iOS 16.3 : comment fonctionnent les clés de sécurité physiques pour accéder à un compte Apple
iOS 16.3, iPadOS 16.3 et macOS 13.2 ont inauguré une nouvelle fonction de sécurité (une de plus !) qui permet de se connecter à un compte Apple avec l'aide d'une clé de sécurité physique qui fait office de deuxième facteur d'authentification (2FA). Jusqu'à présent, le constructeur envoyait un code à 6 chiffres sur les appareils de confiance, désormais on a donc le choix.
Les clés certifiées par l'alliance FIDO (FIDO® Certified) sont compatibles, Apple en liste trois : la YubiKey 5C avec connecteur USB-C et la NFC, la YubiKey 5Ci avec un connecteur Lightning et un connecteur USB-C, et la FEITAN ePass K9 avec un connecteur USB-A et la NFC. Des produits que l'on peut commander sur le site des fabricants ou sur Amazon : la YubiKey 5C est actuellement vendue 66 €, mais il n'y a plus de stock pour la très pratique YubiKey 5Ci. La certification FIDO permet de s'équiper de clés plus abordables (j'utilise une YubiKey 5 à 60 €). La fonction prend en charge les clés NFC, USB-C, Lightning et USB-A.
Le site web de l'alliance FIDO liste les entreprises dont les services et les produits (dont des clés) sont certifiés mais il faut aller à la pêche (à cette adresse). Apple aurait été bien inspirée d'ajouter quelques références à sa boutique en ligne, ne serait-ce que pour éviter les mauvaises surprises d'incompatibilité. Ce d'autant que pour utiliser cette fonction de clé de sécurité, le constructeur exige d'avoir deux clés (on peut en enregistrer jusqu'à six).
En plus des deux clés, il y a d'autres pré-requis avant de pouvoir sécuriser son compte : assez logiquement, l'identification deux facteurs doit être activée pour l'identifiant Apple (c'est le cas pour 95 % des comptes iCloud), et il faut utiliser un navigateur web récent.
Pour se connecter à une Apple Watch, une Apple TV ou à un HomePod après avoir configuré des clés de sécurité, l'utilisation d'un iPhone ou d'un iPad prenant en charge ces clés sera nécessaire. Apple précise qu'il ne sera pas possible d'utiliser une clé de sécurité pour se connecter aux comptes suivants :
- iCloud pour Windows
- comptes enfants et comptes Apple gérés (les identifiants qui peuvent gérer des appareils partagés comme ceux d'une classe)
- Apple Watch jumelée avec l'iPhone d'un membre de la famille (il faut d'abord configurer la montre avec son propre iPhone)
Ouf ! Comme on le voit, il y a quand même pas mal de contraintes à prendre en compte. Mais comme l'explique Apple, cette fonction de sécurité ne s'adresse pas aux utilisateurs grand public : « Cette fonctionnalité s’adresse aux personnes, en général des personnalités publiques, pouvant faire face à des menaces groupées sur leurs comptes en ligne. Il peut par exemple s’agir de célébrités, de journalistes ou de membres du gouvernement ».
À vous de voir si le jeu en vaut la chandelle. Car en cas de perte des deux clés, Apple ne pourra pas vous aider à accéder à votre compte. La Pomme recommande d'en garder une chez soi et une au bureau, par exemple.
👉 Apple a mis en ligne cette fiche d'assistance qui fait le point sur tout ce qu'il est possible de faire et de ne pas faire avec les clés de sécurité.
Et sinon, comment ça marche ?
Cette fonction permet donc de se connecter de manière sécurisée à un compte Apple sur un nouvel appareil ou sur le web, mais elle est également mise à contribution pour ajouter ou supprimer une clé de sécurité, ainsi que durant le processus de réinitialisation du mot de passe de l'identifiant Apple ou pour déverrouiller un identifiant Apple.
Comme dit plus haut, Apple demande d'avoir non pas une, mais deux clés de sécurité, ce qui garantit que l'on pourra se connecter à son compte même en cas de perte d'une clé. Attention, en cas de perte des deux clés, le constructeur ne pourra pas aider l'utilisateur malchanceux à accéder à son compte.
Durant le processus de configuration, Apple va déconnecter les appareils inactifs. Ce sont les appareils associés à l'identifiant Apple qui n'ont pas été utilisés ou déverrouillés depuis plus de 90 jours. Pour s'y reconnecter, il faudra les mettre à jour et utiliser une clé de sécurité. Attention : si l'appareil ne peut pas être mis à jour avec un logiciel compatible, il sera tout simplement impossible de s'y reconnecter.
Après l'enregistrement de chacune des clés, il est possible de les renommer. Durant la configuration, on nous demande aussi de vérifier les appareils actifs et, le cas échéant, de déconnecter ceux que l'on ne reconnait pas. Et il est possible ensuite de gérer ses clés dans les réglages Mot de passe et sécurité, où on pourra en ajouter et toutes les supprimer. Dans ce dernier cas, c'est retour à la case départ, avec le fameux code à 6 chiffres comme deuxième facteur d'authentification.
