Fermer le menu

sécurité

L'identification en deux étapes disponible en Belgique et en Suisse

| 17/07/2014 | 18:00 |  

La validation en deux étapes pour les identifiants Apple est désormais disponible dans 59 pays. La Foire aux questions du constructeur au sujet de cette fonction a été mise à jour avec la liste de tous les pays où les utilisateurs pourront utiliser cette option — même si ça n'est pas encore le cas sur la page en français, qui se contente encore de onze pays. La Belgique, la Suisse et le Luxembourg rejoignent officiellement la liste qui comptait la France depuis le mois de février (lire : Identifiant Apple : la validation en deux étapes disponible en France).

Apple officialise ici la présence de plusieurs pays qui disposaient déjà de la validation en deux étapes. Cette fonction offre un surcroît de sécurité en ajoutant une étape lors de l'authentification d'un utilisateur. Cela passe par la validation des appareils de confiance, sur lesquels on recevra le code d'identification envoyé par Apple (il faudra au préalable avoir activé la fonction Localiser mon iPhone). Outre les terminaux wi-fi de type iPad ou iPod touch, il est aussi possible d'ajouter un iPhone afin de recevoir le code à quatre chiffres par SMS.

Le processus implique également l'envoi d'une clé de secours au cas où on a oublié son mot de passe et/ou si on n'est pas en possession d'un de ses appareils de confiance. Il est impératif de disposer d'une connexion à internet pour pouvoir utiliser l'authentification en deux étapes.

Dashlane 3 améliore le partage des mots de passe

| 16/07/2014 | 15:34 |  

Le gestionnaire de mots de passe et de données confidentielles Dashlane [Français – Gratuit (achats in-app) – OS X 10.7] poursuit son petit bonhomme de chemin. Dans sa troisième version majeure disponible aujourd'hui (elle devrait très bientôt arriver dans le Mac App Store), ce sérieux concurrent à 1Password intègre une fonction pour partager plus facilement ses mots de passe avec ses amis, collègues ou membres de la famille.

Le Centre de partage permet aussi bien d'envoyer les invitations à ses contacts que de gérer leurs droits et consulter les mots de passe partagés par d'autres utilisateurs. Ces données sont synchronisées : si un de vos collègues a changé le mot de passe partagé du compte iTunes, il n'a pas à renvoyer ce nouveau mot de passe ni même besoin de vous prévenir puisque l'élément est mis à jour automatiquement dans votre Dashlane. Cela sous-entend donc que les deux personnes utilisent Dashlane.

Dashlane 3 introduit aussi les contacts d'urgence. Ces contacts spéciaux peuvent accéder aux données (en lecture uniquement) de l'utilisateur qui se trouve dans l'embarras. L'utilisateur définit s'il veut rendre accessible l'intégralité de ses mots de passe et de ses notes ou seulement certains d'entre eux.

Dashlane est en partie gratuit : on peut utiliser ses fonctions de base sur ordinateur sans mettre la main à la poche. Pour profiter de fonctions supplémentaires (sauvegarde dans le nuage, données accessibles sur le web, support prioritaire) et de l'application iOS, il faut prendre un abonnement à 29 € par an.

Apple a activé le chiffrement intégral des mail iCloud

| 15/07/2014 | 16:16 |  

Apple chiffre désormais les messages qui quittent ses serveurs à destination d'autres services de messagerie que le sien. Ce changement est intervenu après la mise en évidence d'un retard en la matière (lire Confidentialité : iCloud va améliorer son transit). Mi-juin, un outil de Google montrait qu'aucun des courriers en provenance des serveurs d'Apple et entrant sur Gmail n'était protégé des regards indiscrets pendant son voyage. Désormais, la même requête montre un chiffrement quasi intégral.

Mi-juin

Une nouvelle critique subsiste toutefois. D'après le site allemand Heise, spécialisé en sécurité, Apple a choisi l'algorithme de chiffrement RC-4. Une méthode simple, rapide d'exécution, connue et largement utilisée mais dont l'efficacité a été régulièrement remise en question. A plusieurs reprises des chercheurs ont trouvé des moyens - plus ou moins aisés à mettre en place - pour intercepter le contenu des informations ainsi chiffrées. Heise loue l'effort d'Apple pour mieux le critiquer ensuite, en parlant des techniques de déchiffrement en temps réel que maitriseraient la NSA.

Aujourd'hui

Apple forte en mots de passe contrairement à Showroomprive

| 11/07/2014 | 11:45 |  

La politique de mots de passe d'Apple est excellente, note Dashlane. L'éditeur du gestionnaire de mots de passe du même nom a mené une étude sur les mesures de sécurité prises par une quarantaine de sites web populaires. Ce baromètre de la sécurité réalisé au mois de juin porte spécifiquement sur les latitudes offertes par chaque site en matière de mots de passe. Si un site permet d'utiliser « azerty » ou « 1234 », des sésames très faibles car très courants et trop simples, il récolte une note négative.

