Ondrej Holzman Bien que les nouvelles fonctionnalités introduites dans OS X Yosemite et iOS 8 apportent de nombreuses fonctionnalités utiles aux utilisateurs qui simplifient l'utilisation de plusieurs appareils, elles peuvent également constituer une menace pour la sécurité. Par exemple, le transfert de messages texte d'un iPhone vers un Mac contourne très facilement la vérification en deux étapes lors de la connexion à divers services.
L'ensemble des fonctions de continuité, au sein desquelles Apple connecte les ordinateurs aux appareils mobiles dans les derniers systèmes d'exploitation, est très intéressant, notamment en termes de réseaux et de techniques qu'ils utilisent pour connecter les iPhones et iPads aux Mac. La continuité inclut la possibilité de passer des appels depuis un Mac, d'envoyer des fichiers via AirDrop ou de créer rapidement un point d'accès, mais nous allons maintenant nous concentrer sur le transfert de SMS réguliers vers des ordinateurs.
Cette fonction relativement discrète mais très utile peut, dans le pire des cas, se transformer en une faille de sécurité permettant à un attaquant d'obtenir des données pour la deuxième phase de vérification lors de la connexion aux services sélectionnés. Nous parlons ici de la connexion dite en deux phases, qui, outre les banques, est déjà introduite par de nombreux services Internet et est beaucoup plus sécurisée que si vous disposez d'un compte protégé uniquement par un mot de passe classique et unique.
La vérification en deux phases peut avoir lieu de différentes manières, mais lorsque nous parlons de banque en ligne et d'autres services Internet, nous rencontrons le plus souvent l'envoi d'un code de vérification à votre numéro de téléphone, que vous devez ensuite saisir en plus de votre mot de passe habituel. Par conséquent, si quelqu'un obtient votre mot de passe (ou un ordinateur contenant un mot de passe ou un certificat), il aura généralement besoin de votre téléphone portable, par exemple pour se connecter aux services bancaires par Internet, où il recevra un SMS avec le mot de passe pour la deuxième phase de vérification. .
Mais dès que tous vos messages texte sont transférés de votre iPhone vers votre Mac et qu'un attaquant s'empare de votre Mac, il n'a plus besoin de votre iPhone. Pour transférer des messages SMS classiques, aucune connexion directe n'est nécessaire entre iPhone et Mac : ils n'ont pas besoin d'être sur le même réseau Wi-Fi, le Wi-Fi n'a même pas besoin d'être activé, tout comme le Bluetooth, et il suffit de connecter les deux appareils à Internet. Le service SMS Relay, comme on appelle officiellement le transfert de messages, communique via le protocole iMessage.
En pratique, la façon dont cela fonctionne est que même si le message vous parvient sous la forme d'un SMS normal, Apple le traite comme un iMessage et le transfère via Internet vers le Mac (c'est ainsi que cela fonctionnait avec iMessage avant l'avènement de SMS Relay). , où il l'affiche sous forme de SMS, ce qui est indiqué par une bulle verte . L'iPhone et le Mac peuvent chacun se trouver dans une ville différente, seuls les deux appareils ont besoin d'une connexion Internet.
Vous pouvez également obtenir la preuve que SMS Relay ne fonctionne pas en Wi-Fi ou Bluetooth de la manière suivante : activez le mode avion sur votre iPhone et écrivez et envoyez un SMS sur un Mac connecté à Internet. Déconnectez ensuite le Mac d'Internet et, à l'inverse, connectez-y l'iPhone (l'internet mobile suffit). Le SMS est envoyé même si les deux appareils n'ont jamais communiqué directement entre eux – tout est assuré par le protocole iMessage.
Ainsi, lors de l’utilisation du transfert de messages, il faut garder à l’esprit que la sécurité de l’authentification à deux facteurs est compromise. En cas de vol de votre ordinateur, la désactivation immédiate de la messagerie est le moyen le plus rapide et le plus simple d'empêcher un éventuel piratage de vos comptes.
L'accès aux services bancaires par Internet est plus pratique si vous n'avez pas besoin de réécrire le code de vérification sur l'écran du téléphone, mais simplement de le copier depuis Messages sur Mac, mais la sécurité est beaucoup plus importante dans ce cas, ce qui fait grandement défaut en raison du relais SMS. . Une solution à ce problème pourrait être, par exemple, la possibilité d'exclure des numéros spécifiques du transfert sur Mac, puisque les codes SMS proviennent généralement des mêmes numéros.
Comme mentionné dans le dernier paragraphe, la possibilité de copier le code est beaucoup plus pratique et meilleure.
