Comment utiliser Touch ID dans le Terminal (commande sudo)

Stéphane Moussie |

Touch ID est très pratique sur MacBook Pro Touch Bar, mais il arrive parfois que ce soit le mot de passe classique qui soit demandé, ce qui est un peu frustrant quand on a pris l’habitude de poser son doigt sur le capteur d'empreintes dans le coin en haut à droite.

Tout ce qui touche assez profondément au système (préférences de Sécurité et Utilisateurs, Trousseaux d’accès…) nécessite le mot de passe. Ce choix est compréhensible : le mot de passe est plus sécurisé que Touch ID.

Néanmoins, si vous voulez profiter de Touch ID plus largement, Der Flounder livre une astuce pour l’utiliser avec la commande sudo dans le Terminal. sudo permet d’exécuter une commande comme superutilisateur, autrement dit avec tous les droits. Comme c’est une commande superpuissante, elle est à manier avec précaution. On vous déconseille de la bidouiller si vous n’êtes pas sûr de ce que vous faites.

La mise en garde étant faite, ouvrez le Terminal, et commencez par enregistrer le fichier qui gère les autorisations en saisissant la commande suivante :

sudo cp /etc/pam.d/sudo /etc/pam.d/sudo.bak

Saisissez votre mot de passe. Ensuite, entrez cette commande pour modifier les autorisations :

sudo nano /etc/pam.d/sudo

Ajoutez la ligne suivante au début du fichier, et enregistrez :

auth sufficient pam_tid.so

Dorénavant, à chaque fois que vous exécuterez la commande sudo (vous pouvez essayez avec sudo date qui affiche simplement la date), vous pourrez utiliser Touch ID à la place de votre mot de passe pour vous authentifier.

avatar bheji | 

Parfait pour la confidentialité quand tu effectues des manip avec commande sudo quand tu n'est pas tout seul.

avatar matvdg | 

Merciiiiiiiiiiiiiiiii pour tout pour ce tip !!! ♥️ j'en rêvais de Touch ID pour le terminal, ça marche super !!!! Je vous aime !!!

avatar michaelwestindies | 

Salut comment est ce que l on fait pour enregistrer ?

avatar LeComFou | 

Control X et appuie sur Y après.

avatar Bardyl | 

C'est marqué dans l'interface de Nano.
Ctrl + x -> y (ou o si ton interface est en français) -> enter.

avatar bompi | 

Toucher à la configuration de la politique d'authentification n'est pas anodin.

Il faut avoir à l'esprit que cette modification peut être révoquée à tout moment par une mise à jour du système (patch de sécurité, version mineure, version majeure).

avatar Yodajr | 

«  le mot de passe est plus sécurisé que Touch ID. »
Mais pourquoi tout le monde dit ça ? Apple pense pareil, en mettant le mdp comme sécurité au dessus du touchID/faceID.
Mais comment un banal code de 4 chiffres (voir 6) peut être plus sécurisé qu’une reconnaissance biométrique ? (bon là je sors du cadre, l’article parle du mdp du Mac, mais bon)
Un mdp peut être deviné ou espionné, pas une empreinte ou un visage !

avatar harisson | 

@Yodajr

Le mot de passe sur un ordinateur n'est pas obligatoirement composé de 4-6 chiffres (il ne vaudrait mieux pas d'ailleurs ^_^).

avatar C1rc3@0rc | 

@Yodajr

«Mais pourquoi tout le monde dit ça ? Apple pense pareil, en mettant le mdp comme sécurité au dessus du touchID/faceID.»

Explication simple:
Il faut considerer l'ordinateur comme une maison et le mot de passe comme la clef de la serrure de la porte d'entree.
Pour qu'on parle de securite il faut que la serrure accepte une seule cle... c'est le minimum obligatoire!!!

S'il y a - meme theoriquement - plusieurs cles qui peuvent ouvrir la serrure, alors l'acces a la maison n'est pas securisé!

Le systeme par code d'acces accepte un seul code. C'est donc securisé.
Meme si le code est facile a decouvrir, l'acces non legimite se fera par piratage.

Les systemes biometriques acceptent plusieurs "cles". On voit bien le probleme avec la reconnaissance faciale de l'iPhone X avec les sosies...

Meme si on est dans un cas difficile a contourner comme la reconnaissance d'empreinte evoluée, le systeme n'est pas par definition securisé. Si on a reelement besoin de securité, soit il faut un systeme a code, soit il faut un systeme biometrique doublé d'un code ou d'un autre moyen de controle securisé...

Voila pourquoi le code est necessaire. Les systemes biometriques d'Apple sont des gadgets, des raccourcis, mais en aucun cas ce sont des systemes securisés.

avatar mat 1696 | 

@Yodajr

Tout à fait ! Je ne comprends pas non plus !

avatar amnesic | 

"Un mdp peut être deviné ou espionné, pas une empreinte ou un visage !"
Une empreinte tu la laisses trainer partout, ton visage, à moins de porter une cagoule, peut être capté très facilement aussi. Alors oui, le mot de passe aussi, la différence : il est (et doit être) révocable ce qui est plus difficile avec un système biométrique.

avatar Zara2stra (non vérifié) | 

Pour revoquer son visage on va chez le chirurgien esthetique;
Pour revoquer ses empreintes on le fait a l’oleum (acide sulfurique fumant, c’est a dire pur a plus de 90%) ou de l’eau regale (1 vol HNO3 + 2 vol HCL) fumante.

avatar Bigdidou | 

@Zara2stra

"Pour revoquer ses empreintes on le fait a l’oleum (acide sulfurique fumant, c’est a dire pur a plus de 90%) ou de l’eau regale (1 vol HNO3 + 2 vol HCL) fumante."

