iOS 16.3 : comment fonctionnent les clés de sécurité physiques pour accéder à un compte Apple

Mickaël Bazoge |

iOS 16.3, iPadOS 16.3 et macOS 13.2 ont inauguré une nouvelle fonction de sécurité (une de plus !) qui permet de se connecter à un compte Apple avec l'aide d'une clé de sécurité physique qui fait office de deuxième facteur d'authentification (2FA). Jusqu'à présent, le constructeur envoyait un code à 6 chiffres sur les appareils de confiance, désormais on a donc le choix.

Voici comment ça fonctionne avec un iPhone pour se connecter sur le site des développeurs d'Apple.

Les clés certifiées par l'alliance FIDO (FIDO® Certified) sont compatibles, Apple en liste trois : la YubiKey 5C avec connecteur USB-C et la NFC, la YubiKey 5Ci avec un connecteur Lightning et un connecteur USB-C, et la FEITAN ePass K9 avec un connecteur USB-A et la NFC. Des produits que l'on peut commander sur le site des fabricants ou sur Amazon : la YubiKey 5C est actuellement vendue 66 €, mais il n'y a plus de stock pour la très pratique YubiKey 5Ci. La certification FIDO permet de s'équiper de clés plus abordables (j'utilise une YubiKey 5 à 60 €). La fonction prend en charge les clés NFC, USB-C, Lightning et USB-A.

YubiKey 5Ci et FEITAN ePass K9.

Le site web de l'alliance FIDO liste les entreprises dont les services et les produits (dont des clés) sont certifiés mais il faut aller à la pêche (à cette adresse). Apple aurait été bien inspirée d'ajouter quelques références à sa boutique en ligne, ne serait-ce que pour éviter les mauvaises surprises d'incompatibilité. Ce d'autant que pour utiliser cette fonction de clé de sécurité, le constructeur exige d'avoir deux clés (on peut en enregistrer jusqu'à six).

En plus des deux clés, il y a d'autres pré-requis avant de pouvoir sécuriser son compte : assez logiquement, l'identification deux facteurs doit être activée pour l'identifiant Apple (c'est le cas pour 95 % des comptes iCloud), et il faut utiliser un navigateur web récent.

Pour se connecter à une Apple Watch, une Apple TV ou à un HomePod après avoir configuré des clés de sécurité, l'utilisation d'un iPhone ou d'un iPad prenant en charge ces clés sera nécessaire. Apple précise qu'il ne sera pas possible d'utiliser une clé de sécurité pour se connecter aux comptes suivants :

  • iCloud pour Windows
  • comptes enfants et comptes Apple gérés (les identifiants qui peuvent gérer des appareils partagés comme ceux d'une classe)
  • Apple Watch jumelée avec l'iPhone d'un membre de la famille (il faut d'abord configurer la montre avec son propre iPhone)

Ouf ! Comme on le voit, il y a quand même pas mal de contraintes à prendre en compte. Mais comme l'explique Apple, cette fonction de sécurité ne s'adresse pas aux utilisateurs grand public : « Cette fonctionnalité s’adresse aux personnes, en général des personnalités publiques, pouvant faire face à des menaces groupées sur leurs comptes en ligne. Il peut par exemple s’agir de célébrités, de journalistes ou de membres du gouvernement ».

À vous de voir si le jeu en vaut la chandelle. Car en cas de perte des deux clés, Apple ne pourra pas vous aider à accéder à votre compte. La Pomme recommande d'en garder une chez soi et une au bureau, par exemple.

👉 Apple a mis en ligne cette fiche d'assistance qui fait le point sur tout ce qu'il est possible de faire et de ne pas faire avec les clés de sécurité.

Et sinon, comment ça marche ?

Cette fonction permet donc de se connecter de manière sécurisée à un compte Apple sur un nouvel appareil ou sur le web, mais elle est également mise à contribution pour ajouter ou supprimer une clé de sécurité, ainsi que durant le processus de réinitialisation du mot de passe de l'identifiant Apple ou pour déverrouiller un identifiant Apple.

