IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

Authentification à deux facteurs : la sécurité d'Apple est la moindre des géants de l'IT


Sujet :

Sécurité

  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    Mars 2013
    Messages
    8 911
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : Mars 2013
    Messages : 8 911
    Points : 206 540
    Points
    206 540
    Par défaut Authentification à deux facteurs : la sécurité d'Apple est la moindre des géants de l'IT
    Authentification à deux facteurs : la sécurité d'Apple est la moindre des géants de l'IT
    « un travail à moitié effectué » pour un expert

    Afin de mieux protéger les comptes iTunes/iCloud de ses utilisateurs, Apple s'est essayé à l'authentification à deux facteurs depuis le mois de mars, rejoignant ainsi Google, Facebook et PayPal.

    Le mécanisme est simple : l'utilisateur est invité à choisir un « appareil de confiance » après avoir saisi son identifiant Apple, profil central autour duquel les utilisateurs peuvent accéder aux paramètres du compte qu’ils utilisent pour les différents appareils et services Apple. Un code à quatre chiffres lui sera alors communiqué par SMS ou via l'application « localiser mon iPhone ». Ce premier niveau de sécurité avait été rendu nécessaire pour pouvoir effectuer des achats sur iTunes, Apple Store ou iBookstore à partir d'un nouvel appareil.


    Une seconde clé permanente de 14 chiffres servant de récupération est aussi envoyée à l'utilisateur en cas d'oubli de mot de passe ou de perte de son appareil. Cette clé prend d'autant plus d'importance qu'en cas de perte de mot de passe Apple ne sera pas en mesure de ré-activer le compte de l'utilisateur. Ce deuxième niveau de sécurité a pour but d'éviter le piratage des comptes.

    Pourtant une étude de sécurité de biz Elcomsoft parle d'un travail « à moitié effectué » sur le système de vérification d'Apple, « laissant aux intrus la capacité d'accéder aux informations personnelles des utilisateurs sans passer par l'authentification à deux facteurs (activée par option) ». Selon eux les données iCloud et les sauvegardes iOS ne sont pas protégées par le système mis en place par Apple.

    Vladimir Katalov, exécutif en chef d'Elcomsoft explique dans un billet blog que « dans son implémentation actuelle, l'authentification à deux facteurs n'empêche pas à quiconque une restauration des sauvegardes iOS vers un nouveau dispositif (non enregistré). De plus, et ceci est bien plus grave, cette mise en œuvre d'Apple ne s'applique pas aux sauvegardes sur iCloud, permettant à quiconque connaissant l'ID Apple et le mot de passe utilisateur d'un individu d'accéder et même de télécharger les informations de celui-ci, sauvegardées dans iCloud ».

    La combinaison ID Apple/mot de passe peut être obtenue par phishing ou tout autre méthode similaire. Un hacker serait alors en mesure de restaurer tout ce qu'il désire du iCloud dans un nouveau dispositif puisque, en dépit de l'authentification à deux facteurs, les sauvegardes et les documents sont accessibles de n'importe où.

    Sean Sullivan, conseiller chez F-Secure, partage l'avis de Katalov quant à la mise en œuvre de l'authentification à deux facteurs d'Apple.

    Pour lui, les approches de Google et de Microsoft offrent plus de sécurité. « Je pense que les applications d'authentification de Google et Microsoft offrent une très bonne approche », a-t-il déclaré.

    Source : billet blog Vladimir Katalov

    Et vous ?

    Que pensez-vous des analyses de Katalov ?

  2. #2
    Modérateur
    Avatar de gangsoleil
    Homme Profil pro
    Manager / Cyber Sécurité
    Inscrit en
    Mai 2004
    Messages
    10 150
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Haute Savoie (Rhône Alpes)

    Informations professionnelles :
    Activité : Manager / Cyber Sécurité

    Informations forums :
    Inscription : Mai 2004
    Messages : 10 150
    Points : 28 129
    Points
    28 129
    Par défaut
    Citation Envoyé par Stéphane le calme Voir le message
    Que pensez-vous des analyses de Katalov ?
    Si j'ai des donnees sensibles a stocker en ligne, je ne les mets pas chez Apple/Google/Microsoft, mais chez un hebergeur professionnel. Avec bien sur une copie chez un autre hebergeur, en plus des copies locales que je peux avoir.

    S'il s'agit de photos de lolcats, c'est autre chose... La oui, je suis inquiet de cette demi-authentification a 2 facteurs.

Discussions similaires

  1. Apple est à la pointe de la sécurité informatique ?
    Par Arsene Newman dans le forum Actualités
    Réponses: 8
    Dernier message: 07/03/2014, 16h09
  2. GitHub opte à son tour pour l'authentification à deux facteurs
    Par Stéphane le calme dans le forum Sécurité
    Réponses: 3
    Dernier message: 06/09/2013, 02h32
  3. Kim Dotcom réclame la paternité de l'authentification à deux facteurs
    Par Stéphane le calme dans le forum Actualités
    Réponses: 2
    Dernier message: 23/05/2013, 15h02
  4. [Sécurité] Mon accès est-il bien sécurisé ?
    Par Tchupacabra dans le forum Langage
    Réponses: 6
    Dernier message: 29/05/2007, 11h59
  5. Réponses: 6
    Dernier message: 18/10/2006, 10h33

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo