GreG

#GeeK #Domotique #Alire

Apple Watch et Yubikey : comment simplifier votre connexion sur macOS Sierra

Publié le 24 décembre 2016

Avec la dernière version de macOS, de nouveaux dispositifs de connexion sont apparus. Si celui exploitant l’Apple Watch est connu, il en est tout autrement de l’exploitation des smartcards, notamment à travers les Yubikey.

Dans la longue liste de nouveautés de macOS Sierra, une a particulièrement retenu l’attention : la possibilité de se connecter de manière simplifiée grâce à une Apple Watch. Un dispositif similaire à ce que Microsoft tente de proposer avec Windows Hello et son Companion Device Framework (voir cette vidéo de Channel 9), mais que chacun peut déjà exploiter dans la pratique.

Déverrouiller son Mac grâce à son Apple Watch

Comme souvent, le dispositif est assez simple, et nécessite un modèle mi-2013 ou supérieur. Vous devez bien entendu être à jour sous macOS et Watch OS et vous rendre dans la section Sécurité et confidentialité des Préférences système. Là, dans l’onglet Général, une nouvelle option est disponible, Autoriser votre Apple Watch à déverrouiller votre Mac :

Déverrouiller Mac Apple Watch

Une fois la case cochée, vous devrez taper votre mot de passe et attendre quelques secondes pour l’activation du service. Et c’est tout. Notez néanmoins que cela n’a qu’une portée limitée. En effet, si vous redémarrez complètement votre machine ou que votre session est fermée, vous devrez à nouveau taper votre mot de passe une première fois, un peu comme avec TouchID sous iOS.

Mais si votre machine se met en veille ou que vous suspendez son activité, il vous suffira d’être devant votre machine pour que la session s’ouvre à nouveau sans que vous ayez à taper votre mot de passe. Notez que cela ne fonctionne que si votre montre est déverrouillée, il ne suffira donc pas de vous la prendre et de l’approcher pour exploiter le système à votre insu.

Les smartcards font leur retour avec macOS Sierra

Mais ce que l’on sait moins, c’est que Sierra a signé le retour du support des smartcards pour la connexion, alors qu’il avait été déprécié à partir d’OS X à partir de la version Lion (10.7) en 2011. Il était alors basé sur CDSA/Tokend.

Dès la WWDC le début de l’été, Ludovic Rousseau, véritable bible sur le sujet, avait évoqué le fait que l’API CryptoTokenKit introduite avec Yosemite en 2014 se préparait à être utilisée. De quoi ouvrir la voie aux développeurs, d’autant plus que la version 10.12 introduisait la possibilité d’exploiter (en lecture) le contenu de certaines smartcards comme une extension du système.

Yubico saisit l’occasion : utilisez votre Yubikey

C’est cette possibilité qui a été saisie par l’équipe de Yubico afin de proposer un système de connexion simplifié exploitant ses Yubikey. Pour rappel, il s’agit d’un produit qui gère de nombreux standard de la génération de mots passe à usage unique, à la double authentification (U2F de la FIDO alliance). Elle permet ainsi déjà de faire office de Smartcard, de stocker une clef GPG, de renforcer la sécurité de vos comptes Dashlane, Dropbox, GitHub, Google, etc. 

Les modèles compatibles sont les Neo, Neo-n, 4 et Neo 4. Pour rappel, ces deux derniers se distinguent de par une certification FIPS 140 et le support de RSA 4096 / ECC p384. Cela leur permet notamment d’être supportées par Docker, ce qui n’est pas le cas des modèles inférieurs.

Notez que le modèle Neo reste le seul à gérer le NFC (notamment utile avec les smartphones Android) comme le détaille ce comparatif. Si votre machine Apple ne dispose pas d’un port USB classique, notez que vous avez toujours la possibilité d’acheter un adaptateur Type-C pour quelques euros.

PIV Manager pour générer un certificat

Dans la pratique, comment cela fonctionne ? De manière assez simple, même si un outil reste nécessaire pour initier la procédure. En effet, pour fonctionner comme une smartcard, votre Yubikey doit contenir un certificat.

 Yubikey macOS SierraYubikey macOS Sierra
Avant / Après

Pour simplifier la vie de ses utilisateurs, Yubico a mis à jour son application PIV Manager afin de vous proposer une procédure qui ne demandera que quelques clics (le certificat généré sera valable 30 ans). Si vous en avez déjà un, vous pourrez bien entendu l’utiliser à votre convenance.

Pour notre essai, nous avons utilisé une Yubikey 4 sur un Mac mini disposant déjà d’un compte (protégé par un mot de passe). Une fois l’application installée, vous la trouverez dans le Launchpad. Elle vous demandera d’insérer la clef dans un port USB de la machine, puis de procéder à son initialisation.

Un code PIN comme second élément de sécurité

Pour cela, vous devrez choisir un code PIN composé de six à huit caractères numériques (sinon la suite de la procédure nécessitera que vous changiez de code). lI sera nécessaire, en complément de la clef, pour procéder à votre connexion. Ainsi, vous pourrez remplacer un mot de passe complexe par un code plus simple, mais qui nécessitera un élément physique pour donner accès à votre Mac.

Yubikey macOS SierraYubikey macOS Sierra

Notez que le PIN peut être utilisé comme clef de gestion, ou vous pouvez décider d’en créer une qui pourra vous être demandé de temps à autre. En cas de souci, un code PUK de votre choix pourra être exigé.

Une fois la procédure terminée, il vous sera proposé d’associer votre Yubikey avec votre compte utilisateur macOS. Vous devrez alors taper votre code PIN, retirer puis remettre votre clef. Vous serez alors invité à taper votre code PIN à nouveau ainsi que votre mot de passe. La procédure sera alors terminée.

Dès lors, dès que votre machine sera verrouillée et que la Yubikey sera présente dans un port USB, on vous demandera le code PIN de cette dernière pour vous connecter. Sinon, vous devrez taper votre mot de passe de session habituel. Une pratique qui semble bien plus saine que ce qui a finalement été mis en place pour Windows 10 via une application dédiée.

Yubikey macOS SierraYubikey macOS Sierra

A lire sur : Next INpact – Actualités https://www.nextinpact.com/news/99466-apple-watch-et-yubikey-comment-simplifier-votre-connexion-sur-macos-sierra.htm

Share Button
Posté dans : Domotique, Geek, veille
Tag :
domotique, geek, veille

Articles récents

  • Install mtr sur Mac OSX M1
  • Serveur PTP linux
  • Postfix « message file too big »
  • Suivre sa consommation d’eau jour, semaine, mois, année avec Eedomus et réaliser enfin des économies
  • Comment automatiser et externaliser les sauvegardes de Jeedom sur NAS Synology

Archives

  • février 2022
  • juin 2019
  • juin 2018
  • février 2018
  • janvier 2018
  • novembre 2017
  • octobre 2017
  • septembre 2017
  • août 2017
  • juillet 2017
  • juin 2017
  • mai 2017
  • avril 2017
  • mars 2017
  • février 2017
  • janvier 2017
  • décembre 2016
  • novembre 2016
  • octobre 2016
  • septembre 2016
  • août 2016
  • juillet 2016
  • juin 2016
  • mars 2016
  • février 2016
  • janvier 2016
  • décembre 2015
  • novembre 2015
  • octobre 2015
  • septembre 2015
  • août 2015
  • juillet 2015
  • juin 2015
  • mai 2015
  • avril 2015
  • août 2014
  • juillet 2014
  • juin 2014
  • mai 2014
  • avril 2014
  • mars 2014
  • février 2014
  • janvier 2014

Mots-clés

30ans alf alire android apple bio chine chocolat cloud dolorean domotique espace geek google gopro hubic humour inconnus ios iphone linux m&ms mac macbook maman mediacenter montre ovh parrot pebble plante pub radioshack raid redbull reseau sense Skittles stockage stream surveillance veille video vidéos wood

Catégories

  • 80s
  • Alire
  • Android
  • Apple
  • Bio
  • Chocolat
  • Cloud
  • Domotique
  • Drone
  • Exploit
  • Geek
  • Humour
  • Linux
  • Mediacenter
  • Non classé
  • Reseau
  • Smartphone
  • veille

Copyright © 2025 GreG.