Comme dit plus haut, Apple demande d'avoir non pas une, mais deux clés de sécurité, ce qui garantit que l'on pourra se connecter à son compte même en cas de perte d'une clé. Attention, en cas de perte des deux clés, le constructeur ne pourra pas aider l'utilisateur malchanceux à accéder à son compte.

Les clés de sécurité peuvent être ajoutées dans les réglages Apple ID > Mot de passe et sécurité.

Durant le processus de configuration, Apple va déconnecter les appareils inactifs. Ce sont les appareils associés à l'identifiant Apple qui n'ont pas été utilisés ou déverrouillés depuis plus de 90 jours. Pour s'y reconnecter, il faudra les mettre à jour et utiliser une clé de sécurité. Attention : si l'appareil ne peut pas être mis à jour avec un logiciel compatible, il sera tout simplement impossible de s'y reconnecter.

Après l'enregistrement de chacune des clés, il est possible de les renommer. Durant la configuration, on nous demande aussi de vérifier les appareils actifs et, le cas échéant, de déconnecter ceux que l'on ne reconnait pas. Et il est possible ensuite de gérer ses clés dans les réglages Mot de passe et sécurité, où on pourra en ajouter et toutes les supprimer. Dans ce dernier cas, c'est retour à la case départ, avec le fameux code à 6 chiffres comme deuxième facteur d'authentification.

Apple envoie aussi un courriel de confirmation :

Après quelques essais, ça fonctionne parfaitement. Chez les utilisateurs qui ont plusieurs appareils Apple, cette nouveauté va leur éviter les carillons et les notifications qui déboulent de toutes parts lorsque le code de vérification est envoyée par Apple et rien que pour ça, vive les clés de sécurité !

Il est aussi possible d'ajouter et de supprimer des clés de sécurité dans macOS 13.2.
La demande d'authentification avec la clé de sécurité fonctionne bien dans Safari (ici sur macOS 13.1).

Bon à savoir : l'utilisation de clés de sécurité physiques n'a aucune conséquence sur le trousseau iCloud et ni sur les Passkeys. Comme l'explique Ricky Mondello d'Apple, les clés de sécurité et les Passkeys sont deux choses différentes malgré la proximité des noms.

Tout cela pose une question : est-ce qu'Apple pourrait lancer sa propre clé de sécurité ? Ce ne serait pas complètement à écarter. Après tout, Google fait de même avec ses clés Titan (certifiées FIDO).

Edit — Cet article est la reprise enrichie de l'aperçu des clés de sécurité remontant au 14 décembre.


avatar fredsoo | 

Ça coûte cher ces clés ?

avatar Mickaël Bazoge | 
Ça va de 50 à 80 € environ pour les Yubikey. Édit : ah bah c’est encore moins cher :)
avatar fredsoo | 

Pas donné !
Merci ☺️

avatar misterbrown | 

@MickaelBazoge

84 euros sur Amazon cette YubiKey 5ci !!!

C’est le prix d’une Apple TV d’occasion.
D’un Écho Show 8…
2 JBL GO ..

Je vais garder mes mdp et les sms

avatar Mickaël Bazoge | 
Arf, faut attendre les soldes (les Yubikey ont souvent des promos…)
avatar fredsoo | 

@misterbrown

Moi aussi ça me va comme méthode…. 😁👍🏻

avatar Chris K | 

@misterbrown

J’ai payé une clé USB-C + NFC à 55 €. C’est vrai que c’est pas donné.

avatar didloan92 | 

@misterbrown

+ 1000 👍 Pareil pour moi 🙃

avatar xfrown13 | 

29€ la yubico NFC USB sur Amazon

avatar IRONMAN65 | 

Et si on perd la clé 😳

avatar Chris K | 

@IRONMAN65

Pour ça qu’il en faut deux…

avatar R-APPLE-R | 

@Chris K

Il existe un code de secours bien heureusement 😅😈

avatar Chris K | 

@R-APPLE-R

Ah bon… mal compris alors.

avatar Mickaël Bazoge | 
J'ai vu aucun « code de secours » durant la config' et Apple dit bien noir sur blanc que c'est mort si tu perds les deux clés.
avatar R-APPLE-R | 

