Apple va mettre à jour son authentification à deux facteurs sous iOS 11 et High Sierra, Réactions à la publication du 13/06/2017

[Lionel]

Afin d'éviter le piratage de comptes iCloud, Apple a mis en place un système d'authentification à deux facteurs. Cela oblige une des machines certifiées auparavant à autoriser l'inscription d'une nouvelle. C'est très efficace et Apple va encore améliorer ce système avec ses prochains logiciels.

Ce nouveau système va modifier la manière dont la clé de récupération peut être générée et utilisée, évitant que l'on puisse le faire depuis un terminal dérobé.

C'est une excellente chose car ce système est très efficace même s'il est parfois agaçant de le voir afficher sur tous ses terminaux le code de récupération à chaque mise à jour iOS.

Lien vers le billet original

[hackarien]

L'autre jour, j'ai eu ce mode de validation sur un nouvel iphone pour récupérer mon profil iCloud chain, je ne n'ai jamais pu passer l'authentification, j'ai du abandonner, créer un nouveau code et perdre mes mots de passe mémorisés.

C'est très bien d'évoluer pour plus de sécurité, mais j'estime qu'ils pourraient le faire sans compromettre la facilité d'utilisation du service.

Si nous avons un mot de passe iCloud/itunes/Appstore, une empreinte enregistrée sur notre iphone, un passcode iphone, un email enregistré avec notre compte, un numéro de mobile, une carte bancaire, notre question de sécurité, notre date de naissance, ... ils pourraient trouver plus simple pour nous valider !

ie.: Merci de completer ce texte a trou:

Mes initiales sont ___ et ma carte de crédit terminant par 5768 expirera l'année ____ même si je suis née durant le mois de _______ et que mon chien s'appelait _____ J'attends le mail de déblocage sur l'adresse ___******@gmail.com

Ce message a été modifié par hackarien - 13 Jun 2017, 00:00.

[yponomeute]

Mes initiales sont (1) et ma carte de crédit terminant par 5768 expirera l'année (2) même si je suis née durant le mois de (3) et que mon chien s'appelait (4) J'attends le mail de déblocage sur l'adresse (5) ******@gmail.com

Ces infos se trouvent très facilement pour un pirate :
(1) vraiment pas compliqué
(2) se trouve sur amazon ou bon nombre de commerces en ligne
(3) sur tout bon réseau social qui se respecte
(4) il y a surement sa photo sur facebook
(5) si ton compte est ciblé le pirate connait déjà ton adresse mail.

[macfun]

Afin d'éviter le piratage de comptes iCloud, Apple a mis en place un système d'authentification à deux facteurs. Cela oblige une des machines certifiées auparavant à autoriser l'inscription d'une nouvelle. C'est très efficace et Apple va encore améliorer ce système avec ses prochains logiciels.

Heu, comment fait-on si on n'a qu'une seule machine disponible ?

[Baradal]

Une maj me l'avait activée, ça fonctionnait pas, trop galère je l'ai très vite désactivé. J'ai changé mon mdp pour un beaucoup plus costaud et ça me suffit.

Ces infos se trouvent très facilement pour un pirate :
(1) vraiment pas compliqué
(2) se trouve sur amazon ou bon nombre de commerces en ligne
(3) sur tout bon réseau social qui se respecte
(4) il y a surement sa photo sur facebook
(5) si ton compte est ciblé le pirate connait déjà ton adresse mail.

Il faut repondre des réponses totalement à côté de la plaque et noter le duo question réponse quelque part.

[ericb2]

Je ne connaissais pas ce nouveau logiciel de tracking.

Merci :-)

[downanotch]

L'article en source indique qu'avec iOS 10 et High Sierra, Apple va demander aux utilisateurs de l'ancien système (appelé "à deux étapes") de passer au système "à deux facteurs" qui existe déjà. La clé de récupération (nom exact : "clé de secours") est une particularité de l'ancien système, elle n'existe pas le système à deux étapes

Identification à deux étapes (ancien) : https://support.apple.com/fr-fr/HT204152
Identification à deux facteurs : https://support.apple.com/fr-fr/HT204915

[macdan]

Une maj me l'avait activée, ça fonctionnait pas, trop galère je l'ai très vite désactivé. J'ai changé mon mdp pour un beaucoup plus costaud et ça me suffit.

