La mésaventure d’un journaliste de The Next Web avec son compte iCloud permet de mettre en lumière le délicat équilibrage entre facilité d’utilisation et sécurité. En réaction au scandale des photos de célébrités dénudées qui avaient été volées, Apple avait en effet augmenté la sécurité de ses comptes. Au point que si l’utilisateur venait à perdre sa précieuse clé, il pourrait perdre toute sa vie numérique.
Le cloud et son attrait magnétique
L’évolution actuelle de l’informatique se fait vers le cloud, que ce soit dans le grand public ou dans le monde de l’entreprise. Du côté des fournisseurs de ces services devenus incontournables, on vante le plus évident : la centralisation des données. Où que vous soyez, vous accédez à vos données, qu’il s’agisse d’un ordinateur, d’un smartphone ou d’une tablette. Créer un contact et le retrouver partout ailleurs, commencer un document sur un appareil et le finir sur un autre, toujours avoir sa photothèque sont quelques exemples parmi les plus connus.
Cette centralisation des données, si pratique qu’elle soit, comporte un aspect qui se retrouve très régulièrement sous les feux des projecteurs : la sécurité. Car qui dit concentration des informations dit jackpot quand un pirate peut s’emparer d’un compte, et le problème ne fait qu’augmenter avec le temps, forçant les entreprises à imaginer des solutions capables de remplacer les traditionnels identifiants. Le mot de passe en particulier revêt une importance cruciale, et un nombre toujours trop grand d’utilisateurs ne le créent pas avec suffisamment de soin, voire réutilisent simplement un mot déjà employé ailleurs, ce qui reste le pire des scénarios.
iCloud : quand la sécurité devient forte...
Mais une sécurité renforcée contient également son lot de problèmes, comme le montre la mésaventure d’Owen Williams, journaliste chez The Next Web. Dans sa vie de tous les jours, il se sert d’un iPhone et d’un Mac, le tout étant relié par un compte iCloud. Ce dernier synchronise les messages, les agendas, les calendriers, les photos et ainsi de suite. Mais le Mac l’a récemment informé que le compte iCloud ne pouvait pas être connecté à causes de « raisons de sécurité ».
Il a d’abord pensé qu’il s’agissait d’un problème provenant du service d’Apple, puisque le cas se présente parfois. Mais le lendemain matin, le souci était toujours présent, et iMessage notamment a commencé à ne plus fonctionner nulle part. En se plongeant dans cette situation, Williams a ainsi découvert que son compte avait été verrouillé par Apple, sans qu’il sache pourquoi. Il s’est alors rendu sur la page de gestion du compte et « l’enfer » a alors commencé.
... au point qu'elle ne laisse plus passer l'utilisateur légitime
La page de support d’Apple indique en effet que si l’activation de la double authentification a bien été faite, le mot de passe et un appareil de confiance sont simplement requis. Mais dans la pratique, ces informations ne suffisaient pas : le site demandait une clé de récupération… qui n’évoquait aucun souvenir au journaliste. Il a tout de même cherché pendant plusieurs heures avant de décider qu’il fallait appeler le service client de l’entreprise.
Après un premier appel assez bref n’ayant rien donné, le second s’est mieux déroulé. L’opératrice a compris le problème et a posé de nombreuses questions, jusqu’à ce que le couperet tombe : le compte n’avait pas été verrouillé par mégarde, mais parce qu’une tierce personne avait tenté de se connecter à plusieurs reprises. Il s’agit d’un automatisme qu’on retrouve sur pratiquement tous les bouquets de service : après un certain nombre de tentatives, le système se bloque.
Si vous perdez la clé, il n'y a aucune solution
Malheureusement pour Owen Williams, donner ensuite le bon mot de passe ne permettait pas de récupérer son compte et ses données. La situation est identique au code de la carte bancaire, puisque le pirate pourrait être en possession de la bonne information et réclamer une tentative supplémentaire. Pour sortir de ce blocage, Apple réclamait donc la clé de récupération, seule apte à prouver que l’utilisateur était bien qui il prétendait être.
Or, ne pas avoir cette clé équivaut chez Apple à un verrouillage définitif du compte. En dépit de la volonté d’aider le journaliste à récupérer ses informations, l’opératrice l’a ainsi informé que la firme n’était pas en capacité de faire quoi que ce soit. Ce qui agaçait profondément Williams dans la mesure où, selon lui, l’aspect primordial de cette clé n’était pas assez mis en évidence. En outre, l’obtention du sésame datait de plusieurs années et il devenait délicat de se rappeler de son emplacement. La seule solution proposée par Apple devenait alors : « Nous vous recommandons de créer un nouveau compte ».
Mais créer un nouveau compte ne permet pas de récupérer des années de vie numérique stockées au sein d’un unique bouquet de services dont on ne pensait pas un jour qu’il pourrait devenir inaccessible, quelle qu’en soit la raison. D’autant que le site du support d’Apple indique que même si la clé a été perdue, le mot de passe et un appareil de confiance suffisent à passer outre. Ce qui est le cas… tant que le compte n’a pas été verrouillé pour des questions de sécurité.
Le dur apprentissage de la sécurité
Ironisant sur une sécurité renforcée qui l’avait finalement coupé de ses données, Williams a fini par fouiller dans de vieilles sauvegardes Time Machine et retrouver le précieux sésame. Il s’agissait d’une photo prise de son écran avec son iPhone, et qu’il avait complètement oubliée. La clé a permis de déverrouiller le compte et il a pu accéder à nouveau à l’intégralité de ses données. Mais si la situation paraîtra cocasse à certains, elle souligne une vraie problématique.
Doit-on en effet mettre « toutes ses billes » dans le même panier ? La question mérite autant d’être posée pour des questions de sécurité que de praticité. Évidemment, des entreprises telles qu’Apple, Google ou Microsoft rendent leur bouquet toujours plus attrayant et utile. Les synergies y sont légion et il est évident qu’on peut parfois gagner énormément de temps à tout avoir sous la main. Mais quand cette précieuse source de données est coupée, la situation devient alors très compliquée.
Il s’agit d’une thématique qui revient régulièrement dans nos actualités : comment placer le curseur sur la ligne allant de la sécurité à la facilité d’utilisation ? Idéalement, tout le monde devrait activer la double authentification et bien noter sa clé de récupération, tant cette dernière est importante. Mais une trop grande simplicité peut donner parfois un faux sentiment que tout se passera bien et que cette clé pourrait bien ne jamais servir. Et plus la sécurité sur ce type de compte se renforcera, et plus les mesures seront drastiques.
La question est de savoir si le grand public est réellement préparé à ce changement de ton, car si les modifications se font petit à petit, elles sont pour l’essentiel masquées. La firme a le devoir d’informer clairement des implications de tels changements, mais elle ne pourra pas passer outre le dernier rempart, si difficile à abattre : un mélange d’inertie et de désintérêt de la part des utilisateurs. Il faudra alors peut-être que le cas d’Owen Williams se répète pour que certains considèrent qu’on ne place pas si facilement des données dans le cloud sans en mesurer au moins certaines conséquences.
