iOS 16.3, iPadOS 16.3 et macOS 13.2 ont inauguré une nouvelle fonction de sécurité (une de plus !) qui permet de se connecter à un compte Apple avec l'aide d'une clé de sécurité physique qui fait office de deuxième facteur d'authentification (2FA). Jusqu'à présent, le constructeur envoyait un code à 6 chiffres sur les appareils de confiance, désormais on a donc le choix.
Les clés certifiées par l'alliance FIDO (FIDO® Certified) sont compatibles, Apple en liste trois : la YubiKey 5C avec connecteur USB-C et la NFC, la YubiKey 5Ci avec un connecteur Lightning et un connecteur USB-C, et la FEITAN ePass K9 avec un connecteur USB-A et la NFC. Des produits que l'on peut commander sur le site des fabricants ou sur Amazon : la YubiKey 5C est actuellement vendue 66 €, mais il n'y a plus de stock pour la très pratique YubiKey 5Ci. La certification FIDO permet de s'équiper de clés plus abordables (j'utilise une YubiKey 5 à 60 €). La fonction prend en charge les clés NFC, USB-C, Lightning et USB-A.
Le site web de l'alliance FIDO liste les entreprises dont les services et les produits (dont des clés) sont certifiés mais il faut aller à la pêche (à cette adresse). Apple aurait été bien inspirée d'ajouter quelques références à sa boutique en ligne, ne serait-ce que pour éviter les mauvaises surprises d'incompatibilité. Ce d'autant que pour utiliser cette fonction de clé de sécurité, le constructeur exige d'avoir deux clés (on peut en enregistrer jusqu'à six).
En plus des deux clés, il y a d'autres pré-requis avant de pouvoir sécuriser son compte : assez logiquement, l'identification deux facteurs doit être activée pour l'identifiant Apple (c'est le cas pour 95 % des comptes iCloud), et il faut utiliser un navigateur web récent.
Pour se connecter à une Apple Watch, une Apple TV ou à un HomePod après avoir configuré des clés de sécurité, l'utilisation d'un iPhone ou d'un iPad prenant en charge ces clés sera nécessaire. Apple précise qu'il ne sera pas possible d'utiliser une clé de sécurité pour se connecter aux comptes suivants :
- iCloud pour Windows
- comptes enfants et comptes Apple gérés (les identifiants qui peuvent gérer des appareils partagés comme ceux d'une classe)
- Apple Watch jumelée avec l'iPhone d'un membre de la famille (il faut d'abord configurer la montre avec son propre iPhone)
Ouf ! Comme on le voit, il y a quand même pas mal de contraintes à prendre en compte. Mais comme l'explique Apple, cette fonction de sécurité ne s'adresse pas aux utilisateurs grand public : « Cette fonctionnalité s’adresse aux personnes, en général des personnalités publiques, pouvant faire face à des menaces groupées sur leurs comptes en ligne. Il peut par exemple s’agir de célébrités, de journalistes ou de membres du gouvernement ».
À vous de voir si le jeu en vaut la chandelle. Car en cas de perte des deux clés, Apple ne pourra pas vous aider à accéder à votre compte. La Pomme recommande d'en garder une chez soi et une au bureau, par exemple.
👉 Apple a mis en ligne cette fiche d'assistance qui fait le point sur tout ce qu'il est possible de faire et de ne pas faire avec les clés de sécurité.
Et sinon, comment ça marche ?
Cette fonction permet donc de se connecter de manière sécurisée à un compte Apple sur un nouvel appareil ou sur le web, mais elle est également mise à contribution pour ajouter ou supprimer une clé de sécurité, ainsi que durant le processus de réinitialisation du mot de passe de l'identifiant Apple ou pour déverrouiller un identifiant Apple.
Comme dit plus haut, Apple demande d'avoir non pas une, mais deux clés de sécurité, ce qui garantit que l'on pourra se connecter à son compte même en cas de perte d'une clé. Attention, en cas de perte des deux clés, le constructeur ne pourra pas aider l'utilisateur malchanceux à accéder à son compte.
Durant le processus de configuration, Apple va déconnecter les appareils inactifs. Ce sont les appareils associés à l'identifiant Apple qui n'ont pas été utilisés ou déverrouillés depuis plus de 90 jours. Pour s'y reconnecter, il faudra les mettre à jour et utiliser une clé de sécurité. Attention : si l'appareil ne peut pas être mis à jour avec un logiciel compatible, il sera tout simplement impossible de s'y reconnecter.
Après l'enregistrement de chacune des clés, il est possible de les renommer. Durant la configuration, on nous demande aussi de vérifier les appareils actifs et, le cas échéant, de déconnecter ceux que l'on ne reconnait pas. Et il est possible ensuite de gérer ses clés dans les réglages Mot de passe et sécurité, où on pourra en ajouter et toutes les supprimer. Dans ce dernier cas, c'est retour à la case départ, avec le fameux code à 6 chiffres comme deuxième facteur d'authentification.
Apple envoie aussi un courriel de confirmation :
Après quelques essais, ça fonctionne parfaitement. Chez les utilisateurs qui ont plusieurs appareils Apple, cette nouveauté va leur éviter les carillons et les notifications qui déboulent de toutes parts lorsque le code de vérification est envoyée par Apple et rien que pour ça, vive les clés de sécurité !
Bon à savoir : l'utilisation de clés de sécurité physiques n'a aucune conséquence sur le trousseau iCloud et ni sur les Passkeys. Comme l'explique Ricky Mondello d'Apple, les clés de sécurité et les Passkeys sont deux choses différentes malgré la proximité des noms.
Tout cela pose une question : est-ce qu'Apple pourrait lancer sa propre clé de sécurité ? Ce ne serait pas complètement à écarter. Après tout, Google fait de même avec ses clés Titan (certifiées FIDO).
Edit — Cet article est la reprise enrichie de l'aperçu des clés de sécurité remontant au 14 décembre.