Deux ans après Google, Apple renforce la sécurité de ses comptes avec le principe de la double authentification. Le but est de renseigner deux codes de sécurité afin d'éviter que le compte ne soit menacé si l'un d'eux est en possession d'une personne malveillante.

L'année dernière, une drôle de mésaventure était arrivée au journaliste américain Mat Honan. Son compte iCloud s'était fait pirater par un assaillant qui avait exploité les avantages de l'ingénierie sociale pour obtenir la réinitialisation du mot de passe à une autre adresse de courrier électronique que celle attachée au profil iCloud. De fil en aiguille, le pirate a pu ensuite accéder à d'autres comptes du journaliste.

Depuis cet incident, l'entreprise américaine s'est engagée à améliorer la sécurité de ses services. Si la situation est encore loin d'être idéale, en témoigne ce nouvel incident repéré par The Verge au niveau de la procédure de réinitialisation du mot de passe, des décisions encourageantes ont été prises. Ainsi, Apple se convertit désormais à la double authentification.

Également baptisé authentification forte, ce dispositif fait intervenir deux codes différents lors de l'identification. Le premier est le mot de passe, qui doit respecter certaines recommandations pour être utile, tandis que le second est une série de chiffres générés aléatoirement. Cette suite, valide quelques secondes, est ensuite renouvelée dans l'application mobile qui la génère et qui est rattachée au compte.

Il s'agit d'une méthode très solide. Même si le mot de passe est découvert, l'attaquant ne pourra rien faire car il n'aura pas renseigné l'autre champ. À l'inverse, si le mobile qui a l'application générant le code est volé, il manquera toujours le mot de passe (à moins que l'usager l'ait noté à l'intérieur…). S'il existe bien sûr des situations où l'attaquant peut obtenir les deux informations, elles demeurent très rares.

En outre, le risque de voir ces situations se produire peut être contré par quelques mesures simples. En protégeant l'accès au mobile par un mot de passe par exemple, ce qui évitera à l'attaquant d'accéder trop facilement à l'application qui génère le code aléatoire. Ou encore en utilisant un mot de passe par service, afin de limiter la casse si l'un d'eux est découvert.

Outre Apple, des entreprises comme Google, Dropbox, Blizzard et ArenaNet proposent une protection similaire. Dans un premier temps, la double authentification est déployée dans les régions anglophones (USA, Royaume-Uni, Irlande, Australie et Nouvelle-Zélande). Au fur et à mesure, Apple étendra cette sécurité à ses clients situés dans d'autres zones linguistiques.

Une foire aux questions est disponible.


Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.