Authentification à deux facteurs : la sécurité d'Apple est la moindre des géants de l'IT
« un travail à moitié effectué » pour un expert
Afin de mieux protéger les comptes iTunes/iCloud de ses utilisateurs, Apple s'est essayé à l'authentification à deux facteurs depuis le mois de mars, rejoignant ainsi Google, Facebook et PayPal.
Le mécanisme est simple : l'utilisateur est invité à choisir un « appareil de confiance » après avoir saisi son identifiant Apple, profil central autour duquel les utilisateurs peuvent accéder aux paramètres du compte qu’ils utilisent pour les différents appareils et services Apple. Un code à quatre chiffres lui sera alors communiqué par SMS ou via l'application « localiser mon iPhone ». Ce premier niveau de sécurité avait été rendu nécessaire pour pouvoir effectuer des achats sur iTunes, Apple Store ou iBookstore à partir d'un nouvel appareil.
Une seconde clé permanente de 14 chiffres servant de récupération est aussi envoyée à l'utilisateur en cas d'oubli de mot de passe ou de perte de son appareil. Cette clé prend d'autant plus d'importance qu'en cas de perte de mot de passe Apple ne sera pas en mesure de ré-activer le compte de l'utilisateur. Ce deuxième niveau de sécurité a pour but d'éviter le piratage des comptes.
Pourtant une étude de sécurité de biz Elcomsoft parle d'un travail « à moitié effectué » sur le système de vérification d'Apple, « laissant aux intrus la capacité d'accéder aux informations personnelles des utilisateurs sans passer par l'authentification à deux facteurs (activée par option) ». Selon eux les données iCloud et les sauvegardes iOS ne sont pas protégées par le système mis en place par Apple.
Vladimir Katalov, exécutif en chef d'Elcomsoft explique dans un billet blog que « dans son implémentation actuelle, l'authentification à deux facteurs n'empêche pas à quiconque une restauration des sauvegardes iOS vers un nouveau dispositif (non enregistré). De plus, et ceci est bien plus grave, cette mise en œuvre d'Apple ne s'applique pas aux sauvegardes sur iCloud, permettant à quiconque connaissant l'ID Apple et le mot de passe utilisateur d'un individu d'accéder et même de télécharger les informations de celui-ci, sauvegardées dans iCloud ».
La combinaison ID Apple/mot de passe peut être obtenue par phishing ou tout autre méthode similaire. Un hacker serait alors en mesure de restaurer tout ce qu'il désire du iCloud dans un nouveau dispositif puisque, en dépit de l'authentification à deux facteurs, les sauvegardes et les documents sont accessibles de n'importe où.
Sean Sullivan, conseiller chez F-Secure, partage l'avis de Katalov quant à la mise en œuvre de l'authentification à deux facteurs d'Apple.
Pour lui, les approches de Google et de Microsoft offrent plus de sécurité. « Je pense que les applications d'authentification de Google et Microsoft offrent une très bonne approche », a-t-il déclaré.
Source : billet blog Vladimir Katalov
Et vous ?
Que pensez-vous des analyses de Katalov ?
Partager