Pour son étude, Dashlane a défini 22 critères de notation : longueur minimale autorisée, utilisation obligatoire de caractères alphanumériques, indicateur de robustesse, verrouillage du compte après 10 tentatives de connexion infructueuses... Un critère rapporte une note positive s'il contribue à la sécurité, et une note négative s'il constitue un risque, d'où les scores négatifs de certains sites.

D'après ce barème, Apple fait donc un sans-faute. Les restrictions qu'elle impose permettent notamment de créer un mot de passe suffisamment fort pour ne pas être découvert facilement. Le service live.com de Microsoft et UPS font eux aussi partie des bons élèves.

Impossible d'utiliser « azerty » comme mot de passe et Apple explique clairement pourquoi.

C'est Showroomprive qui porte le bonnet d'âne avec un très mauvais score de -82,5. On peut par exemple utiliser « motdepasse » sans que le site n'y trouve rien à redire.

Dashlane a par ailleurs comparé la politique des sites avec les mots de passe utilisés par ses utilisateurs (l'entreprise a utilisé des statistiques anonymes de robustesse — le logiciel attribue des notes pour chaque sésame — sans accès aux mots de passe eux-mêmes). Sans surprise, il y a une corrélation entre les deux : plus le site est exigeant, plus le mot de passe est fort. Dashlane note tout de même que pour certains services (OVH, Evernote, Mailchimp...) les utilisateurs vont au-delà des exigences faibles. Il y a aussi le cas à part d'Air France. Pratiquement 80 % des clients de la compagnie aérienne utilisent un code PIN comme seule protection.

Si vous voulez améliorer la sécurité de votre compte Apple (qui sert à iTunes et iCloud entre autres), nous vous conseillons d'activer la validation en deux étapes. Ce dispositif qui ajoute une étape de validation avec un second appareil fonctionne sur la page Mon identifiant Apple, lorsque l'on effectue un achat depuis un nouvel appareil et est en train d'être déployée sur iCloud.com. Rappelons enfin qu'un mot de passe fort ne protège pas du phishing. Vérifiez bien l'authenticité des sites sur lesquels vous vous connectez.

Mise à jour de sécurité pour Flash

| 08/07/2014 | 21:31 |  

Adobe distribue une mise à jour de sécurité pour Flash. Elle corrige des failles qualifiées d'importantes et potentiellement exploitables ou déjà exploitées par des malandrins. Les précédentes versions 14.0.0.125 et 11.2.202.378 sont donc mises à jour vers une 14.0.0.145.

Apple propose un adaptateur antivol pour Mac Pro

| 02/07/2014 | 07:20 |  

Alors que plusieurs accessoiristes proposent des produits de ce genre, Apple propose désormais son propre « adaptateur pour verrous de sécurité » pour Mac Pro. Il s’agit d’une pièce métallique qui se fixe à la coque du Mac Pro, permettant de sécuriser la machine et de bloquer l’accès aux composants internes à l’aide d’un verrou antivol.

Cet accessoire vendu 49 € est compatible avec les verrous de type Kensington, notamment ceux qui sont distribués dans l’Apple Store :

L’adaptateur se fixe sans outils et, en théorie, sans endommager le boîtier du Mac Pro.

La vérification en 2 étapes arrive sur iCloud.com

| 01/07/2014 | 06:00 |  

Apple teste actuellement la vérification d'identité en 2 étapes sur iCloud.com. Le dispositif est soit en test soit en phase de déploiement progressif, mais tout le monde ne l'a pas encore. À terme, on devrait tous pouvoir activer cette mesure de sécurité additionnelle mais optionnelle.

Une fois fait, lorsqu'on s'identifie sur iCloud.com avec son mot de passe habituel, un code à 4 chiffres est envoyé par Message vers des téléphones ou tablettes de confiance que vous avez préalablement enregistrés.

Toutes les webapps sont verrouillées, sauf celle de localisation de son iPhone

Ce sésame à 4 chiffres permet de déverrouiller complètement l'accès à votre compte iCloud sur le web et à ses applications. Normalement, cette opération en deux temps n'est à faire qu'une seule fois, lorsque vous vous connectez depuis une machine ou un appareil iOS pour la première fois.

Le principe est le même que celui entré en vigueur pour accéder à son Apple ID, nous l'avions décrit lorsqu'il avait été activé en France en février dernier (lire Identifiant Apple : la validation en deux étapes disponible en France).

AppleInsider, dont un lecteur a constaté l'apparition de ce service, précise que l'utilitaire Localiser n'est pas verrouillé en accès. Il est en effet essentiel qu'il reste utilisable à tout moment. En particulier en cas de perte ou de vol de son iPhone, surtout si ce dernier est le seul à pouvoir recevoir le code d'identification…

Les racketteurs "Oleg Pliss" auraient été arrêtés

| 10/06/2014 | 07:46 |  

Les responsables du racket à base de verrouillage d’appareils iOS à distance découvert à la fin du mois dernier (lire : Sécurité : retour sur les tentatives de racket Oleg Pliss) auraient été appréhendés par les autorités russes. Du moins, c’est ce que rapporte le Sydney Morning Herald qui précise que les deux suspects seraient deux jeunes de 17 et 23 ans, pris sur le fait alors qu’ils retiraient de l’argent d’une de leur victime à un distributeur de billets.

