iPad, vous devrez installer l’app Google Smart Lock1 et c’est elle qui fera le lien avec l’enclave sécurisée de votre iPhone. L’app fera aussi le lien avec le navigateur de votre choix pour transmettre la validation, y compris avec Safari si vous voulez l’utiliser.
Ce système est plus simple sur un ordinateur, puisque tout se fait entre Chrome et Google Smart Lock installée sur l’iPhone. Si vous reposez largement sur l’écosystème de Google, cette solution peut être intéressante, à défaut d’être aussi universelle que les clés de sécurité génériques. Qui sont d’ailleurs mieux prises en charge avec iOS 13.3.
-
Au passage, même si les tablettes d’Apple intègrent elles aussi une enclave sécurisée, on ne peut pas les utiliser en guise de clé de sécurité, seuls les iPhone sont compatibles. ↩
C’est quoi la différence entre ça et utiliser l’application Google ?
Parce que ça fait déjà un petit moment que l’app Google classique sert de vérification pour l’authentification des comptes à deux facteurs sur iOS.
À chaque nouvelle connexion au compte, l’app Google demande une validation (sous forme d’un prompt type « est-ce bien vous ? ») qui évite de devoir rentrer un code à 2-facteurs reçu par sms ou généré par une app type Google authentificator/1Password.
@Xander
Cette nouvelle méthode est plus sécurisée normalement, puisqu’elle repose sur l’enclave des iPhone et surtout parce qu’elle ne fonctionne qu’en Bluetooth, donc en local.
Avec l’autre méthode, si vous ne faites pas gaffe, quelqu’un pourrait valider une connexion à votre insu, même s’il est à des milliers de kilomètres.
@nicolasf
Ok je vois...mais du coup mais il faut compter sur la fiabilité du Bluetooth et de l’environnement (par ex AirDrop dans un open space avec plusieurs dizaines de Mac ça peut être folklo), vraiment différent d’une solution type yubikey que l’on va brancher physiquement.
Perso je ne tenterais pas le diable avec le BT, je préfère le risque d’une alerte de connexion à 2h du matin après quelques Gin Tonics plutôt que de dépendre du BT classique en cas de besoin.
@Vincent : l’app Gmail prends peut-être le dessus si elle est installée mais pour moi qui ne l’utilise pas, tout se fait tjs via l’app Google.
@Xander
Le pb avec l’USB et de brancher une clef sur des PC inconns est de chopper des virus / copies / destruction ..
Aussi ta clef peut être remplacée à ton insu par une clef “destructif” qui va rendre HS ton PC si branchée à ton PC.
Bref , Perso, je n’utilise plus de clef 🤠
(Déformation professionnelle)
@nicolasf
Vous parlez d’App Authenticator (Authy,..)?
Comment quel qu’un peut valider un 2FA à notre insu?
@Sgt. Pepper
Je parlais du système de Google mais c’est pareil. La proximité est une sécurité supplémentaire, en théorie sinon quelqu’un peut valider l’accès à distance.
Après c’est la théorie, en pratique est-ce que ça change quelque chose, c’est une autre question.
@nicolasf
En fait, en lisant divers article, la différence (Vs. TOTP des App Authenticator) serait:
- la plus forte sécurisation (Sécure enclave)
- le fait de ne pas partager de secret avec une 3ieme partie (Authy par exemple)
- protection contre le Phising (le code temporaire peut être intercepté et re-utiliser rapidement par l’attaquant)
- et que le serveur a juste une clef Publique et non pas une clef Symétrique.
@rolmeyer
Google a prévu le coup, il y’a forcément au moins un plan B (comme un numéro de téléphone pour envoyer un code par SMS).
@nicolasf
Surtout pas 😱 (SIM swapping 👿☠️)
En fait il y a des 10 codes de secours de 8 digits à usage unique qu’il faut stocker au cas où...
@rolmeyer
8 digits (désolé)
Cela sert à rentrer dans son compte comme 2nd facteur à la place du TOTP de l’App authenticator
Les codes sont à usage unique : donc il faut plusieurs codes à utiliser sans forcément immédiatement régénérer un TOTP / nouveau code.
Par exemple sur un PC “dans un coffee shop louche” et attendre d’être sur un environment sûre pour régénérer un nouveau QrCode (étape sensible)
(Ou si coupure internet /électrique ,...)
La plupart des services avec 2FA ont ce type de codes de secours.
@rolmeyer
J’y ai passé du temps aujourd’hui:
- Google : j’ai laissé Authenticator (car j’utilise Firefox ) et ajouté Smart Lock en plus ( plus sûre quand je serai en mesure de l’utiliser sur 1 PC secours avec chrome ) et mis les codes sont une Note iCloud chiffrée
Mais l’idéal est de garde que Smart Lock à terme ..
-Apple : c’est assez perturbant, le code (1 seul) n’est plus obligatoire (comme pour l’ancien système), mais si on l’active alors cela devient l’unique moyen en cas de pépin.
Sans code il reste les questions secrètes, le numéro de confiance (j’avais ajouté celui de mon épouse,..)
Donc au final je n’ai pas activé le code, mais je trouve la sécurité assez faible du coup 😱
Faut que je prenne plus de temps de bien réfléchir à tout ça 🤔
@Xander
Ce n’est plus l’app Google mais Gmail et personnellement je ne reçois plus la notification...
Je suis obligé d’aller ouvrir Gmail pour l’afficher et confirmer.
J’utilise l’application Authy mais j’ai mon 7plus en panne avec l’appli dessus. Du coup sur mon 6 de secours, j’ai réinstallé mais ne fonctionne pas sur plusieurs appareil 😬. Du coup je suis obligé de faire des restaurations de compte. Misère ....
@fskynet67
oui c'est ce que je pensais. Ces solutions deviennent toujours compliquées dans ces cas là.. même en cas de changement de tél.
@fskynet67
Vous n’aviez pas fait un backup dans le cloud Authy? 😰
“Pour les ordinateurs, il faut absolument utiliser Chrome pour bénéficier de la fonction.”
🚮
Dommage.
Quelqu’un a réussi à le faire fonctionner entre iPad et iPhone ? J’arrive à valider la connexion sur l’appli iPhone, mais sur l’iPad c’est la page de connexion Google qui s’ouvre à nouveau... J’ai pourtant désactivé le bloqueur de contenu et activé les cookies.
@bax137
My bad, j’étais en navigation privée...
@bax137
Avec Safari ?
@Sgt. Pepper
"Avec Safari ?"
Oui.