Vratislav Holub La sécurité des comptes s'est considérablement améliorée au cours des dernières années. Aujourd’hui, il est souvent nécessaire d’avoir une certaine combinaison de lettres majuscules et minuscules, de chiffres et de caractères spéciaux comme mot de passe, qui complète également l’authentification à deux facteurs. Mais il s’avère maintenant qu’Apple va changer ces méthodes traditionnelles et renforcer encore davantage la sécurité en général. Lors de la conférence des développeurs WWDC21, il a annoncé une méthode beaucoup plus sûre et plus simple. Il combine l'authentification sans mot de passe à l'aide de WebAuthn et Face/Touch ID à l'aide du trousseau sur iCloud.
iOS 15 apporte un certain nombre d'améliorations à FaceTime :
Galerie de photos
Cette innovation s'est facilement reflétée dans les nouveaux systèmes d'exploitation iOS 15 et macOS Monterey, mais elle n'est pas disponible pour une utilisation régulière. Un changement d'une telle ampleur pourrait sans aucun doute être qualifié de long, et c'est maintenant aux développeurs de jouer avec. Comme par exemple Google ou Microsoft, Apple se lance dans un style de sécurité intéressant qui devrait être aussi simple et sécurisé que possible. Dans un tel cas, la norme clé est WebAuthn en combinaison avec l'authentification biométrique. Cela évite théoriquement les problèmes de phishing.
Toutes ces nouveautés ont été introduites lors de la présentation Allez au-delà du mot de passe à la WWDC21, où Garret Davidson a expliqué comment fonctionne la norme WebAuthn susmentionnée et comment elle fonctionne avec les clés publiques et privées. Dans un tel cas, ce ne sont pas les mots de passe classiques qui sont utilisés, mais les clés susmentionnées. Dans le cas de la procédure actuelle, la sécurité fonctionne dans la mesure où vous saisissez votre nom de connexion et votre mot de passe. Le mot de passe est ensuite récupéré et créé à partir de celui-ci via la fonction de hachage cryptographique utilisée hachage. Ce dernier est ensuite généralement enrichi par ce qu'on appelle sel, ce qui donne une longue chaîne de test qui ne peut pas être déchiffrée dans sa forme originale de la même manière. Le problème, c’est qu’il existe ce qu’on appelle le partage de secrets. Non seulement vous devez protéger cela, mais aussi le serveur.
Et nous devrions nous débarrasser exactement de cette procédure décrite au fil du temps. Le plus gros avantage de WebAuthn est qu’il s’appuie sur une paire de clés, à savoir publique et privée. Dans ce cas, votre appareil crée cette paire unique en même temps lors de la création d'un compte sur le serveur. La clé publique est alors simplement publique et peut être partagée avec n'importe qui, par exemple avec le serveur. La clé privée vous est alors réservée (elle n'est jamais partagée) et est stockée sous une forme suffisamment sécurisée directement sur l'appareil lui-même. Ce changement pourrait théoriquement permettre de se connecter en saisissant simplement un nom d'utilisateur, puis en confirmant l'ensemble du processus avec un scan du visage ou des empreintes digitales.
La publicité d'Apple pour le CES 2019 à Las Vegas parodie le slogan emblématique de la ville :
Galerie de photos
Comme mentionné ci-dessus, c'est loin d'être le cas et nous devrons attendre un peu avant que cette méthode d'authentification soit introduite. Grâce aux avantages de WebAuthn et au cryptage de bout en bout du célèbre trousseau sur iCloud, il devrait s'agir de la méthode la plus sécurisée à ce jour, qui surpasse à plusieurs égards toutes les méthodes utilisées jusqu'à présent, y compris l'authentification à deux facteurs.
