Vérification en deux étapes d'Apple : un faux départ et iCloud à l'air libre

Stéphane Moussie |
Apple a fait les choses à moitié sur la vérification en deux étapes pour l’identifiant Apple. Cette fonctionnalité est censée améliorer la protection de l'Apple ID qui sert à se connecter à iTunes, iCloud et l'App Store, entre autres.



Le processus d'authentification en deux étapes, qui est en train de se généraliser sur le web (Facebook, Google et Dropbox l'ont déjà adopté), consiste à recevoir sur un appareil de confiance un code de sécurité lorsque l'on se connecte à partir d'un nouveau terminal.

La vérification en deux étapes, comme l'appelle Apple, est arrivée dans cinq pays anglophones en mars : États-Unis, Royaume-Uni, Australie, Irlande et Nouvelle-Zélande. Quelques semaines plus tard, le 10 mai exactement, la fonction est arrivée dans une dizaine de nouveaux pays, dont la France... avant d'en disparaître.

À la rédaction, seul un journaliste sur les cinq a pu activer la vérification en deux étapes — qui continue par ailleurs de fonctionner normalement chez lui. Chez les autres, la fonction est tout simplement absente de la page "Mot de passe et sécurité" où elle devrait figurer. Vous avez été plusieurs à nous faire part de ce constat dans les commentaires également. Sur la page support de cette option de sécurité, Apple indique qu'elle est seulement disponible dans les cinq pays anglophones suscités. La vérification en deux étapes a donc tout l'air d'avoir connu un faux départ le 10 mai. Celui-ci est assez étonnant tant tout semblait en place (le service fonctionne en France, il a été traduit dans différentes langues...).



Vladimir Katalov, le patron d'une entreprise spécialisée dans la sécurité informatique, pointe par ailleurs une carence dans ce système. Il ne fonctionne en effet que pour trois types d'événement :

- La connexion sur la page Mon identifiant Apple pour gérer son compte.
- La réalisation d'un achat dans iTunes, dans l’App Store ou dans l’iBookstore sur un nouvel appareil.
- Une demande d'assistance, auprès d’Apple, avec l'identifiant.

Or, un élément critique comme la restauration iCloud n'est pas protégée par la vérification en deux étapes. Même si cette fonction est activée, quelqu'un qui connaîtrait votre identifiant Apple et votre mot de passe n'aurait pas besoin du code de sécurité pour restaurer votre sauvegarde iCloud sur un autre terminal iOS. Apple a-t-elle retardé l'arrivée de l'option de sécurité en France et ailleurs pour l'améliorer ? Rien n'est moins sûr.

Tags
avatar eseldorm (non vérifié) | 
Oui. D'ailleurs, c'est comme la Suède. Mais vous Français passerez avant et nous auront quelque chose de parfait. Voilà, j'espère avoir éclaire votre fin d'article indécise :p
avatar DamienLT | 
Pour l'ipad et l'iPod Touch pas de problème mais quand on a un seul iPhone (donc une seule carte sim) et qu'on le restaure on fait comment pour recevoir le code ? Cela fonctionne aussi via une autre adresse email ou seulement via un numéro de téléphone (comme Facebook) ? Sinon je ne vois pas comment on pourrait recevoir le fameux code par SMS... pendant que le téléphone est en pleine restauration...
avatar Hialmar | 
Quand je l'ai activé il y avait un truc pas fini : En théorie on pouvait donner un numéro de téléphone mobile pour qu'il puisse envoyer le code par SMS mais c'était actif que pour les numéros des 5 pays anglophones... Ils ont peut-être fait machine arrière en attendant de rendre cette fonctionnalité possible en France.
avatar Hialmar | 
Je viens de vérifier et c'est toujours le cas, quand je clique sur "Ajouter un numéro de tél. capable de recevoir des SMS…" il ne me propose que des numéros US/Canada, GB, Irlande, Australie et NZ.
avatar Hialmar | 
@Damienlt oui c'est clair qu'il vaut mieux avoir 2 iDevices tant que le système d'envoi par SMS ne marche pas encore...
avatar lmouillart | 
Je ne comprends pas les éditeurs (Microsoft / Apple) qui n'utilisent pas Google Authenticator, la licence est souple (Apache 2), et au moins le processus serait identique pour ces sites web/services.
avatar Nicolarts | 
Non merci Google Authenticator ! J'ai déjà des ennuis avec ce app. Plus jamais d'utiliser. Je préfère plutôt un sécurité via SMS ! Et pas encore en Suisse :'-(
avatar vincentbls | 
Evernote vient de s'y mettre aussi (Google Authenticator ou SMS).
avatar Avenger | 
Ce qui m'a toujours surpris, chez Apple, c'est qu'ils sont capables de prouesses pour sortir quelque chose de nouveau, mais ont très souvent des problèmes à offrir des services connus et maîtrisés par les concurrents. Ils ont du mal avec le proverbe "Qui peut le plus, peut le moins." :-)
avatar CKJBeOS | 
@lmouillart : je pense que l'amour entre ces boites n'est pas terrible, et les services que google "donne" ne reste pas indéfiniment gratuit ;( donc...
avatar villeroy | 
Dashlane propose Google Authenticator, il le conseil même pour plus de sécurité. Je l'utilise sans problème !!
avatar Hari-seldon | 
@lmouillart : Pourquoi irait il encore utiliser un service de Google ils sont pas fous c est leur premier concurrent. Sur des trucs comme maps et YouTube passe encore car guère le choix mais pour le reste ....
avatar lmouillart | 
Google Authenticator n'est pas un service (ne pas confondre avec "Google Account"). C'est juste une bibliothèque gratuite, libre, sous la même licence qu'affectionne Apple. L’intérêt que c'est qu'il y a des clients pour iOS, windows phone, android, le html etc ... Les mécanismes de sécurité à deux étapes sont suffisamment embêtant pour ne pas avoir différentes manières non compatibles de faire. ps : j'ai dit des bêtises pour Microsoft, en fait je l'utilise déjà pour mon compte live.fr (ainsi que pour fb, dashlane, et dropbox).

CONNEXION UTILISATEUR