De plus - si quelqu'un vole mon MacBook, la première chose que je fais est de le bloquer et de désactiver tous les "transferts" et continuité sur l'iPhone - c'est pourquoi il existe également cette option dans Paramètres/Messages. :)
Et si quelqu’un vous l’accroche, l’arrêtez-vous aussi ?
Et pourquoi avoir une autorisation en deux étapes quand vous pouvez bloquer immédiatement l’appareil volé, hein ?
La vérification en deux étapes est un service tiers, je ne peux donc guère ne pas l'utiliser ou l'ignorer, du moins dans le cas des banques. Et je bloque ou supprime mon Mac via Localiser mon Mac. Les avantages du transfert de SMS l’emportent si je ne vois pas le diable derrière tout.
Personne ne se soucie du vol, le chiffrement complet du disque résout ce problème. Mais qu’allez-vous faire d’un ordinateur piraté ? Probablement rien, vous ne le saurez pas.
Eh bien, bien sûr, les avantages prédominent, personne ne voit le diable et l'utilisateur échange toujours la sécurité contre un cochon dansant.
Au fait, avez-vous l’impression que les banques vous obligent à envoyer des SMS juste pour le plaisir ?
si quelqu'un est inquiet, ne l'utilisez pas. J'en suis extrêmement satisfait
Et ceux qui n’ont pas de soucis en combinaison avec 2FA ne l’utilisent même pas, car ils ne savent évidemment pas ce qu’ils font.
Et comment exclure un numéro spécifique sur le Macbook et le laisser sur l'iPhone ? Merci pour la réponse
AFAIK, la meilleure option est de "désactiver le transfert de messages texte sous Messages dans les paramètres (depuis votre iPhone)."
Si je ne me trompe pas, il n'est pas possible de mettre sur liste blanche ce qui doit être transmis, ni sur liste noire ce qui ne l'est pas.
Eh bien, n'est-il pas plus facile de voler un téléphone portable qu'un Mac ? Oui, vous pouvez avoir un mot de passe pour mobile, mais aussi pour MAC. Je ne suis pas un expert, mais ce n'est probablement pas facile d'accéder au Mac si je ne connais pas le mot de passe (je ne veux pas lire les données, mais me connecter pour que le relais SMS démarre).
N'oubliez pas non plus que nous parlons de double sécurité, où la première phase est la principale - saisir le mot de passe à honorer et si vous ne l'avez pas écrit sur le MAC ou dans un document texte à l'intérieur, alors il y a pas d'accès à la banque (et vous n'utilisez pas 1111 comme mot de passe :-))
Ainsi, voler un Mac vous causera probablement le plus de dégâts en raison du prix réel du Mac.
2FA ne résout pas le vol principal de Mac ou d’IP. La solution est que l'attaquant doit prendre le contrôle du Mac et d'autre chose. Le Mac lui suffit désormais. Coz annule tous les avantages du 2FA.
(Le conseil est de se protéger contre la variante « l'attaquant sur Mac ne contrôle que le navigateur », qui n'est probablement pas une situation complètement contrôlée.)
C'est juste que si vous considérez que Mac est totalement sûr (haha), alors vous n'avez pas à gérer 2FA. Et sinon, 2FA a cessé de vous apporter cette sécurité accrue, comme Drive.
Et encore une fois, de manière très frappante, vous allez sur le site "nicnebezpecneho.cz", qui est dangereux en raison d'un malheureux concours de circonstances. Cela peut vous arriver assez facilement - vous n'êtes pas obligé d'aller sur des sites pornographiques tout de suite, il suffit que quelqu'un ne sécurise pas le blog que vous visitez et laisse du javascript non nettoyé être inséré dans les commentaires. Il y a un exploit à distance pour votre navigateur sur cette page (cela peut encore vous arriver, rien de très inhabituel). Ou laissez-vous entraîner dans l'ingénierie sociale...
...au bout de quelques heures vous allez envoyer de l'argent depuis la banque (vous vous connectez à gmail, github...). Ce faisant, vous entrez les données de connexion dans l'ordinateur déjà compromis (ou vous n'avez même pas besoin de le faire si vous avez enregistré ces mots de passe) et copiez et collez le code du SMS une fois.
..et la nuit, votre ordinateur se connecte tout seul à la banque (gmail...), le mot de passe a déjà été enregistré par quelqu'un avec un malware. Vous ne recevrez pas de SMS de confirmation sur votre téléphone portable, mais... dans cet ordinateur compromis.
