iCloud : l’authentification à deux facteurs se généralise enfin

À la lumière des photos dénudées de stars américaines volées et publiées sur la toile, Apple avait promis d’accélérer le pas sur la protection des comptes iCloud.  La généralisation de l’authentification à deux facteurs (2FA), étape décisive, est actuellement en cours de déploiement. Explications.

Un contexte pressant

La publication de photos dénudées de dizaines de célébrités a braqué les feux des projecteurs sur iCloud. Bien qu’Apple ait insisté sur l’absence de faille, la sécurité des comptes maison a été critiquée. Même si les personnes concernées n’ont vraisemblablement pas utilisé de mots de passe très sécurisés, la firme a estimé dans un mea culpa qu’elle aurait pu en faire davantage. Elle avait promis dans la foulée que des améliorations étaient prévues pour mieux protéger les utilisateurs.

Récemment, iCloud s’est ainsi mis à prévenir les utilisateurs de toute nouvelle connexion depuis une machine qui n’avait jamais été utilisée avant. Désormais, c’est l’authentification à deux facteurs qui devient plus visible et qui se généralise. Bien que tous les comptes ne soient pas encore concernés, une fois présente, elle devient obligatoire pour tout nouvel appareil ne s’était jamais connecté auparavant au compte en question.

L'authentification à deux facteurs obligatoire arrive

Dans la pratique, cela signifie que s’il est utilisé pour une connexion depuis un appareil iOS ou un Mac, ou même depuis un simple navigateur sur n’importe quel type de machine, deux éléments seront nécessaires.  Le premier est le mot de passe, qui, une fois validé, provoquera l’envoi d’un code de sécurité à quatre chiffres sur un appareil de confiance, l’utilisateur pouvant d’ailleurs choisir lequel. Sans entrer ce code lorsqu’il est demandé, la connexion ne pourra pas se faire.

La fonctionnalité est évidemment prévue pour court-circuiter les tentatives d’accès à des comptes qui n’appartiennent pas légitimement aux utilisateurs. Il est probable en effet que dans le cas des photos dénudées des célébrités, la ou les personnes responsables ont deviné des mots de passe trop simples. L’authentification à deux facteurs était pourtant déjà disponible chez Apple, mais cachée au fond des options de sécurité du compte. De fait, un grand nombre d’utilisateurs ignore tout simplement que cette possibilité existe, et même en quoi elle consiste.

Déconnecter tous les navigateurs pour plus de sécurité 

Sachez dans tous les cas que toute connexion, même avec le code de confirmation, provoquera toujours l’envoi d’un email pour avertir de l’opération. Cette alerte automatique, mise en place récemment, reste donc d’actualité.

En outre, comme le signale MacG, il est tout à fait possible d’augmenter encore le niveau de sécurité en provoquant une déconnexion complète de tous les navigateurs qui ont déjà été utilisés pour se connecter. Pour cela, il faut se rendre dans les réglages avancés du compte et cliquer sur la fonction idoine. iCloud cassera alors tous les liens déjà actifs, ce qui forcera l’utilisation du code de sécurité pour toute reconnexion. Notez que ce mécanisme ne fonctionne bien que pour les navigateurs, et non les appareils iOS déjà synchronisés avec le compte.

Des codes de sécurité spécifiques pour les applications tierces 

Il faut savoir en outre que le compte iCloud ne pourra bientôt plus être utilisé avec les applications tierces jusqu’à ce que l’utilisateur ne se procure des codes de sécurité spécifiques. Apple envoie en effet des emails pour avertir les possesseurs de comptes qu’une fonctionnalité particulière est en cours de déploiement afin de générer des codes qui permettront la connexion avec des logiciels comme Thunderbird, Outlook, BusyCal, et globalement tout ce qui permet de gérer les emails et le calendrier.

Comme indiqué dans ce courrier, les codes de sécurité seront exigés à partir du 1^er octobre, sans doute la date à laquelle tous les comptes iCloud auront été mis à jour avec l’authentification à deux facteurs obligatoire. Il ne reste donc plus qu’à attendre que le mécanisme soit imposé à tous.

Pour vérifier si vous en bénéficiez déjà, il vous suffit de vous connecter sur iCloud.com. Si votre compte est concerné, un message apparaîtra dans un bandeau blanc en haut de l’écran. Il faudra alors suivre la démarche pour contrôler l’identité avant que l’envoi des codes de sécurité ne soit actif.