En prenant mon café matinal dimanche dernier j'ai reçu ce courriel de Apple:

Comme j'étais le seul debout dans la maison et comme je n'avais pas touché au iPad de Marie, je me suis bien demandé qui aurait pus activer ceci à mon insu. La réponse se trouvait à l'étage supérieur alors que Marie, qui venait de se réveiller et qui voulait démarrer la machine à café à distance à l'aide de l'application Wemo, s'est retrouvé avec un iPad qui a reçu une mise-à-jour durant la nuit et le mode "two-factor authentication" activé par défaut. Je ne sais pas comment le tout fut présenté, ni pourquoi la Mise-à-jour a été installé ou imposé. Dans le doute je me suis dis que Marie devait surement tenir le iPad d'une mauvaise manière, pour paraphraser Steve Jobs et le antennagate (https://www.engadget.com/2010/06/24/apple-responds-over-iphone-4-reception-issues-youre-holding-th/)

J'ai donc décidé de regarder de plus près ce qu'était la double authentication offert par Apple.

La double authentication est basé sur le principe qu'avant de permettre une connection à un compte il faut (1) une chose que l'utilisateur connais (i.e. son mot de passe) et (2) une chose qu'il possède (i.e. normalement son cellulaire).

Donc, si quelqu'un vole votre mot de passe (1), il ne pourra pas se connecter à votre compte car il n'a pas la chose que vous possédez (2). Ceci est une des meilleures façon de se protéger des hackers qui réussissent à voler les mots de passes des usagers sur des sites web.

J'utilise cette approche depuis plusieurs années avec mes comptes gmail et Evernote principalement et je la recommande fortement. C'est deux produits utilisent une approche/technologie implanté par google (https://en.wikipedia.org/wiki/Google_Authenticator) basé sur un code numérique regénéré à chaque minutes nécessaire pour s'identifier à l'étape (2). Pour avoir ce fameux code, il faut avoir son cellulaire avec sois et démarrer l'application Google Authenticator qui nous fournira ce code. Pour ma part, j'utilise un autre application, nommé Authy, qui génère ces codes (https://www.authy.com/) et qui est plus conviviale.

Mais Apple n'utilise pas cette même technologie, mais préserve le sens de la double authentication. Au lieu d'utiliser une application tierce pour générer le code nécessaire à l'étape (2), Apple a décidé d'utiliser les SMS. Pour ma part je préfère l'approche utilisée par Google/Evernote car c'est plus facile de l'activer sur plus d'un devices, principalement avec l'application Authy.

Mais l'approche par SMS de Apple pourrait être plus simple pour plusieurs. Mais pour se sentir en sécurité je recommande fortement d'enregistrer plus d'un numéro de téléphone à votre compte Apple et c'est ce qui m'a amené à écrire ce billet aujourd'hui. Dans l'éventualité où vous perdez usage de votre cellulaire (perte, vol, bris, etc) vous pourriez quand même vous connecter dans votre compte Apple en utilisant le code de connection envoyé à un autre cellulaire. Je recommande d'utiliser le numéro de cellulaire d'un conjoint, enfants, amis. Ceci ne compromettra pas la sécurité de votre compte Apple car toute ces personnes ne connaissent pas le mot de passe de votre compte, qui demeure primordial pour se connecter à votre compte Apple.

Pour ajouter un autre numéro de cellulaire à votre compte il suffit de vous connecter à votre compte Apple via le web (https://appleid.apple.com/) et suivre la procédure indiqué ici (https://support.apple.com/en-ca/HT204915#manage).

Pour tester le tout :
  • retourner à la page de connection de votre compte Apple (https://appleid.apple.com/) et entrez votre nom d`utilisateur et votre mot de passe
  • Demandez à ce qu'un code soi généré (par defaut le code est envoyé à vos iPad/iPhone sans utiliser le SMS):
  • Selectionner l'option "Use Phone Number":
  • Et spécifier le cellulaire où le code de vérification doit être envoyé:


Une fois le code reçus via SMS il vous suffira de l'enregister à la page web pour compléter la connection.