iOS 16.3 : comment fonctionnent les clés de sécurité physiques pour accéder à un compte Apple
iOS 16.3, iPadOS 16.3 et macOS 13.2 ont inauguré une nouvelle fonction de sécurité (une de plus !) qui permet de se connecter à un compte Apple avec l'aide d'une clé de sécurité physique qui fait office de deuxième facteur d'authentification (2FA). Jusqu'à présent, le constructeur envoyait un code à 6 chiffres sur les appareils de confiance, désormais on a donc le choix.
Les clés certifiées par l'alliance FIDO (FIDO® Certified) sont compatibles, Apple en liste trois : la YubiKey 5C avec connecteur USB-C et la NFC, la YubiKey 5Ci avec un connecteur Lightning et un connecteur USB-C, et la FEITAN ePass K9 avec un connecteur USB-A et la NFC. Des produits que l'on peut commander sur le site des fabricants ou sur Amazon : la YubiKey 5C est actuellement vendue 66 €, mais il n'y a plus de stock pour la très pratique YubiKey 5Ci. La certification FIDO permet de s'équiper de clés plus abordables (j'utilise une YubiKey 5 à 60 €). La fonction prend en charge les clés NFC, USB-C, Lightning et USB-A.
Le site web de l'alliance FIDO liste les entreprises dont les services et les produits (dont des clés) sont certifiés mais il faut aller à la pêche (à cette adresse). Apple aurait été bien inspirée d'ajouter quelques références à sa boutique en ligne, ne serait-ce que pour éviter les mauvaises surprises d'incompatibilité. Ce d'autant que pour utiliser cette fonction de clé de sécurité, le constructeur exige d'avoir deux clés (on peut en enregistrer jusqu'à six).
En plus des deux clés, il y a d'autres pré-requis avant de pouvoir sécuriser son compte : assez logiquement, l'identification deux facteurs doit être activée pour l'identifiant Apple (c'est le cas pour 95 % des comptes iCloud), et il faut utiliser un navigateur web récent.
Pour se connecter à une Apple Watch, une Apple TV ou à un HomePod après avoir configuré des clés de sécurité, l'utilisation d'un iPhone ou d'un iPad prenant en charge ces clés sera nécessaire. Apple précise qu'il ne sera pas possible d'utiliser une clé de sécurité pour se connecter aux comptes suivants :
- iCloud pour Windows
- comptes enfants et comptes Apple gérés (les identifiants qui peuvent gérer des appareils partagés comme ceux d'une classe)
- Apple Watch jumelée avec l'iPhone d'un membre de la famille (il faut d'abord configurer la montre avec son propre iPhone)
Ouf ! Comme on le voit, il y a quand même pas mal de contraintes à prendre en compte. Mais comme l'explique Apple, cette fonction de sécurité ne s'adresse pas aux utilisateurs grand public : « Cette fonctionnalité s’adresse aux personnes, en général des personnalités publiques, pouvant faire face à des menaces groupées sur leurs comptes en ligne. Il peut par exemple s’agir de célébrités, de journalistes ou de membres du gouvernement ».
À vous de voir si le jeu en vaut la chandelle. Car en cas de perte des deux clés, Apple ne pourra pas vous aider à accéder à votre compte. La Pomme recommande d'en garder une chez soi et une au bureau, par exemple.
👉 Apple a mis en ligne cette fiche d'assistance qui fait le point sur tout ce qu'il est possible de faire et de ne pas faire avec les clés de sécurité.
Et sinon, comment ça marche ?
Cette fonction permet donc de se connecter de manière sécurisée à un compte Apple sur un nouvel appareil ou sur le web, mais elle est également mise à contribution pour ajouter ou supprimer une clé de sécurité, ainsi que durant le processus de réinitialisation du mot de passe de l'identifiant Apple ou pour déverrouiller un identifiant Apple.
Comme dit plus haut, Apple demande d'avoir non pas une, mais deux clés de sécurité, ce qui garantit que l'on pourra se connecter à son compte même en cas de perte d'une clé. Attention, en cas de perte des deux clés, le constructeur ne pourra pas aider l'utilisateur malchanceux à accéder à son compte.
Durant le processus de configuration, Apple va déconnecter les appareils inactifs. Ce sont les appareils associés à l'identifiant Apple qui n'ont pas été utilisés ou déverrouillés depuis plus de 90 jours. Pour s'y reconnecter, il faudra les mettre à jour et utiliser une clé de sécurité. Attention : si l'appareil ne peut pas être mis à jour avec un logiciel compatible, il sera tout simplement impossible de s'y reconnecter.