Apple envoie aussi un courriel de confirmation :
Après quelques essais, ça fonctionne parfaitement. Chez les utilisateurs qui ont plusieurs appareils Apple, cette nouveauté va leur éviter les carillons et les notifications qui déboulent de toutes parts lorsque le code de vérification est envoyée par Apple et rien que pour ça, vive les clés de sécurité !
Bon à savoir : l'utilisation de clés de sécurité physiques n'a aucune conséquence sur le trousseau iCloud et ni sur les Passkeys. Comme l'explique Ricky Mondello d'Apple, les clés de sécurité et les Passkeys sont deux choses différentes malgré la proximité des noms.
Tout cela pose une question : est-ce qu'Apple pourrait lancer sa propre clé de sécurité ? Ce ne serait pas complètement à écarter. Après tout, Google fait de même avec ses clés Titan (certifiées FIDO).
Edit — Cet article est la reprise enrichie de l'aperçu des clés de sécurité remontant au 14 décembre.
@Dr. Kifelkloun
Je me demande vraiment ce que ça vaut face à Face ID et l’autorisation sur un appareil de confiance 🤔
Apple fait tout pour que l’iPhone remplace toutes les clés (voiture, maison, hôtel) pour finalement nous obliger à nous promener avec une clé de sécurité qu’on n’aura jamais sous la main quand on en a besoin 🤔 J’attacherai un AirTag à ma Yubikey 😅
@powergeek
Non apple n’encourage pas l’utilisation de ces clés, ils ont juste ajouté le support pour satisfaire des utilisateurs qui ont des standards de sécurité très élevés comme des opérateurs d’agence gouvernementale.
Fait ça fait quelques semaines sur 16.1 que Yahoo! Japan me demande une clé ou un autre appareil iOS sur mon iOS 15, quand tu n’as pas de clé et que ton iPod est bloqué sur ios12.x, bonjour le truc …. -_- (bon c’est principalement pour les achats de tickets ^_*)
Pareil, je ne vois aucun intérêt aux clés physiques ´, si ce n’est remettre une pression énorme à l’utilisateur sur le risque de perte.. archaïque !
Jen veux pas de ces merdes , la sécurité actuelle est plus que suffisante
Devoir insérer physiquement des clés comme ça, ça fait quand même un peu retour à l'âge de pierre…
Ça sent la démocratisation des clés de sécurité es… le but tjr en mettre plus dans l’iPhone… crypto ?
Pour la crypto un ledger Nono
Ça y est... mon chien a croqué l'alliance Fido... donc je passe mon tour !
En gros, pour tout ce qui utilise des clés (portes, voitures etc) tout est fait pour nous faire supprimer les clés. Entrer chez soi avec une clé, ou démarrer sa voiture avec une clé, c'est terriblement vintage 😱, enf... de boomers.
Et puis, pour tout ce qui ne nécessite normalement pas de clé (téléphone, ordinateur etc), on veut maintenant nous faire croire que la clé, c'est le futur.
En plus il faut l'accrocher sur le porte-clés... mais comme les vraies clés disparaissent on n'aura plus de porte-clés. Ce qui augmente naturellement le risque de perdre la Yubi, parce qu'on n'a plus l'habitude.
Du coup, on va accrocher un AirTag à la Yubi... Mais... attendez... 🤔
Bref, encore un bon coup de bullshit de marketing sécuritaire. Je me demande si il y a des études qui montrent clairement la quantité de data sauvées par ces clés, vs. ce qui a été perdu à cause de ces clés. Sans parler du stress. Mais bon, ça rassure le geek et ça fait vendre.
@Dr. Kifelkloun
Mais + 1000!!🏴☠️🏴☠️🏴☠️
PS: @powergeek tu viens de me griller joliement
Je viens de trouver un intérêt à l’AirTag. Retrouver ça Yubikey ! Malin Apple !
Oups d’autres ont eu la même idée :) Dslé j’ai posté sans lire les derniers commentaires
Mouef, si on la perd 🥴😭
A découvrir Ventura (Mini 2) en ce moment et voir là les screens, je trouve qu’OsX se complique beaucoup par rapport à ce que c’était avant et qui faisait sa force (la simplicité..).
@3RIC
Clairement..!!
Un « vrai » monde de paranoïa(ques) et on s’y enfonce tous les jours,encore plus profond,si j’ose dire. .(et si vous me suivez …)
C’est naze. ..Si j’ose dire,en plus d’être horriblement casse-c….!
Mais OSEF,tant que ça fait vendre en plus…Et que ça nous « protège » 🤢 lol !!
Bienvenue ds le nouveau monde civilisé🤮
Toutes les mesures de sécurité peuvent être contourné via une attaque MITM sauf la clef de sécurité physique. Ce n'est pas un moyen de sécurité réservé aux hommes politique ou journaliste mais plutôt a monsieur tout le monde. Si vous perdez vos clef de sécurité vous ne pourrez jamais récupérer votre compte.
Bonjour quelqu’un sait si un ledger peux faire office de clé de sécurité ?
Pages