Promotion pour Noël

Les fonctionnalités de sécurité d'iOS 12 : les avantages et les inconvénients

Écrit par Gaëlle Lemoine  Nov 28, 2018

De bonnes nouvelles pour les utilisateurs iPhone sensibles à la sécurité : Apple a apporté de nombreuses améliorations en matière de sécurité et de confidentialité, ainsi que des correctifs dans iOS 12. La mauvaise nouvelle est que certaines mises à jour pourraient donner lieu à des problèmes inattendus.

Parlons d'abord de la bonne nouvelle : iOS 12 est doté d'un gestionnaire de mot de passe, qui bloque l'accès USB à votre téléphone s'il a antérieurement été verrouillé pendant plus d'une heure, cela facilite l'utilisation de l'authentification à deux facteurs et vous propose des options pour définir les mises à jour automatiques.

Puis la mauvaise nouvelle : Vous pouvez envoyer des mots de passe à d'autres utilisateurs iOS ou macOS, ce qui permet aux hackers de pirater vos mots de passe via Bluetooth ou Wi-Fi. D'ailleurs, si la fonctionnalité du remplissage automatique de code 2FA marche toujours de la même manière qu'elle le faisait sous la version bêta d'iOS 12, les pirates pourraient en profiter pour s'introduire sournoisement à votre compte des services bancaires en ligne.

Finissons tout de suite les sujets ennuyeux. iOS12 répare un tas de défauts, dont la plupart sont encore là jusqu'à présent. Les défauts réparés comportent « le problème de validation des entrées » dans Bluetooth, le tampon et de noyaux défauts qui permettent aux applications d'accéder à la mémoire restreinte, la fuite de l'histoire de navigation et le défaut de validation de barre d'adresse dans Safari.

iOS 12 définit aussi de nouvelles limites sur le navigateur et sur des trackers d'applications, ce qui a pour but de décourager les pirates qui veulent suivre des utilisateurs - les suivis qui sont révélés la semaine dernière par des chercheurs de tierce partie. Mais il n'y a pas encore de solution aux attaques divulguées de la semaine précédente venant des site Web malveillants qui font bloquer et parfois redémarrer les iPhones et Macs.

Quel est le mot de passe ?

Les fonctionnalités de gestion de mots de passe sont sans aucun doute la meilleure amélioration de sécurité d'iOS 12. Le nouveau système d'exploitation vous proposera de complexes mots de passe lors de la création d'un nouveau compte. Les nouveaux mots de passe sont conservés dans votre iCloud Keychain et qui pourront fonctionner sur tous vos appareils Apple. iOS 12 signale également les mots de passe réutilisés afin que la perte de données d'un seul compte ne compromette de multiples comptes. Finalement, les mots de passe sont automatiquement remplis dans des champs de formulaire sous iOS 12.

Et mieux encore, ces nouvelles fonctionnalités marcheront sur les gestionnaires tiers de mots de passe que vous pouvez utiliser en tant que vôtres à part de Keychain. Ce sera un bonus si vous n'existez pas exclusivement dans l'univers Apple ou que vous avez déjà utilisé un gestionnaire de mots de passe, car les gestionnaires tiers se synchronisent également avec Windows, Android et souvent Linux.

Dashlane, LastPass et 1Password s’intègrent déjà avec iOS 12 de cette manière, et d’autres gestionnaires de mots de passe le feront ainsi bientôt.

Passons maintenant aux mauvaises nouvelles : iOS 12 vous permettra d'envoyer les mots de passe aux appareils iOS dans les environs pour que les visiteurs chez vous puissent accéder à votre réseau Wi-Fi et pour que vos enfants puissent se connecter à votre compte Netflix.

Cela semble pratique. Mais Il pourrait quand même être possible pour les hackers de déchiffrer les mots de passe. Les transmissions via AirDrop sont cryptées, mais les appareils de communication n'ont pas à être sur le même réseau Wi-Fi ou à être connectés via Bluetooth. En outre, le Wi-Fi n'est pas sécurisé du tout par défaut. Le protocole de cryptage d'Apple semble assez sûr, mais rien n'est parfait.

Ce qui est remarquable pour AirDrop est qu'il permet aux gens de recevoir les fichiers de personnes inconnues - par exemple, les paresseux de l'espace, les images sanglantes, les photos nues - quand l'expéditeur et le destinataire se trouvent dans des lieux publics encombrés.

