L’authentification en 2 temps incomplète !

L’authentification en deux temps constitue une bonne protection contre le petit jeu des devinettes appliqué aux mots de passe de comptes Apple, ou autre. Cependant, à l’heure actuelle, la protection de celui-ci n’est pas disponible sur tous les services en ligne d’Apple. Elle ne concerne pas, par exemple, le flux de photos, ou les sauvegardes iCloud (lesquelles sont parfois utilisées pour accéder aux comptes de victimes non célèbres). Pour accéder à ces éléments, la “seule” possession du nom de compte et du mot de passe suffit. Lesquels, nous en avons discuté largement, peuvent parfois s’obtenir assez facilement, sans besoin de “faille informatique”.

La découverte n’est même pas récente, et est à porter au crédit de Vladimir Katalov, un chercheur en sécurité, lors de son intervention à la conférence Box security de l’an passé. L’authentification 2 facteurs ne protège que la gestion des Apple id, et la signature sur les boutiques de vente en ligne, App Store, iTunes, iBook Store depuis un appareil nouveau.

Nul doute qu’Apple pourra tirer “profit” – après une phase de gestion de crise – de l’affaire des photos de célébrités nues pour faire un peu de pédagogie sur l’authentification 2 facteurs, et pour s’activer un peu pour étendre celle-ci à tous ses systèmes en ligne.

Think iCloud’s two-factor authentication protects your privacy? It doesn’t

Le slide de la conférence