@MickaelBazoge

Bizarre 🤔 peut-être un comportement spécifique d’Apple ?
Il existe une application Yubico pour créer une autre clé 🔑 il me semble non ? 😈

https://www.yubico.com/products/yubico-authenticator/

avatar Mickaël Bazoge | 
Ce que je vois c'est qu'il n'y a pas d'autre moyen pour s'identifier que d'utiliser la clé. Peut-être qu'Apple donnera dans une prochaine bêta la possibilité d'utiliser le code de vérification classique ? Mais tel que c'est présenté (y compris dans le communiqué de presse), ça me parait pas sûr du tout.
avatar R-APPLE-R | 

@MickaelBazoge

J’imagine que l’application Yubico est indispensable pour recréer une clé au cas ou vous la perdiez 😈

avatar Mickaël Bazoge | 
J'essaierai à l'occasion, c'est une bonne idée oui.
avatar Chris K | 

@R-APPLE-R

Non.. J’utilise Yubico Authenticator comme générateur de code 2FA lorsque j’accède à un site. Pour que j’obtienne ce code je dois posséder une de mes clés.

C’est le même principe disons que Google Authenticator sauf qu’il faut avoir une clé pour afficher le code.

avatar R-APPLE-R | 

@Chris K

Et vous n’avez pas de code de secours quand vous créer votre clé ? 😈

avatar Chris K | 

@R-APPLE-R

Non.

avatar macbook60 | 

@MickaelBazoge

Faut vraiment avoir des données très secrètes pour utiliser ce genre de clef non ?

avatar Chris K | 

@macbook60

Ou être parano… 😅

avatar macbook60 | 

@Chris K

Lol après si certaines personnes doivent ou veulent l’utiliser donc tant mieux si c’est disponible

avatar Chris K | 

@R-APPLE-R

Pas bizarre.. si on utilise une clé c’est pas pour se rajouter un code…

À ma connaissance il n’existe pas d’application spécifique pour créer deux clés. Les opérations d’enregistrement d’une clé doit être répétée avec la clé dite de secours.
Enfin moi c’est comme ça que je procède.

avatar R-APPLE-R | 

@Chris K

C’est un comportement spécifique à Apple alors, car sur d’autres site il est possible de mettre une série de numéro de sauvegarde 🤔😈

avatar Chris K | 

@R-APPLE-R

Je crois savoir de quoi tu parles. Sur tous les services pour lesquels j’utilise mes clés physiques, je crois, si mes souvenirs sont bons, qu’un seul a proposé la génération d’une suite de mots de sauvegarde (que je n’ai pas conservé, vu que si j’utilise une clé c’est pas pour utiliser un code). Donc, en ce qui me concerne, c’est pas vraiment spécifique à Apple.

avatar fcthulhu | 

Il existe des applications yubico pour gérer certains paramètres des clés, ces dernières gérant de multiples fonctionnalités d'authentification.

Certains paramètres peuvent être copiés sur plusieurs clés, comme l'authentification par challenge / response, ou les certificats embarqués.

Mais dans le cadre du fido2, chaque clé est unique et doit être enregistrée auprès de chaque service utilisé.

https://support.yubico.com/hc/en-us/articles/360016614880-Can-I-duplicate-or-clone-a-YubiKey-

avatar R-APPLE-R | 

@fcthulhu

Ha ba voila, il me semblait bien, Apple à donc choisi l’externalisation sur clé unique qui n’est pas sauvegadable et donc plus sécurisé car pour faire une sauvegarde il faut absolument une autre ou plusieurs autres clés.
J’ai bon ? 😈

avatar Xander | 

@IRONMAN65

Bah vous êtes censé en avoir une seconde…vu que le service ne s’active qu’avec 2 clés à disposition de l’utilisateur (cf l’article 🙈).