Pour mémoire, les victimes, notamment australiennes, ne pouvaient plus utiliser leur appareil et un message les incitait à payer entre 50 et 100 $ pour retrouver l’usage de l’iPhone ou de l’iPad concerné. Pour leur méfait, les « hackers » cachés sous le nom d’Oleg Pliss n’auraient pas exploité de faille du côté d’iCloud, comme l’indiquait d’ailleurs Apple dès le lendemain (lire : Apple nie toute responsabilité dans le blocage par iCloud). Leur méthode serait beaucoup plus simple, puisqu’ils n’auraient agi qu’avec du phishing.

De façon plus originale, les deux Russes auraient aussi vendu des comptes iTunes Store en faisant miroiter un contenu important (musique et films) déjà associé au compte. Pour activer ce compte, les victimes devaient l’activer sur leurs appareils, ce qui laissait ensuite une porte dérobée pour le verrouillage et la demande de rançon. Comme on le voit, ce n’est pas un hack de haute volée, mais plutôt un pari bien mené sur la crédulité de la majorité des utilisateurs.

On ne le dira jamais assez : méfiez-vous de tous les mails soi-disant envoyés par Apple ou une boutique, et n’achetez jamais rien d’aussi important qu’un compte iTunes à un tiers. Pour éviter tout phishing, le mieux est encore d’enregistrer les bonnes URL (par exemple appleid.apple.com/fr/ pour gérer son iTunes ID) et en cas de doute, de ne pas ouvrir le lien du mail, mais de passer par le favori dans le navigateur.

Google va sortir une extension Chrome pour chiffrer ses emails

| 04/06/2014 | 13:30 |  

Google essaye de se refaire une virginité en matière de confidentialité en annonçant un outil pour chiffrer facilement ses emails dans Gmail. Baptisé End-To-End, cet outil basé sur OpenPGP (un standard de chiffrement libre) prendra la forme d'une extension Chrome, le but étant de rendre ce moyen de sécurisation utilisable sans connaissances techniques.

Pour l'heure, Google a juste publié le code source d'End-To-End afin que tout un chacun puisse l'examiner et combler les éventuelles failles avant son arrivée dans le Chrome Web Store. Des récompenses pécuniaires sont d'ailleurs prévues pour les meilleurs fouineurs.

Tel qu'il est présenté actuellement, End-To-End ne sera utilisable que sur le site web de Gmail ouvert dans Chrome. Google rappelle qu'OpenPGP ne chiffre pas l'objet de l'email ni le(s) destinataire(s), seul le corps du courrier est protégé.

Par ailleurs, on se demande comment Google compte associer ce chiffrement de bout en bout avec son modèle économique qui consiste à lire le contenu des emails pour afficher des publicités ciblées. Le géant du net n'en dit rien pour le moment. Il a en tout cas ajouté une nouvelle section à son rapport de transparence consacrée aux emails. On peut observer quels services chiffrent les courriers avec le protocole TLS pendant leur acheminement.

Apple nie toute responsabilité dans le blocage par iCloud

| 28/05/2014 | 08:44 |  

Apple n’avait pas encore réagi face à la tentative de racket par blocage d’appareils iOS découverte hier (lire : Sécurité : retour sur les tentatives de racket Oleg Pliss). C’est désormais chose faite et le constructeur réfute auprès de ZDnet toute responsabilité de sa part dans cette affaire :

Apple prend la sécurité très au sérieux et celle d’iCloud n’a pas été compromise par cet incident. Les utilisateurs concernés doivent changer le mot de passe de leur Apple ID dès que possible et éviter d’utiliser les mêmes identifiants pour plusieurs services.

Rappelons que certains utilisateurs en Australie, mais aussi aux États-Unis et même en Europe ont eu la surprise de voir leurs appareils iOS bloqués par la fonction Localiser mon iPhone. Si quelqu’un récupère vos identifiants iCloud, il peut non seulement suivre vos appareils et donc vos déplacements, mais il peut aussi les bloquer et même les effacer à distance. Apple ayant affirmé que la sécurité de son service n’a pas été remise en cause, il est probable que les hackers ont tout simplement récupéré les mots de passe d’utilisateurs pour les bloquer manuellement.

On ne sait pas encore comment ces identifiants ont été récupérés, mais du classique mail d’hameçonnage au court-circuitage des serveurs d’Apple par DNS, les moyens ne manquent pas pour récupérer un mot de passe. Dans tous les cas, cet incident rappelle l’importance de son compte iCloud. On n’est jamais trop protégé et mieux vaut, si ce n’est pas déjà le cas, activer la protection du compte en deux étapes pour limiter au maximum ce genre de problèmes.

@SecurityWeek

Pages