À notre connaissance, les mots de passe eux-mêmes seront cryptés avant d'être envoyés via la connexion cryptée d'AirDrop. De plus, l'expéditeur et le destinataire doivent tous les deux s'authentifier en utilisant Face ID ou Touch ID antérieurement au partage d'un mot de passe. Mais il est probable que les pirates et les chercheurs fixent leur attention sur la fonctionnalité. Après tout, des problèmes de sécurité se sont autrefois produits sur AirDrop.

2FA, facile à utiliser

Le remplissage automatique des mots temporaire 2FA qui sont transmis via des messages texte SMS dispose en même temps des avantages et des inconvénients. Si le fournisseur de votre compte en ligne - Amazon, par exemple, ou de votre banque - vous offre un code texte 2FA, iOS 12 le prendra et le copiera automatiquement pour que vous n'ayez à soumettre le code PIN d’assistance temporaire à la mémoire.

C'est très pratique et cela attirera, nous espérons, beaucoup plus de gens à utiliser l'authentification à deux facteurs, qui est peut-être la seule amélioration disponible la plus importante jusqu'à présent. (Les codes 2FA générés fonctionnent voire mieux que les textes, mais c’est une autre affaire.)

On court un risque légèrement plus élevé si quelqu'un comprend la façon d'intercepter le code 2FA comme il est copié depuis Messages vers le programme clavier, mais ça vaut le coup si cela accélère le processus d'identification à deux facteurs.

Le défaut potentiel est que : il est possible qu'à part les code 2FA, les codes spéciaux qu'envoient beaucoup de banques en Europe lors des séances des services bancaires en ligne pourraient aussi être pris avec l'activation du remplissage automatique après la connexion avec succès de l'utilisateur.

Ces codes sont appelés les numéros d'authentification de transaction (TANs) et ils sont générés à n'importe quel moment où un utilisateur connecté commence de son chef une transaction financière telle que le transfert de l'argent entre les comptes ou le paiement d'un billet. (Pas besoin de TAN en matière des actions passives telles que la consultation du solde bancaire).

La banque copie le TAN vers le téléphone de l'utilisateur en lui demandant de vérifier si il/elle souhaite vraiment le déroulement de la transaction et l'utilisateur répond de façon affirmative en saisissant le TAN. Si l'utilisateur ne reconnait pas la demande de transaction, on lui dira alors d'appeler immédiatement la banque.

Le problème du remplissage automatique de 2FA est que les utilisateurs pourraient ne pas percevoir que le code proposé est un TAN au lieu d'un code d'authentification 2FA. Un hacker rusé pourrait profiter de ce point pour tromper les utilisateurs et pour les inciter à autoriser le transfert d'argent.

Comme les banques américaines n'emploient pas encore les TANs, nous ne sommes pas capables de vérifier si la version finale d'iOS 12 propose automatiquement les TANs et les codes 2FA. Nous avons posé la question aux chercheurs qui ont remarqué ce problème dans la version bêta d'iOS 12 et nous renouvèlerons l'article une fois que nous en savons plus.

En savoir plus sur les bonnes choses

Nous n'arrivons pas à trouver de défaut des autres améliorations de sécurité d'iOS.

Le Mode USB Restreint qui est optionnel sous iOS 11 est maintenant activé par défaut ; cela permet d'empêcher n'importe qui d'accéder aux données de votre iPhone au moyen d'une câble au cas où le téléphone serait mis en veille depuis plus d'une heure. (Avant cela, la fenêtre est une semaine entière) Vous aurez à saisir le mot de passe pour déverrouiller votre téléphone avec votre empreinte digitale (ou votre visage sur les appareils qui soutiennent Face ID) pour fournir un accès aux données USB.

Les mises à jour automatiques d'iOS sont actuellement facultatives - vous pouvez maintenant croire que votre iPhone dispose des derniers correctifs de sécurité. Effectivement, il existe dans le passé quelques mises à jour problématiques mais les problèmes survenus sous iOS ne sont pas aussi nombreux que sous Windows.

La fonctionnalité Temps d'écran qui vous fait part du temps que vous avez passé sur votre téléphone est également en mesure de signaler qu'elles sont les applications que vos enfants utilisent et de vous informer la durée qu'ils ont sur ces dernières. Vous pouvez aussi limiter la durée du temps que passent vos enfants sur certaines applications ou sur l'ensemble d'applications.

En profitant de la fonctionnalité du partage de position dans le partage familial, iOS 12 est doté maintenant de nombreuses fonctionnalités dans des applications tierces contrôlées par les parents. Toutefois, vous ne pouvez toujours pas lire les messages d'un enfant sauf si vous savez son mot de passe iCloud.