2FA a résolu exactement ces scénarios. Jusqu'à ce qu'Apple le casse.
Je pensais que 2FA signifiait que je devais faire mes preuves par 2 choses, par exemple :
- mot de passe
– avec un téléphone acceptant les SMS
Eh bien, le transfert de SMS vers Mac vers le téléphone ajoute également le Mac (ou plusieurs Mac et iPad que j'ai couplés) comme alternative, mais c'est toujours 2FA. Ou non?
Encore une fois, dans des circonstances normales, 2FA résout des situations telles que « mon Mac est piraté et je n'en suis pas au courant ». Parce qu'alors vous pouvez supposer que le Mac connaît votre mot de passe pour le service (que vous l'avez déjà enregistré ou que vous l'écouterez la prochaine fois que vous vous connecterez au service). Et maintenant, vous pouvez vous attendre à ce qu'il connaisse également les SMS (ou il peut le demander à tout moment et il le recevra).
La plupart des services proposant une authentification à deux facteurs (Facebook, Dropbox, Google, Microsoft, …) permettent de générer des mots de passe à usage unique à l'aide d'une application (j'utilise Google Authenticator). L'application génère en permanence des codes à durée limitée pour les services enregistrés. Le code peut être copié immédiatement et utilisé pour vous connecter. Vous n'avez pas besoin d'attendre l'arrivée des SMS et, s'ils sont transmis au Mac, résolvez le problème décrit dans l'article.
Les Mac compromis reçoivent des messages SMS lors de la connexion...
N'hésitez pas à demander cela. Si j'ai activé la vérification en deux phases avec génération d'un code à usage unique à l'aide de l'application, alors le service donné n'envoie aucun SMS.
Si quelque chose n'a pas changé, de nombreux services voulaient le téléphone et ont laissé les SMS comme option par défaut. Votre ordinateur piraté est donc de retour.
Avec un grand nombre de banques, il n'y a pas de choix, juste un SMS et c'est tout.
Je ne comprends pas cela très clairement. Si quelqu'un vole mon Mac, je désactive les SMS, j'efface le Mac à distance et je change le mot de passe à la banque. Ou quel est le problème ?
Feriez-vous cela avant de lire cet article ?
Absolument, absolument automatiquement.
Mais l'authentification en deux phases implique que l'attaquant a besoin de deux confirmations : MOT DE PASSE ET SMS. Cela signifie que si j'ai peur que quelqu'un prenne mon Mac couplé, je n'y stocke pas le mot de passe, et si quelqu'un pirate mon navigateur, il n'accédera pas à iMessage.
Où obtenez-vous l'assurance qu'il ne sortira pas de votre navigateur ? Selon les résultats actuels de Pwn4Fun et Pwn2Own, il semble qu'il y ait au moins deux jours zéro pour Safari :
"Chez Pwn4Fun, Google a livré un exploit très impressionnant contre Apple Safari en lançant Calculatrice en tant que root sur Mac OS X"
"Par Liang Chen de l'équipe Keen :
Contre Apple Safari, un débordement de tas accompagné d'un contournement du bac à sable, entraînant l'exécution de code.
De fines lettres blanches sur fond vert - même un élève d'une école spéciale n'aurait pas pu mieux le suggérer...
Une des façons d'arrêter cela est de remplacer la génération de code via un dongle (par exemple ceci : http://www.czc.cz/battlenet-authenticator/110449/produkt?gclid=Cj0KEQiAs6GjBRCy2My09an6uNIBEiQANfY4zKhlCIiwD9za5e_QYUAp_YEpqdA9frjVqnS9i8sgIgsaAh558P8HAQ ) il est sûr et permet une plus grande sécurité, KB doit également faire quelque chose de similaire - un certificat téléchargé sur un disque USB, sans lequel une personne ne peut pas se connecter aux services bancaires par Internet, et parfois un mot de passe à usage unique est envoyé au téléphone, etc. ... Il existe de nombreuses possibilités, mais chacune a la sienne, elle doit décider si la sécurité est importante pour elle (a-t-elle un mot de passe ou pas ? etc.)
Unicredit a quelque chose de génial. La clé intelligente n'est jamais un SMS classique, mais je génère un mot de passe à usage unique dans l'application mobile.
J'ai besoin de conseils pour savoir pourquoi je ne peux soudainement plus envoyer une courte vidéo mm, ce qui était possible jusqu'à présent ? Il n'y a pas d'option pour simplement insérer une vidéo, il ne répond pas, il ne l'insère pas dans le message
Merci