La vérification en deux étapes d'Apple encore perfectible
L'année dernière, Apple a étendu la validation en deux étapes à iCloud.com et à de nouveaux pays, dont la France. Rappelons que cette mesure de sécurité optionnelle nécessite d'entrer un code à quatre chiffres reçu sur un appareil de confiance (typiquement son iPhone) après avoir saisi son mot de passe habituel.
Reste toutefois encore quelques services qui ne prennent pas en compte cette sécurité supplémentaire, comme le démontre Dani Grant sur son blog. La connexion à iMessage, FaceTime et à l'Apple Store en ligne n'est pas protégée par un second code. On peut juger que ces services sont un peu moins sensibles que le compte iCloud, où l'on stocke ses documents et ses photos entre autres, mais il serait souhaitable que tous les services soient sécurisés de la même façon et sans attendre une nouvelle polémique comme le fut le celebgate (lire : Tim Cook promet une amélioration de la sécurité d’iCloud).
En attendant un éventuel nouvel élargissement, la validation en deux étapes est appliquée dans les cas suivants :
- connexion sur la page Mon identifiant Apple pour gérer son compte ;
- connexion à iCloud sur un nouvel appareil, ou à iCloud.com ;
- achat dans l’iTunes Store, dans l’App Store ou dans l’iBooks Store sur un nouvel appareil ;
- demande d’une assistance, auprès d’Apple, avec son identifiant.
Le fonctionnement de la vérification en deux étapes est détaillé dans cette fiche technique.
J'ai testé, ça m'avais flingué la fonctionnalité de réception d'appel sur mes machines ;(
En plus d'autres effets bizarre.
Résultat, retour arrière et mot de passe de 11 caractères sans aucun mot commun avec chiffres et majuscules ;)
Ah, étrange, moi je l'ai activé il y a maintenant quelques mois, et j'avais carrément oublié que je l'avais fait, tellement tout fonctionne bien, comme avec un simple mot de passe...
@nono68200
question conne, 68200 = Mulhouse ?
car moi c'est 68320 ;)
Le sytème actuel me convient très bien, pas besoin de système de sécurité usine à gaz. Aucune confiance dans les services "dans les nuages" (iCloud inclus) que je n'utilise pas.
la double identification est un système parmi les plus sécurise mais encore faut il qu'il soit bien fait!
le truc totalement aberrant ici c'est que la double identification se fait avec des terminaux… lies au meme compte iCloud!
Par pricipe la double identification doit se faire avec des appareils idependant et utilisant des méthode de communication différentes… c'est clairement pas le cas
Donc si on considère le système d'Apple, il n'est pas plus sécurise qu'un mot de passe, et meme un bon mot de passe (16 carateres, avec chiffres, symbole et majuscules) que l'on change au moins tous les trimestres est largement plus sécurise que la double identification.
En fait cette mode de la double identification est une foutaise qui permet surtout aux services de lier un compte utilisateur a un numéro de telephone, donc d'avoir une identification nominative et donc de constituer des base de données utilisateurs certifiées qui ont une plus grande valeur commerciale…
Le pire dans ce genre c'est Yahoo, qui a moins que l'on connaisse les moyens de contourner ses pièges impose de lier un telephone a son compte Yahoo, certainement une requête de la NSA pour mieux cliquer les internautes… et paradoxalement Microsoft respecte plus la liberté de l'utilisateur avec Outlook (enfin tant qu'on est pas sous Windows et abonné a 360…)
La limite du truc c'est qu'avec continuité ... On reçoit le code directement sur l'appareil ... Et qu'un appareil peut se certifié lui même ... Enfin ça me paraît pas la panacée
Le message n'est pas envoyé à tout les appareils et un appareil non certifié n'est pas dans la liste de ceux qui peuvent recevoir un message.
Trop de sécurité tue la sécurité.
Vous imaginez une double vérification chaque fois que j'achète un truc sur l'appstore ou passe un appel FaceTime ?
Ça finirait vite de me gonfler pour désactiver le système et finalement revenir à moins de Sécurité.
C'est déjà bien et suffisamment chiant comme ça, pas besoin de plus.
PS: c'est comme exiger des mots de passe si complexe que finalement on finit par les noter...
@stephmouss :
Le gestionnaire de mots de passe si on le protège avec un loir de passe plus faible que ceux qu'il gère, on a tout perdu.
Expliquez la notion de "première" alors : première de toutes (pas grand intérêt), première après un reboot ? (Pas grand intérêt non plus vu le nombre de fois ou on redémarre nos bidules), première de la journée (pour les achats ça reviendra à systématiquement - je fais rarement plusieurs achats à la suite), etc.
Toi tu n'as pas compris ce qu'était une double authentification.
@Darth Philou :
La première fois avec un nouvel appareil, c'est pas difficile à comprendre ?
@iPotable :
Désolé mais ce n'est pas écrit.
Je trouve l'intérêt limité.
Ça permet de se protéger contre le vol de données stockées dans le cloud.
C'est le but et ça marche bien.
La double identification n'a d'intérêt que si elle est systématique!
Parler de double identification pour une "première" connection c'est pas de la double identification, c'est de la certification permettant d'identifier un personne nominativement!
Et le seul moyen de s'assurer de la sécurité de ses données c'est de ne JAMAIS les mettre sur le Cloud! Il est impossible, et l'histoire de l'informatique l'a démontrée a de nombreuses reprises, de certifier la sécurité d'un système centralise (typiquement le Cloud). Seul les systèmes repartis et les données isolées physiquement et chiffrées ( sur le cloud elle sont en claires!!!) sont certifiables.
Et si on veut pas perdre son argent avec les store et autres pièges du genre, on utilise des cartes cadeaux de faible montant (25 a 50 € max) pour charger sont compte et jamais au grand jamais il ne faut lier sa carte bancaire a un site Internet!
En utilisant différentes technique (brute force, social engineering, etc.) on peut trouver des mots de passe (ça a fait grand bruit avec certaines célébrités).
Avec une double vérification, ça ne marche plus comme ça. C'est bien plus sécurisé.
Je l'ai activé dès qu'elle a été disponible.
Ça marche très bien et je n'ai eu aucun soucis.
@stephmouss :
Non.
Sauf mal comprendu de ma part' on parle aussi de double vérification a chaque connection web à iCloud.com. Ce qui ne me surprendrai pas outre mesure puisque j'ai déjà un mail de warning a chaque connexion iCloud.com même si c'est un ordi qui a déjà servi pour ça peu de temps avant.
Et comme je me connecte à iCloud.com essentiellement quand je n'ai ni l'iPad ni l'iPod sous la main, je serais bien dans la merde !
A chaque connexion si on n'enregistre pas le Mac.
Une fois enregistré, on se log sans probème sur iCloud.
L'ordinateur devient fiable, mais ne permet pas de recevoir les messages de vérification.
Bref, le système est plutôt bien pensé.
@JoKer :
C'est bien ce que je dis, à chaque connexion ... Puisque je ne parle même pas forcément d'un Mac, voire même pas de bécanes qui m'appartiennent. Genre mon PC du t'affiche quand j'ai oublié mon iPod à la maison, ou directement le PC du gars qui veut savoir si je suis libre lundi à 15h, alors que je suis passé sans ma veste.
Enfin bref, même si toi tu as un iPhone, imagine qu'il soit tombé en rade pendant un voyage, et qu'il te faille faire avec l'ordinateur du hall de l'hôtel, et ben la validation avec ton iPhone en rade, ou avec ton mac à la maison, ça ne le fait plus.
@Phiphi :
Saleté de correcteur... Je parlais du PC du TAF et pas "d'affiches" :(
Je préfère plus de sécurité et quelques rares contraintes qui ne me touches pas.
@JoKer :
Ah ça je peux comprendre que les problèmes des autres ne te touchent pas... Mais bon ici le sujet c'était bien ce qui nous touche, en espérant qu'Apple nous lise et améliore un jour ... Vœu pieux :((
Améliorer quoi ?
Ça paraît logique que plus de sécurité impose plus de complication.
Si tu as une solution miracle autant en faire profiter tout le monde.
Une chose est sûr, Apple n'impose pas l'utilisation de la double vérification en pensant à des utilisateurs comme toi. De quoi tu te plaints ?
Avant ça fonctionnait sur l'Apple Tv c'était pratique
La double vérification concernant iCloud est très bien fait, on peut choisir plusieurs appareils de confiance. Un iPhone typiquement, mais aussi un iPad, ou encore, l'envoi d'un SMS sur un numéro de téléphone si on a pas d'iPhone ou d'iPad, ou au cas ou.
Personnellement, j'utilise toujours le double vérification quand c'est possible ça ne veut pas forcément dire qu'il est nécessaire à chaque fois d'utiliser le code envoyé. Mais une fois pour un appareil donnée par exemple.
Personnellement, je l'utilise avec quelques comptes dont bien sûr compte admin de mon NAS Synology, Dropbox, compte Gmail, Battle.net, evernote. Bref à chaque fois que c'est possible.
Ce n'est absolument pas contraignant. Pour moi c'est vraiment une plus grande sécurité.
Concernant 1password ou un autre gestionnaire de mots de passe. Quelqu'un était contre sur ce fil de discussion. Mais honnêtement, je ne vois vraiment pas comment faire pour avoir un Mode de passe complexe, aléatoire, est différent pour chaque site et pour tout retenir.
mais le fichier de 1Password, synchroniser par Dropbox, et sauvegarder automatiquement régulièrement. de plus, j'effectue une sauvegarde automatique incrémentale à la manière de Time Machine (Time backup) sur mon NAS, avec la synchronisation Dropbox de Cloud Sync du NAS. Du coup, sur les fichiers et sauvegarder de manière redondante. Et pour perdre Intel mot de passe maître, il faut vraiment en vouloir. Ça fait partie des mots de passe qu'on utilise le plus, avec celui de sa carte bancaire, et quelques autres. Au cas ou, je l'ai quand même noté ailleurs en sécurité sans qu'on puisse faire le lien.
Faux. Encore hier on m'a demandé une vérification pour me connecter à l'App Store. Au moment de télécharger une app, après m'être authentifié.