Les experts d'ArsTechnica se sont intéressés au stockage du trousseau dans iCloud et ont déniché quelques incohérences intéressantes.
Pour rappel, cette option (apparue avec iOS 7 et Mavericks) permet de partager les mots de passe à travers son Mac, son iPhone et son iPad de manière transparente. Apple vous propose plusieurs solutions pour protéger ce trousseau : entrer un mot de passe à 4 chiffres (celui par défaut), créer un mot de passe complexe (avec chiffres, lettres etc.) et enfin, ne pas créer de mot de passe du tout.
Dans une note technique, la firme déclare d'ailleurs que dans ce dernier cas, les mots de passe ne sont pas envoyés dans le Cloud, une assurance intéressante pour ceux qui préfèrent ne pas confier leurs identifiants à des serveurs situés aux USA :
Puis-je configurer iCloud Keychain de sorte que mes données ne soient pas sauvegardées dans le nuage?
Oui. Lors de la configuration d'iCloud Keychain, vous pouvez sauter l'étape de la création d'un code de sécurité iCloud. Vos données de trousseau sont ensuite stockées uniquement localement sur le périphérique et les mises à jour uniquement à travers vos appareils approuvés.
Important: Si vous choisissez de ne pas créer un code de sécurité iCloud, Apple ne sera pas en mesure de récupérer votre Keychain iCloud.
Or d'après le site, cette affirmation est fausse. Pour le prouver, il suffit de mener l'expérience suivante :
- configurer l'option sans mot de passe - ajouter son iPhone ou son iPad dans la liste des périphériques autorisés - mettre son iPhone en mode avion (sans WiFi) - ajouter un identifiant sur son Mac - couper le réseau sur le Mac - attendre quelques minutes - réactiver le réseau sur l'iPhone - le nouvel identifiant apparaitra alors sur l'iPhone !
Voilà donc la preuve qu'Apple stocke, au moins temporairement, votre trousseau dans le Cloud : ce ne sont pas vos appareils qui communiquent entre eux directement, puisque dans l'expérience ci-dessus, chacun n'a eu accès au réseau qu'en l'absence de l'autre.
Toujours sur le volet sécuritaire, nos confrères ont interrogé Apple, quant à sa soit-disant incapacité à lire vos identifiants une fois stockés en ligne. Ce à quoi Cupertino a répondu : Apple ne voit que les données chiffrées et n'a pas la clé pour les déchiffrer. Seuls les dispositifs de confiance que les utilisateurs ont autorisés peuvent accéder au trousseau iCloud.
Or comme vous le savez peut-être, un code à 4 chiffres se casse très rapidement côté client. Nos confrères citent notamment les travaux d'Andrey Belenko, qui relève que le système de stockage des clefs n'est pas aussi sécurisé qu'il le devrait. En clair, Apple ne devrait pas avoir beaucoup de mal à les obtenir et à casser votre code. Si l'on souhaite se protéger au mieux d'Apple, les experts recommandent donc d'utiliser un mot de passe complexe (plus long à casser), mais à n'en pas douter, l'immense majorité des utilisateurs préféreront le code à 4 chiffres, bien plus facile à taper sur l'ensemble de leurs appareils.