Après l'enregistrement de chacune des clés, il est possible de les renommer. Durant la configuration, on nous demande aussi de vérifier les appareils actifs et, le cas échéant, de déconnecter ceux que l'on ne reconnait pas. Et il est possible ensuite de gérer ses clés dans les réglages Mot de passe et sécurité, où on pourra en ajouter et toutes les supprimer. Dans ce dernier cas, c'est retour à la case départ, avec le fameux code à 6 chiffres comme deuxième facteur d'authentification.
Apple envoie aussi un courriel de confirmation :
Après quelques essais, ça fonctionne parfaitement. Chez les utilisateurs qui ont plusieurs appareils Apple, cette nouveauté va leur éviter les carillons et les notifications qui déboulent de toutes parts lorsque le code de vérification est envoyée par Apple et rien que pour ça, vive les clés de sécurité !
Bon à savoir : l'utilisation de clés de sécurité physiques n'a aucune conséquence sur le trousseau iCloud et ni sur les Passkeys. Comme l'explique Ricky Mondello d'Apple, les clés de sécurité et les Passkeys sont deux choses différentes malgré la proximité des noms.
Tout cela pose une question : est-ce qu'Apple pourrait lancer sa propre clé de sécurité ? Ce ne serait pas complètement à écarter. Après tout, Google fait de même avec ses clés Titan (certifiées FIDO).
Edit — Cet article est la reprise enrichie de l'aperçu des clés de sécurité remontant au 14 décembre.
Ça coûte cher ces clés ?
Pas donné !
Merci ☺️
@MickaelBazoge
84 euros sur Amazon cette YubiKey 5ci !!!
C’est le prix d’une Apple TV d’occasion.
D’un Écho Show 8…
2 JBL GO ..
…
Je vais garder mes mdp et les sms
@misterbrown
Moi aussi ça me va comme méthode…. 😁👍🏻
@misterbrown
J’ai payé une clé USB-C + NFC à 55 €. C’est vrai que c’est pas donné.
@misterbrown
+ 1000 👍 Pareil pour moi 🙃
@MickaelBazoge
Hello !
Sais-tu si ces clés fonctionnent avec un adaptateur (genre usb c mâle vers Lightning) ? Vu le prix de la clé double usb c/Lightning…
Merci.
29€ la yubico NFC USB sur Amazon
Et si on perd la clé 😳
@IRONMAN65
Pour ça qu’il en faut deux…
@Chris K
Il existe un code de secours bien heureusement 😅😈
@R-APPLE-R
Ah bon… mal compris alors.
@MickaelBazoge
Bizarre 🤔 peut-être un comportement spécifique d’Apple ?
Il existe une application Yubico pour créer une autre clé 🔑 il me semble non ? 😈
https://www.yubico.com/products/yubico-authenticator/
@MickaelBazoge
J’imagine que l’application Yubico est indispensable pour recréer une clé au cas ou vous la perdiez 😈
@R-APPLE-R
Non.. J’utilise Yubico Authenticator comme générateur de code 2FA lorsque j’accède à un site. Pour que j’obtienne ce code je dois posséder une de mes clés.
C’est le même principe disons que Google Authenticator sauf qu’il faut avoir une clé pour afficher le code.
@Chris K
Et vous n’avez pas de code de secours quand vous créer votre clé ? 😈
@R-APPLE-R
Non.
@MickaelBazoge
Faut vraiment avoir des données très secrètes pour utiliser ce genre de clef non ?
@macbook60
Ou être parano… 😅
@Chris K
Lol après si certaines personnes doivent ou veulent l’utiliser donc tant mieux si c’est disponible
@R-APPLE-R
Pas bizarre.. si on utilise une clé c’est pas pour se rajouter un code…
À ma connaissance il n’existe pas d’application spécifique pour créer deux clés. Les opérations d’enregistrement d’une clé doit être répétée avec la clé dite de secours.
Enfin moi c’est comme ça que je procède.
@Chris K
C’est un comportement spécifique à Apple alors, car sur d’autres site il est possible de mettre une série de numéro de sauvegarde 🤔😈
@R-APPLE-R
Je crois savoir de quoi tu parles. Sur tous les services pour lesquels j’utilise mes clés physiques, je crois, si mes souvenirs sont bons, qu’un seul a proposé la génération d’une suite de mots de sauvegarde (que je n’ai pas conservé, vu que si j’utilise une clé c’est pas pour utiliser un code). Donc, en ce qui me concerne, c’est pas vraiment spécifique à Apple.
Il existe des applications yubico pour gérer certains paramètres des clés, ces dernières gérant de multiples fonctionnalités d'authentification.
Certains paramètres peuvent être copiés sur plusieurs clés, comme l'authentification par challenge / response, ou les certificats embarqués.
Mais dans le cadre du fido2, chaque clé est unique et doit être enregistrée auprès de chaque service utilisé.
https://support.yubico.com/hc/en-us/articles/360016614880-Can-I-duplicate-or-clone-a-YubiKey-
@fcthulhu
Ha ba voila, il me semblait bien, Apple à donc choisi l’externalisation sur clé unique qui n’est pas sauvegadable et donc plus sécurisé car pour faire une sauvegarde il faut absolument une autre ou plusieurs autres clés.
J’ai bon ? 😈
@IRONMAN65
Bah vous êtes censé en avoir une seconde…vu que le service ne s’active qu’avec 2 clés à disposition de l’utilisateur (cf l’article 🙈).
Après en cas de perte des deux clés, oui la c’est bye bye votre Apple ID et à priori Apple s’en lavera les mains vu que les risques et péril sont exposés très clairement quand l’on active la fonctionnalité (un peu comme la clé de secours qui peut remplacer le processus standard de récupération d’un compte en cas d’oubli de mdp).
@Xander
Je ne dirais pas "bye-bye votre Apple ID" mais plutôt "bye-bye vos données (email icloud...)". On doit pouvoir récupérer ses achats. Du coup, c'est probablement mieux d'avoir une copie de sauvegarde.
C'est bien mais dans mon cas, parfois on me demande mon mot de passe Apple pour valider un paiement sur l'app store... Alors si faut la clé en plus... Vous avez pas une astuce pour désactiver ça d'ailleurs ? :)
J’utilise beaucoup mes clés physiques. Ravi de cette option.
Google a les clés du projet Titan d’Apple 🤔
Apple devrait déjà commencer par supporter les passkeys sur ses services. Si je ne me trompe pas, ce n’est pas encore le cas….
@tleveque
La connexion à iCloud utilise PassKeys.
Laissons le temps faire les choses, le standard n’est pas encore démocratisé, certains utilisateurs pourraient ne pas être confiants s’ils n’ont plus de mot de passe à saisir.
Ça sent les clés de sécurité USB C pour les prochains iPhone…
Apple pourrait même déjà la lancer pour l’iPad rapidement, après tout c’est aussi un bon outil de travail
Et comment on fait sinon se fait voler les clés (même une seule) avec son tel ?
Et sinon se fait voler une seule clé on peut en racheter pour en ravoir une seconde ?
@socotran77
À noter aussi qu’il existe des clés qui se dévérouillent par empreinte digitale..
@MickaelBazoge
D'accord merci
@socotran77
Logiquement tu ne conserves qu’une seule clé avec toi. La clé de secours ne doit pas t’accompagner.
Si on te vole ton tel et ta clé, tu utilises la clé de secours pour tout désactiver (supprimer tes clés).
Quel est vraiment l’utilité de cela par rapport aux notifications envoyés aux appareils de confiance ?
Car si on ne l’a pas, on ne sait pas se connecter 🤔
Quelle complexité ! J’avoue ne pas avoir compris. Je resterai avec MDP … apple qui était si simple devient de plus en plus complexe !!! Bravo
@cd633
C’est complexe qu’en apparence. Par contre, ce n’est pas forcément super pratique à utiliser, mais ça c’est normal.
Enfin, tu n’es sans doute pas la cible d’une telle fonctionnalité.
@cd633
La saisie de mots de passe est encore plus complexe, par défaut il faut les retenir. Et en général on est inscrit sur beaucoup de services. Ça fait autant de mots de passe.
J'ai un peu de mal à voir l'intérêt. J'aurais préféré pouvoir choisir quels appareil Apple peuvent accepter les connexions et envoyer le code (genre iPhone et Apple Watch mais pas les iPad et Mac).
@koko256
Je dis n'importe quoi 🤦🏼♂️
Touch ID et Face ID sont suffisants pour la plupart des utilisateurs. Dans mon expériences professionnelle et personnelle, l'excès de sécurité est contre productif. Ça prend la tête des gens et ils essayent de contourner la sécurité, et ça peut même faire perdre des données. Souvent ça fait perdre du temps sans raison. M'enfin c'est un marché, et c'est bien que ça existe pour ceux qui en ont besoin !
Pages