L’iPhone peut à son tour servir de clé de sécurité pour se connecter à Google

Nicolas Furno |

Google propose d’utiliser un smartphone Android en guise de clé de sécurité pour se connecter à ses services. C’est exactement le même principe que les clés de sécurité physiques, comme les Yubikeys, qui agissent comme second facteur pour les sites et services qui les prennent en charge, à la place d’un SMS ou d’un code généré par une app. Au lieu d’acheter un autre produit, un smartphone peut faire l’affaire.

Cette fonction n’est plus réservée aux terminaux Android : les iPhone peuvent désormais en bénéficier eux aussi. La dernière version de l’app Google Smart Lock exploite l’enclave sécurisée présente dans tous les iPhone depuis le 5S pour stocker les informations de connexion sans risque. Une fois la configuration effectuée, votre iPhone peut s’identifier en Bluetooth comme une clé de sécurité, et débloquer l’accès à votre compte Google.

L’iPad envoie une demande de connexion à l’iPhone situé à proximité, ce dernier affiche une notification qui ouvrira l’app de Google pour valider ou rejeter la demande.

C’est la principale limite de cette solution, par rapport aux clés dédiées, elle ne fonctionne que pour renforcer la sécurité lors de vos connexions au compte Google utilisé pendant la configuration. En revanche, elle fonctionne partout, sur les ordinateurs comme sur tous les smartphones et toutes les tablettes. Pour les ordinateurs, il faut absolument utiliser Chrome pour bénéficier de la fonction.

Sur un iPad, vous devrez installer l’app Google Smart Lock1 et c’est elle qui fera le lien avec l’enclave sécurisée de votre iPhone. L’app fera aussi le lien avec le navigateur de votre choix pour transmettre la validation, y compris avec Safari si vous voulez l’utiliser.

Ce système est plus simple sur un ordinateur, puisque tout se fait entre Chrome et Google Smart Lock installée sur l’iPhone. Si vous reposez largement sur l’écosystème de Google, cette solution peut être intéressante, à défaut d’être aussi universelle que les clés de sécurité génériques. Qui sont d’ailleurs mieux prises en charge avec iOS 13.3.


  1. Au passage, même si les tablettes d’Apple intègrent elles aussi une enclave sécurisée, on ne peut pas les utiliser en guise de clé de sécurité, seuls les iPhone sont compatibles.  ↩

avatar Xander | 

C’est quoi la différence entre ça et utiliser l’application Google ?

Parce que ça fait déjà un petit moment que l’app Google classique sert de vérification pour l’authentification des comptes à deux facteurs sur iOS.

À chaque nouvelle connexion au compte, l’app Google demande une validation (sous forme d’un prompt type « est-ce bien vous ? ») qui évite de devoir rentrer un code à 2-facteurs reçu par sms ou généré par une app type Google authentificator/1Password.

avatar Nicolas Furno | 

@Xander

Cette nouvelle méthode est plus sécurisée normalement, puisqu’elle repose sur l’enclave des iPhone et surtout parce qu’elle ne fonctionne qu’en Bluetooth, donc en local.

Avec l’autre méthode, si vous ne faites pas gaffe, quelqu’un pourrait valider une connexion à votre insu, même s’il est à des milliers de kilomètres.

avatar Xander | 

@nicolasf

Ok je vois...mais du coup mais il faut compter sur la fiabilité du Bluetooth et de l’environnement (par ex AirDrop dans un open space avec plusieurs dizaines de Mac ça peut être folklo), vraiment différent d’une solution type yubikey que l’on va brancher physiquement.

Perso je ne tenterais pas le diable avec le BT, je préfère le risque d’une alerte de connexion à 2h du matin après quelques Gin Tonics plutôt que de dépendre du BT classique en cas de besoin.

@Vincent : l’app Gmail prends peut-être le dessus si elle est installée mais pour moi qui ne l’utilise pas, tout se fait tjs via l’app Google.

avatar Sgt. Pepper | 

@Xander

Le pb avec l’USB et de brancher une clef sur des PC inconns est de chopper des virus / copies / destruction ..

Aussi ta clef peut être remplacée à ton insu par une clef “destructif” qui va rendre HS ton PC si branchée à ton PC.

Bref , Perso, je n’utilise plus de clef 🤠
(Déformation professionnelle)

avatar Sgt. Pepper | 

@nicolasf

Vous parlez d’App Authenticator (Authy,..)?

Comment quel qu’un peut valider un 2FA à notre insu?

avatar Nicolas Furno | 

@Sgt. Pepper

Je parlais du système de Google mais c’est pareil. La proximité est une sécurité supplémentaire, en théorie sinon quelqu’un peut valider l’accès à distance.

Après c’est la théorie, en pratique est-ce que ça change quelque chose, c’est une autre question.

avatar Sgt. Pepper | 

@nicolasf

En fait, en lisant divers article, la différence (Vs. TOTP des App Authenticator) serait:
- la plus forte sécurisation (Sécure enclave)
- le fait de ne pas partager de secret avec une 3ieme partie (Authy par exemple)
- protection contre le Phising (le code temporaire peut être intercepté et re-utiliser rapidement par l’attaquant)
- et que le serveur a juste une clef Publique et non pas une clef Symétrique.

avatar rolmeyer | 

@nicolasf

Et c’est quoi le plan B si l’iPhone est HS/perdu volé ?
Parce que il faut réinstaller l’app sur un nouveau téléphone et la valider en se connectant à son compte Google ? ( en validant la connexion via une app sur un tel hors service ? )

avatar Nicolas Furno | 

@rolmeyer

Google a prévu le coup, il y’a forcément au moins un plan B (comme un numéro de téléphone pour envoyer un code par SMS).

avatar Sgt. Pepper | 

@nicolasf

Surtout pas 😱 (SIM swapping 👿☠️)

En fait il y a des 10 codes de secours de 8 digits à usage unique qu’il faut stocker au cas où...

avatar rolmeyer | 

@Sgt. Pepper
????
Pourquoi 10 codes ?
Je comprends qu’il y ait un code de secours mais 10 ?. Je suppose qu’en cas de désintégration du telephone, on peut utiliser ce code de 18 chiffres pour authentifier et l’app et la connexion sur un nouveau téléphone, voir directement via un ordi ?
C’est ça ?
Désolé je demande parce que je suis un peu gâté comme j’ai depuis 2013 un iPhone mais aussi un tel Android me servant de deuxième téléphone de secours. Du coup quand je me connecte à mon compte Google sur l’ordi, j’ai toujours un tel qui le demande de confirmer, et si on iPhone est volé/detruit, j’ai mon tel android pour me dépanner.

avatar Sgt. Pepper | 

@rolmeyer

8 digits (désolé)
Cela sert à rentrer dans son compte comme 2nd facteur à la place du TOTP de l’App authenticator

Les codes sont à usage unique : donc il faut plusieurs codes à utiliser sans forcément immédiatement régénérer un TOTP / nouveau code.

Par exemple sur un PC “dans un coffee shop louche” et attendre d’être sur un environment sûre pour régénérer un nouveau QrCode (étape sensible)
(Ou si coupure internet /électrique ,...)

La plupart des services avec 2FA ont ce type de codes de secours.

avatar rolmeyer | 

@Sgt. Pepper

Oui merci. Je viens de me les imprimer. Et les mettre en lieu sûr. Car si je perds TOUT mes appareils électroniques, dans un incendie par exemple ce qui est possible, ben je suis bien feinté, je ne pourrais plus accéder à mon compte Google.
Je vois voir ce que Apple propose. Quand je suis passé de 2 appareils à 2 facteurs il y a bien longtemps sur mon compte Apple il m’avait supprimé les codes. Je vais aller voir ce qu’il propose.

avatar Sgt. Pepper | 

@rolmeyer

J’y ai passé du temps aujourd’hui:

- Google : j’ai laissé Authenticator (car j’utilise Firefox ) et ajouté Smart Lock en plus ( plus sûre quand je serai en mesure de l’utiliser sur 1 PC secours avec chrome ) et mis les codes sont une Note iCloud chiffrée
Mais l’idéal est de garde que Smart Lock à terme ..

-Apple : c’est assez perturbant, le code (1 seul) n’est plus obligatoire (comme pour l’ancien système), mais si on l’active alors cela devient l’unique moyen en cas de pépin.
Sans code il reste les questions secrètes, le numéro de confiance (j’avais ajouté celui de mon épouse,..)
Donc au final je n’ai pas activé le code, mais je trouve la sécurité assez faible du coup 😱

Faut que je prenne plus de temps de bien réfléchir à tout ça 🤔

avatar rolmeyer | 

@nicolasf

Ok merci.

avatar vincentbls | 

@Xander

Ce n’est plus l’app Google mais Gmail et personnellement je ne reçois plus la notification...
Je suis obligé d’aller ouvrir Gmail pour l’afficher et confirmer.

avatar fskynet67 | 

J’utilise l’application Authy mais j’ai mon 7plus en panne avec l’appli dessus. Du coup sur mon 6 de secours, j’ai réinstallé mais ne fonctionne pas sur plusieurs appareil 😬. Du coup je suis obligé de faire des restaurations de compte. Misère ....

avatar lome_bbrr | 

@fskynet67

oui c'est ce que je pensais. Ces solutions deviennent toujours compliquées dans ces cas là.. même en cas de changement de tél.

avatar Sgt. Pepper | 

@fskynet67

Vous n’aviez pas fait un backup dans le cloud Authy? 😰

avatar Sgt. Pepper | 

“Pour les ordinateurs, il faut absolument utiliser Chrome pour bénéficier de la fonction.”

🚮
Dommage.

avatar bax137 | 

Quelqu’un a réussi à le faire fonctionner entre iPad et iPhone ? J’arrive à valider la connexion sur l’appli iPhone, mais sur l’iPad c’est la page de connexion Google qui s’ouvre à nouveau... J’ai pourtant désactivé le bloqueur de contenu et activé les cookies.

avatar bax137 | 

@bax137

My bad, j’étais en navigation privée...

avatar Sgt. Pepper | 

@bax137

Avec Safari ?

avatar bax137 | 

@Sgt. Pepper

"Avec Safari ?"

Oui.

CONNEXION UTILISATEUR