Idem ! Il est d'ailleurs insupportable que nos réglages soient régulièrement modifiés lors des mises à jour !
Quant à ce système d'authentification, ce n'est vraiment pas très "pratique" et ça fonctionne quand ça veut : on reçoit un numéro par sms, on entre ce numéro sur le terminal concerné et on essuie un refus !
Bref, par souci de sécurité concernant iCloud, on s'achenime vers de belles "galères" sur nos machines connectées !
Me refusant à utiliser iCloud, ce système m'est d'autant plus inutile donc, perso,... je jette !

[Ibiscus]

Oouai ! Mais, en France, c'est pas vraiment au point, tous mes engins sont localisés en Île de France alors que j'habite dans l'Est de la France ? C'est vraiment pénible, et me fait flipper à chaque fois.
De plus je reçois parfois une message d'alerte, mais avec une adresse e-Mail qui n'est pas celle de mon identifiant Apple : Wanadoo au lieu d'Orange. J'ai téléphoné à Apple qui me dit qu'ils ne m'ont pas envoyé de mail sur Wanadoo, mais j'en doute un peu car chaque fois que je fais une opération sur un de mes Mac ou iPhone, je reçois ce message.
Il faut dire que les abonnés en Orange.fr, ancien de Wanadoo, peuvent recevoir encore des messages en wanadoo.fr, mais il me semble que jamais mon Apple ID n'a été en wanadoo !!??
Apple m'a dit de détruire le message d'alerte reçu et n'a pas voulu que je le lui fasse parvenir malgré mon insistance.

De deux choses l'une, où ses messages d'alerte sont d'Apple qui devrait enquêter pour savoir pourquoi l'adresse n'est pas (ou plus) la bonne, où ses messages ne sont pas d'Apple et il devrait mettre tout leur moyen juridique pour trouver les fraudeurs.
À noter que l'on ne peut pas communiquer par courriel avec Apple, mais uniquement au téléphone. À moins que l'un d'entre vous sache comment faire, merci d'avance.

[downanotch]

Heu, comment fait-on si on n'a qu'une seule machine disponible ?

Le code peut également être reçu par SMS à un numéro précédemment renseigné.

[jempi]

Et Comment tu fais pour renseigner un numéro de tel si tu est pris au dépourvu
Renseigner tous les numéros qui pourraient éventuellement te sortir de l'impasse.... pas sûr que ça serve la sécurité de ton terminal, compte iCloud etc.

[downanotch]

Et Comment tu fais pour renseigner un numéro de tel si tu est pris au dépourvu

Un numéro de téléphone est obligatoire pour pouvoir activer le service

[raoulito]

Oouai ! Mais, en France, c'est pas vraiment au point, tous mes engins sont localisés en Île de France alors que j'habite dans l'Est de la France ? C'est vraiment pénible, et me fait flipper à chaque fois.

étonnamment même au maroc ca marche.. peut-être que le problème ne vient pas d'apple ?

Et Comment tu fais pour renseigner un numéro de tel si tu est pris au dépourvu
Renseigner tous les numéros qui pourraient éventuellement te sortir de l'impasse.... pas sûr que ça serve la sécurité de ton terminal, compte iCloud etc.

question: pour qu'il demande ce genre de truc faut quand meme utiliser/mettre à jour des fonctions un peu avancées. C'est pas en lisant ses emails quoi. Donc "pris au dépourvu" meme si ca peut etre barbant, c'est un moindre mal...

[SartMatt]

Oouai ! Mais, en France, c'est pas vraiment au point, tous mes engins sont localisés en Île de France alors que j'habite dans l'Est de la France ? C'est vraiment pénible, et me fait flipper à chaque fois.

étonnamment même au maroc ca marche.. peut-être que le problème ne vient pas d'apple ?

Non, le problème ne vient sans doute pas d'Apple.

Techniquement, en dehors du GPS, il n'y a pas de moyen vraiment fiable de localiser une machine. La plupart du temps, on se base sur l'IP qu'on voit quand elle se connecte à un service, mais :
* cette IP peut être faussée par l'utilisation d'un VPN ou d'un proxy,
* chez certains opérateurs, en particulier mobiles, les IP des abonnés sont sur un réseau privé, tous les abonnés sont donc vus avec l'IP publique de la passerelle entre ce réseau privé et le réseau public.

Et en plus de ça, la localisation d'une adresse IP dépend de la bonne volonté de son propriétaire (l'opérateur, pas l'abonné) pour renseigner les informations de localisation. C'est parfois correct, parfois pas renseigné du tout, parfois complètement faux (notamment quand l'IP a été réaffectée et que les anciennes informations ont été laissées). Deux exemples que j'ai connus : dans une de mes anciennes boîtes, j'avais une IP publique localisée en belgique, et le proxy de la boîte était localisé en pleine cambrousse dans un coin reculé des USA, et les serveurs du moteur de recherche Qwant était au début localisés en Pologne, alors qu'un ping ou un tracert montraient clairement qu'ils étaient en France.

