L'année dernière, une drôle de mésaventure était arrivée au journaliste américain Mat Honan. Son compte iCloud s'était fait pirater par un assaillant qui avait exploité les avantages de l'ingénierie sociale pour obtenir la réinitialisation du mot de passe à une autre adresse de courrier électronique que celle attachée au profil iCloud. De fil en aiguille, le pirate a pu ensuite accéder à d'autres comptes du journaliste.
Depuis cet incident, l'entreprise américaine s'est engagée à améliorer la sécurité de ses services. Si la situation est encore loin d'être idéale, en témoigne ce nouvel incident repéré par The Verge au niveau de la procédure de réinitialisation du mot de passe, des décisions encourageantes ont été prises. Ainsi, Apple se convertit désormais à la double authentification.
Également baptisé authentification forte, ce dispositif fait intervenir deux codes différents lors de l'identification. Le premier est le mot de passe, qui doit respecter certaines recommandations pour être utile, tandis que le second est une série de chiffres générés aléatoirement. Cette suite, valide quelques secondes, est ensuite renouvelée dans l'application mobile qui la génère et qui est rattachée au compte.
Il s'agit d'une méthode très solide. Même si le mot de passe est découvert, l'attaquant ne pourra rien faire car il n'aura pas renseigné l'autre champ. À l'inverse, si le mobile qui a l'application générant le code est volé, il manquera toujours le mot de passe (à moins que l'usager l'ait noté à l'intérieur…). S'il existe bien sûr des situations où l'attaquant peut obtenir les deux informations, elles demeurent très rares.
En outre, le risque de voir ces situations se produire peut être contré par quelques mesures simples. En protégeant l'accès au mobile par un mot de passe par exemple, ce qui évitera à l'attaquant d'accéder trop facilement à l'application qui génère le code aléatoire. Ou encore en utilisant un mot de passe par service, afin de limiter la casse si l'un d'eux est découvert.
Outre Apple, des entreprises comme Google, Dropbox, Blizzard et ArenaNet proposent une protection similaire. Dans un premier temps, la double authentification est déployée dans les régions anglophones (USA, Royaume-Uni, Irlande, Australie et Nouvelle-Zélande). Au fur et à mesure, Apple étendra cette sécurité à ses clients situés dans d'autres zones linguistiques.
Une foire aux questions est disponible.
+ rapide, + pratique, + exclusif
Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.
Découvrez les nombreux avantages de Numerama+.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.