Ça chatouille ou ça grattouille ?

avatar mmmathieu | 

@Bigdidou

Ça aille ouille ???

avatar harisson | 

@Bigdidou

Et après on devient un "humanonymous" parce qu'on ne peut plus recréer une nouvelle empreinte.

avatar Yodajr | 

Vous êtes sérieux ? Vous pensez que c’est plus courant que quelqu’un récupère l’empreinte sur un verre comme dans les films et fasse une fausse empreinte synthétique que votre mdp soit deviné ou juste observé au dessus de votre épaule ?

Oui le mdp du Mac c’est déjà mieux c’est vrai, je l’ai dit.
Donc pour mon indignation, je reste sur iOS.
Le code à 4 ou 6 chiffre, c’est équivalent niveau sécurité aux antivols de vélo à 3€99.
Comme si la porte de la maison était sécurisée par une porte blindée serrure 3D 8 points... mais que si on se trompe de clé 3 fois, pouf on pouvais entrer dans la maison via la clé de l’antivol à vélo.

avatar harisson | 

@Yodajr

Tu veux absolument sortir du cadre de la news en généralisant l'expression. Ce qui est vrai dans un cas (mdp sans contraintes) ne l'est pas forcément dans un autre (mdp contraints de 4-6 chiffres).

avatar watermelon | 

Si un code à chiffres est plus sécurisé si une empreinte digitale, c est pour 2 raisons :
- un code (un password en général), s il est compromis, peut être changé.
- un code constitué de 6 chiffres représente 1 million de combinaisons différentes, alors que pour Touch ID Apple a dit qu il y avait environ 1 chance sur 30000 qu une empreinte tierce soit en fait validée par le système.
Pour ces 2 raisons, et d ailleurs surtout la première, un code reste plus sécurisé.
Alors évidemment si on utilise un code à 4 chiffres, le nombre de combinaisons possibles est inférieur à Touch ID, mais encore une fois le critère 1 l emporte : admettons que quelqu’un souhaite trouver votre code. Il peut essayer de taper toutes les combinaisons jusqu’à trouver la bonne (avec tous les délais introduits par l OS en cas de saisie erronée, ça peut prendre du temps, même à 4 chiffres) et entre temps vous pouvez avoir changé le code, il faut donc recommencer la recherche..
Si par contre votre empreinte est compromise (il existe des moyens de collecter et reproduire une empreinte) alors si c était le seul moyen de sécurité, alors c est comme dire que votre chef unique est dans la nature et vous ne pourrez plus jamais être en sécurité.

avatar Yodajr | 

@watermelon

(Harrison a raison, je suis HS avec la News)

Mais je ne suis pas vraiment d’accord.
Si on me vole mon iPhone, comment je peux changer mon code ?
Je ne parlais pas de tentative de trouver le code par force brute, mais juste de la banale intelligence : dates de naissances, codes standard (0000, 1234,..).
Voir même comme je le disais, juste de l’observation.
Eric de la compta ne saura jamais ni connaîtra jamais quelqu’un sachant copier une empreinte digitale ou de visage, par contre il peut très bien juste jeter un œil quand je tape mon code.
Et là mon code sera compromis sans même que je le sache.

Je veux dire que oui bien sûr que c’est possible de copier empreinte/visage. Mais les gens capables de faire ça auront mon code bien plus facilement. C’est très facile de forcer l’iPhone à demander le mdp, puis d’observer.
Même moi j’en suis capable :)

avatar watermelon | 

@yodajr

Dans le cas où on te vole ton téléphone, il existe d autres mécanismes mis en place par Apple, comme le fait de pouvoir désactiver le device a distance ou même l effacer. De plus, il est évident que mettre un code facile à trouver n est pas une bonne idée, surtout si on choisit d utiliser 4 chiffres. Mettre 0000 comme code n est pas très malin, et aucun système de sécurité ne peut être efficace si le maillon faible est l utilisateur.. par analogie, si tu as chez toi la porte blindée la plus épaisse possible, avec le meilleur verrou, mais que tu laisses ta fenêtre ouverte dans le salon, alors ta porte ne sert à rien..
Dans l exemple que tu donnes, c est justement pour ça qu au quotidien on conseille aux gens de taper leur code de CB à l abri des regards, si tu ne prends pas la même précaution avec ton téléphone alors le maillon faible dans la chaîne de sécurité c est toi.. Et puis de toutes façons avec Touch ID ou Face ID tu n est pas censé taper ton code trop souvent, donc ça n est pas très contraignant de faire plus attention à qui se trouve autour de toi quand tu dois le taper.
En conclusion, il ne faut pas comparer l usage d un code, Face ID, Touch ID ou l identification à deux facteur comme des moyens de sécurité à mettre en concurrence, mais plutôt la combinaison de chacun d eux associés à une bonne utilisation pour te garantir le meilleur niveau de sécurité tout en étant ergonomiquement suffisamment confortable au quotidien.

avatar king péa | 

Moi j'aimerais bien que Mac OS X me demande mon empreinte pour tous les champs de mot de passe.

cette disparité dans les demandes de mots de passe est vraiment stupide.
les préférences système me demandent mon mot de passe, alors qu'installer un logiciel ca me demande mon empreinte...

vraiment pas terrible

avatar Bcpst | 

Plus de sudo via ssh une fois activé.

avatar bunam | 

Une petite expiration forcée (sudo met en place un timoute ou on n'a pas besoin de redonner le mot de passe, 5 minutes par défaut (man sudo)
sudo -k

afin de tester dans la foulée de la mise en place du bince :
sudo date

CONNEXION UTILISATEUR