[downanotch]

S'ils sont présents et actifs, la géolocalisation utilise également les bornes WiFi et les antennes de téléphonie mobile.

[jakin1950]

en tout cas, la nouvelle procédure plante les applications type busycal, sur un de mes macs
L'accès au cloud fonctionne plus ou moins sur iphone et ipad

J'essaie de passer par Dropbox chaque fois que possible

Je ne sais pas si c''est plus protégé, mais cela ne fonctionne plus !

[brenda]

* chez certains opérateurs, en particulier mobiles, les IP des abonnés sont sur un réseau privé, tous les abonnés sont donc vus avec l'IP publique de la passerelle entre ce réseau privé et le réseau public.

Et en plus de ça, la localisation d'une adresse IP dépend de la bonne volonté de son propriétaire (l'opérateur, pas l'abonné) pour renseigner les informations de localisation. C'est parfois correct, parfois pas renseigné du tout, parfois complètement faux (notamment quand l'IP a été réaffectée et que les anciennes informations ont été laissées). Deux exemples que j'ai connus : dans une de mes anciennes boîtes, j'avais une IP publique localisée en belgique, et le proxy de la boîte était localisé en pleine cambrousse dans un coin reculé des USA, et les serveurs du moteur de recherche Qwant était au début localisés en Pologne, alors qu'un ping ou un tracert montraient clairement qu'ils étaient en France.

Chez OVH aussi la localisation par adresse IP donne n'importe quoi.
C'est pratique, ça permet de savoir quel site cherche à te géocaliser sans te demander ton avis
J'habite la Bretagne, avec mon Mac de bureau je suis régulièrement vu à Toulon, Paris, Clermont Ferrand ... rarement chez moi. ces derniers jours c'était La Baule
Mais j'ai déjà, aussi, été vu au Canada.

@+

[Skypat]

Oui, comme pour d'autres... le système fonctionne très bien mais zéro pointé pour la localisation. Ma "tentative" de connexion est souvent située à 100 km de chez moi.

[yponomeute]

Et en plus de ça, la localisation d'une adresse IP dépend de la bonne volonté de son propriétaire (l'opérateur, pas l'abonné) pour renseigner les informations de localisation.

Et cela dépend aussi du fournisseur du service de localisation par IP, qui doit mettre à jour ses bases de données avec les dernières information fournies par le propriétaire de l'adresse IP.

Selon mon expérience, le service le plus "fiable" (ou plutôt, le plus à jour) est celui de MaxMind

Edit : pour avoir un ordre d'idée de la précision des données de localisation par IP -> https://www.maxmind.com/fr/geoip2-city-database-accuracy

Ce message a été modifié par yponomeute - 15 Jun 2017, 15:10.

[fcoull]

Un petit up pour dénoncer qq chose d'assez fou qui a été mis en place par Apple. Ca peut peut-etre intéresser lionel.

Apple a rendu obligatoire depuis 2 jours le Two-Factor Authentication pour utiliser son compte mail icloud avec d'autres devices que ceux d' apple.

Ma femme (windows 10) et moi meme (ubuntu) ainsi qu nos deux android ne pouvaient plus recuperer les mails depuis avant hier...

La seule solution : activer le two-factor authentification... mais UNIQUEMENT par le biais d'un produit Apple (mac ou iphone). Heureusement que j'avais une vmware d'osx qui trainait pour pouvoir le faire, sinon nous etions baisés !

[Baradal]

Impossible directement depuis l'interface de ton compte Apple sur Apple.com/fr ?

[fcoull]

Impossible directement depuis l'interface de ton compte Apple sur Apple.com/fr ?

non. ils demandent obligatoirement un Mac ou un Iphone

[Baradal]

Bonsoir,

Suite à un erreur qu'il est inutile de détailler, j'ai du activer l'authentification à 2 facteurs. Ça me gave mais au final je peux m'y faire, néanmoins je n'arrive plus du tout à avoir accès à iCloud depuis mon Mac et mon iPhone alors que pourtant je rentre bien le bon MDP que j'ai du au passage modifier pour ce nouveau procédé d'authentification.

Quelqu'un saurait-il d'où ça vient et comment résoudre le problème extrêmement agaçant.