Le début de l’année rime avec sécurité chez Apple. Mercredi 18 janvier, la firme de Cupertino fait trois annonces sur ce terrain, pour rassurer une nouvelle fois sur sa volonté de tenir ses promesses en matière de confidentialité. Des déclarations qui s’inscrivent dans une série d’autres communications, avec la mise au point d’un mode de « protection extrême » ou un blindage accru d’iCloud. (Parallèlement, Apple a aussi annoncé de nouveaux produits, comme les MacBook Pro, le Mac mini et le HomePod 2.)
Apple s’ouvre aux clés de sécurité physiques pour l’identifiant Apple
iOS 16.3, qui sera disponible la semaine du 23 janvier (sûrement le lundi même, en début de soirée), va apporter une nouveauté aux iPhone et iPad. Grâce à cette mise à jour, il sera possible d’utiliser des « clés de sécurité » (une approche qui existe déjà depuis des années) pour se connecter au compte de son identifiant Apple. Cette clé s’avère être un objet physique qui consiste à améliorer la résistance de l’authentification à deux facteurs — aussi appelée double authentification. L’idée est d’éviter le code par SMS et de le remplacer par un élément physique, impossible à obtenir à distance.
Chez Apple, la double authentification est en place depuis 2015 et est utilisée par 95 % des comptes iCloud actifs. Cependant, jusqu’à présent, l’authentification à deux facteurs ne permettait pas d’utiliser un bien matériel. Apple y voit une manière de rendre les attaques contre les comptes plus difficiles à aboutir (comme un hameçonnage), puisqu’il faudrait avoir accès physiquement à ce matériel. De fait, la surface d’attaque est encore plus réduite.
Ici, Apple entend profiter de l’écosystème existant en autorisant le recours à des clés de sécurité matérielle tierces (et pourquoi pas clé de sécurité Titan de Google ?). À Numerama, un représentant d’Apple a indiqué que ces clés peuvent être diverses dans leur fonctionnement. Par exemple, il est possible de recourir à des clés utilisant une vérification biométrique (en l’espèce, un appui dessus pour lire l’empreinte digitale).
Reste une question : à qui s’adresse ce type d’appareil ? Tout le monde peut y avoir accès suggère Apple. Cependant, il a été conçu en ayant en tête des profils plus exposés, comme des journalistes, des membres de gouvernement ou des célébrités. Ces profils peuvent être davantage pris pour cible, y compris par des assaillants déterminés et ayant une capacité d’action élevée.
iMessage a aussi droit à une mise à jour de sécurité
Autre annonce du jour : la « vérification des clés de contact pour iMessage ». Cette fonctionnalité consiste à vérifier la fiabilité de la liaison avec une autre personne utilisant iMessage, en comparant les codes de vérification des contacts — par exemple sur FaceTime ou par le biais d’un autre service d’appel sécurisé.
Ce type de fonctionnalité existe sur d’autres services de messagerie : WhatsApp a aussi un outil de confirmation de code de sécurité, tout comme Signal. Pour ces deux plateformes comme pour iMessage, la vérification peut se faire lorsque l’on se trouve au même endroit que son contact, pour vérifier la correspondance du code. Mais ici aussi, Apple vise surtout les profils les plus à risques.
Le chiffrement de bout en bout d’iCloud arrive en France
Enfin, Apple est revenu sur une annonce qui avait fait beaucoup de bruit : le chiffrement de bout en bout de la quasi-totalité des éléments stockés sur iCloud, le service de synchronisation et d’hébergement d’Apple. Ce changement a été présenté début décembre, mais est pour l’instant réservé aux membres d’un programme bêta résidant aux États-Unis.
Le chiffrement de bout en bout est un dispositif qui rend inaccessibles les données qui en bénéficient, sauf pour leur propriétaire. Même Apple ne peut pas les lire. Il s’agit d’une protection que l’on retrouve aujourd’hui couramment : WhatsApp, par exemple, fournit un service équivalent pour sécuriser les discussions et les fichiers que les internautes s’envoient.
L’annonce d’Apple vise surtout à fixer le calendrier. Le reste de l’Amérique sera servi d’ici à la fin de l’année, tandis que l’Europe commencera son déploiement dès iOS 16.3, toujours sous la forme d’un programme bêta. Il faut au préalable activer une clé de secours et choisir un contact d’urgence.
Reste un bémol dans cette succession de pas en avant au bénéfice de la sécurité : celui du chiffrement de bout en bout des mails, des contacts et des calendriers dans iCloud. Apple a des raisons objectives de ne pas pouvoir le faire. Relancée par Numerama à ce sujet, Cupertino n’a rien pu dire de nouveau.
+ rapide, + pratique, + exclusif
Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.
Découvrez les nombreux avantages de Numerama+.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !