iOS 16.3, disponible la semaine du 23 janvier, va ajouter le support des clés de sécurité physiques aux iPhone et iPad. Cette nouvelle méthode d’authentification vise à sécuriser les comptes des utilisateurs.

Le début de l’année rime avec sécurité chez Apple. Mercredi 18 janvier, la firme de Cupertino fait trois annonces sur ce terrain, pour rassurer une nouvelle fois sur sa volonté de tenir ses promesses en matière de confidentialité. Des déclarations qui s’inscrivent dans une série d’autres communications, avec la mise au point d’un mode de « protection extrême » ou un blindage accru d’iCloud. (Parallèlement, Apple a aussi annoncé de nouveaux produits, comme les MacBook Pro, le Mac mini et le HomePod 2.)

Apple s’ouvre aux clés de sécurité physiques pour l’identifiant Apple

iOS 16.3, qui sera disponible la semaine du 23 janvier (sûrement le lundi même, en début de soirée), va apporter une nouveauté aux iPhone et iPad. Grâce à cette mise à jour, il sera possible d’utiliser des « clés de sécurité » (une approche qui existe déjà depuis des années) pour se connecter au compte de son identifiant Apple. Cette clé s’avère être un objet physique qui consiste à améliorer la résistance de l’authentification à deux facteurs — aussi appelée double authentification. L’idée est d’éviter le code par SMS et de le remplacer par un élément physique, impossible à obtenir à distance.

La connexion avec la clé de sécurité physique. // Source : Apple
La connexion avec la clé de sécurité physique. // Source : Apple

Chez Apple, la double authentification est en place depuis 2015 et est utilisée par 95 % des comptes iCloud actifs. Cependant, jusqu’à présent, l’authentification à deux facteurs ne permettait pas d’utiliser un bien matériel. Apple y voit une manière de rendre les attaques contre les comptes plus difficiles à aboutir (comme un hameçonnage), puisqu’il faudrait avoir accès physiquement à ce matériel. De fait, la surface d’attaque est encore plus réduite.

Ici, Apple entend profiter de l’écosystème existant en autorisant le recours à des clés de sécurité matérielle tierces (et pourquoi pas clé de sécurité Titan de Google ?). À Numerama, un représentant d’Apple a indiqué que ces clés peuvent être diverses dans leur fonctionnement. Par exemple, il est possible de recourir à des clés utilisant une vérification biométrique (en l’espèce, un appui dessus pour lire l’empreinte digitale).

La clé USB Yubikey peut servir comme facteur d'authentification // Source : Yubikey
Un exemple de clé de sécurité branchée à un ordinateur portable. // Source : Yubikey

Reste une question : à qui s’adresse ce type d’appareil ? Tout le monde peut y avoir accès suggère Apple. Cependant, il a été conçu en ayant en tête des profils plus exposés, comme des journalistes, des membres de gouvernement ou des célébrités. Ces profils peuvent être davantage pris pour cible, y compris par des assaillants déterminés et ayant une capacité d’action élevée.

iMessage a aussi droit à une mise à jour de sécurité

Autre annonce du jour : la « vérification des clés de contact pour iMessage ». Cette fonctionnalité consiste à vérifier la fiabilité de la liaison avec une autre personne utilisant iMessage, en comparant les codes de vérification des contacts — par exemple sur FaceTime ou par le biais d’un autre service d’appel sécurisé.

Ce type de fonctionnalité existe sur d’autres services de messagerie : WhatsApp a aussi un outil de confirmation de code de sécurité, tout comme Signal. Pour ces deux plateformes comme pour iMessage, la vérification peut se faire lorsque l’on se trouve au même endroit que son contact, pour vérifier la correspondance du code. Mais ici aussi, Apple vise surtout les profils les plus à risques.

Le chiffrement de bout en bout d’iCloud arrive en France

Enfin, Apple est revenu sur une annonce qui avait fait beaucoup de bruit : le chiffrement de bout en bout de la quasi-totalité des éléments stockés sur iCloud, le service de synchronisation et d’hébergement d’Apple. Ce changement a été présenté début décembre, mais est pour l’instant réservé aux membres d’un programme bêta résidant aux États-Unis.

Bientôt disponible en France, le chiffrement d'iCloud va rendre invulnérable de nombreuses données. // Source : Capture Numerama
Bientôt disponible en France, le chiffrement d’iCloud va rendre invulnérable de nombreuses données. // Source : Capture Numerama

Le chiffrement de bout en bout est un dispositif qui rend inaccessibles les données qui en bénéficient, sauf pour leur propriétaire. Même Apple ne peut pas les lire. Il s’agit d’une protection que l’on retrouve aujourd’hui couramment : WhatsApp, par exemple, fournit un service équivalent pour sécuriser les discussions et les fichiers que les internautes s’envoient.

L’annonce d’Apple vise surtout à fixer le calendrier. Le reste de l’Amérique sera servi d’ici à la fin de l’année, tandis que l’Europe commencera son déploiement dès iOS 16.3, toujours sous la forme d’un programme bêta. Il faut au préalable activer une clé de secours et choisir un contact d’urgence.

Reste un bémol dans cette succession de pas en avant au bénéfice de la sécurité : celui du chiffrement de bout en bout des mails, des contacts et des calendriers dans iCloud. Apple a des raisons objectives de ne pas pouvoir le faire. Relancée par Numerama à ce sujet, Cupertino n’a rien pu dire de nouveau.


Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.