Après en cas de perte des deux clés, oui la c’est bye bye votre Apple ID et à priori Apple s’en lavera les mains vu que les risques et péril sont exposés très clairement quand l’on active la fonctionnalité (un peu comme la clé de secours qui peut remplacer le processus standard de récupération d’un compte en cas d’oubli de mdp).

avatar koko256 | 

@Xander

Je ne dirais pas "bye-bye votre Apple ID" mais plutôt "bye-bye vos données (email icloud...)". On doit pouvoir récupérer ses achats. Du coup, c'est probablement mieux d'avoir une copie de sauvegarde.

avatar madaniso | 

C'est bien mais dans mon cas, parfois on me demande mon mot de passe Apple pour valider un paiement sur l'app store... Alors si faut la clé en plus... Vous avez pas une astuce pour désactiver ça d'ailleurs ? :)

avatar Chris K | 

J’utilise beaucoup mes clés physiques. Ravi de cette option.

avatar andr3 | 

Google a les clés du projet Titan d’Apple 🤔

avatar tleveque | 

Apple devrait déjà commencer par supporter les passkeys sur ses services. Si je ne me trompe pas, ce n’est pas encore le cas….

avatar Yoshi_1 | 

@tleveque

La connexion à iCloud utilise PassKeys.
Laissons le temps faire les choses, le standard n’est pas encore démocratisé, certains utilisateurs pourraient ne pas être confiants s’ils n’ont plus de mot de passe à saisir.

avatar marc-5 | 

Ça sent les clés de sécurité USB C pour les prochains iPhone…
Apple pourrait même déjà la lancer pour l’iPad rapidement, après tout c’est aussi un bon outil de travail

avatar socotran77 | 

Et comment on fait sinon se fait voler les clés (même une seule) avec son tel ?
Et sinon se fait voler une seule clé on peut en racheter pour en ravoir une seconde ?

avatar Chris K | 

@socotran77

À noter aussi qu’il existe des clés qui se dévérouillent par empreinte digitale..

avatar Mickaël Bazoge | 
Si tu te fais voler une clé, tu peux la retirer depuis les réglages « Mots de passe et sécurité » de ton Apple ID. Par contre pour valider la suppression l'iPhone te demande d'insérer l'autre clé.
avatar socotran77 | 

@MickaelBazoge

D'accord merci

avatar Chris K | 

@socotran77

Logiquement tu ne conserves qu’une seule clé avec toi. La clé de secours ne doit pas t’accompagner.
Si on te vole ton tel et ta clé, tu utilises la clé de secours pour tout désactiver (supprimer tes clés).

avatar Krysten2001 | 

Quel est vraiment l’utilité de cela par rapport aux notifications envoyés aux appareils de confiance ?
Car si on ne l’a pas, on ne sait pas se connecter 🤔

avatar cd633 | 

Quelle complexité ! J’avoue ne pas avoir compris. Je resterai avec MDP … apple qui était si simple devient de plus en plus complexe !!! Bravo

avatar Chris K | 

@cd633

C’est complexe qu’en apparence. Par contre, ce n’est pas forcément super pratique à utiliser, mais ça c’est normal.
Enfin, tu n’es sans doute pas la cible d’une telle fonctionnalité.

avatar Yoshi_1 | 

@cd633

La saisie de mots de passe est encore plus complexe, par défaut il faut les retenir. Et en général on est inscrit sur beaucoup de services. Ça fait autant de mots de passe.

avatar koko256 | 

J'ai un peu de mal à voir l'intérêt. J'aurais préféré pouvoir choisir quels appareil Apple peuvent accepter les connexions et envoyer le code (genre iPhone et Apple Watch mais pas les iPad et Mac).

avatar koko256 | 

@koko256

Je dis n'importe quoi 🤦🏼‍♂️

avatar Dr. Kifelkloun | 

Touch ID et Face ID sont suffisants pour la plupart des utilisateurs. Dans mon expériences professionnelle et personnelle, l'excès de sécurité est contre productif. Ça prend la tête des gens et ils essayent de contourner la sécurité, et ça peut même faire perdre des données. Souvent ça fait perdre du temps sans raison. M'enfin c'est un marché, et c'est bien que ça existe pour ceux qui en ont besoin !

avatar Krysten2001 | 

@Dr. Kifelkloun

Je me demande vraiment ce que ça vaut face à Face ID et l’autorisation sur un appareil de confiance 🤔

Pages

CONNEXION UTILISATEUR