Avec la dernière version de macOS, de nouveaux dispositifs de connexion sont apparus. Si celui exploitant l’Apple Watch est connu, il en est tout autrement de l’exploitation des smartcards, notamment à travers les Yubikey.

Dans la longue liste de nouveautés de macOS Sierra, une a particulièrement retenu l’attention : la possibilité de se connecter de manière simplifiée grâce à une Apple Watch. Un dispositif similaire à ce que Microsoft tente de proposer avec Windows Hello et son Companion Device Framework (voir cette vidéo de Channel 9), mais que chacun peut déjà exploiter dans la pratique.

Déverrouiller son Mac grâce à son Apple Watch

Comme souvent, le dispositif est assez simple, et nécessite un modèle mi-2013 ou supérieur. Vous devez bien entendu être à jour sous macOS et Watch OS et vous rendre dans la section Sécurité et confidentialité des Préférences système. Là, dans l’onglet Général, une nouvelle option est disponible, Autoriser votre Apple Watch à déverrouiller votre Mac :

Une fois la case cochée, vous devrez taper votre mot de passe et attendre quelques secondes pour l’activation du service. Et c’est tout. Notez néanmoins que cela n’a qu’une portée limitée. En effet, si vous redémarrez complètement votre machine ou que votre session est fermée, vous devrez à nouveau taper votre mot de passe une première fois, un peu comme avec TouchID sous iOS.

Mais si votre machine se met en veille ou que vous suspendez son activité, il vous suffira d’être devant votre machine pour que la session s’ouvre à nouveau sans que vous ayez à taper votre mot de passe. Notez que cela ne fonctionne que si votre montre est déverrouillée, il ne suffira donc pas de vous la prendre et de l’approcher pour exploiter le système à votre insu.

Les smartcards font leur retour avec macOS Sierra

Mais ce que l’on sait moins, c’est que Sierra a signé le retour du support des smartcards pour la connexion, alors qu’il avait été déprécié à partir d’OS X à partir de la version Lion (10.7) en 2011. Il était alors basé sur CDSA/Tokend.

Dès la WWDC le début de l’été, Ludovic Rousseau, véritable bible sur le sujet, avait évoqué le fait que l’API CryptoTokenKit introduite avec Yosemite en 2014 se préparait à être utilisée. De quoi ouvrir la voie aux développeurs, d’autant plus que la version 10.12 introduisait la possibilité d’exploiter (en lecture) le contenu de certaines smartcards comme une extension du système.

Yubico saisit l’occasion : utilisez votre Yubikey

C’est cette possibilité qui a été saisie par l’équipe de Yubico afin de proposer un système de connexion simplifié exploitant ses Yubikey. Pour rappel, il s’agit d’un produit qui gère de nombreux standard de la génération de mots passe à usage unique, à la double authentification (U2F de la FIDO alliance). Elle permet ainsi déjà de faire office de Smartcard, de stocker une clef GPG, de renforcer la sécurité de vos comptes Dashlane, Dropbox, GitHub, Google, etc. 

Les modèles compatibles sont les Neo, Neo-n, 4 et Neo 4. Pour rappel, ces deux derniers se distinguent de par une certification FIPS 140 et le support de RSA 4096 / ECC p384. Cela leur permet notamment d’être supportées par Docker, ce qui n’est pas le cas des modèles inférieurs.

Notez que le modèle Neo reste le seul à gérer le NFC (notamment utile avec les smartphones Android) comme le détaille ce comparatif. Si votre machine Apple ne dispose pas d’un port USB classique, notez que vous avez toujours la possibilité d’acheter un adaptateur Type-C pour quelques euros.

PIV Manager pour générer un certificat

Dans la pratique, comment cela fonctionne ? De manière assez simple, même si un outil reste nécessaire pour initier la procédure. En effet, pour fonctionner comme une smartcard, votre Yubikey doit contenir un certificat.

 
Avant / Après

Pour simplifier la vie de ses utilisateurs, Yubico a mis à jour son application PIV Manager afin de vous proposer une procédure qui ne demandera que quelques clics (le certificat généré sera valable 30 ans). Si vous en avez déjà un, vous pourrez bien entendu l’utiliser à votre convenance.

Pour notre essai, nous avons utilisé une Yubikey 4 sur un Mac mini disposant déjà d’un compte (protégé par un mot de passe). Une fois l’application installée, vous la trouverez dans le Launchpad. Elle vous demandera d’insérer la clef dans un port USB de la machine, puis de procéder à son initialisation.

Un code PIN comme second élément de sécurité

Pour cela, vous devrez choisir un code PIN composé de six à huit caractères numériques (sinon la suite de la procédure nécessitera que vous changiez de code). lI sera nécessaire, en complément de la clef, pour procéder à votre connexion. Ainsi, vous pourrez remplacer un mot de passe complexe par un code plus simple, mais qui nécessitera un élément physique pour donner accès à votre Mac.

Notez que le PIN peut être utilisé comme clef de gestion, ou vous pouvez décider d’en créer une qui pourra vous être demandé de temps à autre. En cas de souci, un code PUK de votre choix pourra être exigé.

Une fois la procédure terminée, il vous sera proposé d’associer votre Yubikey avec votre compte utilisateur macOS. Vous devrez alors taper votre code PIN, retirer puis remettre votre clef. Vous serez alors invité à taper votre code PIN à nouveau ainsi que votre mot de passe. La procédure sera alors terminée.

Dès lors, dès que votre machine sera verrouillée et que la Yubikey sera présente dans un port USB, on vous demandera le code PIN de cette dernière pour vous connecter. Sinon, vous devrez taper votre mot de passe de session habituel. Une pratique qui semble bien plus saine que ce qui a finalement été mis en place pour Windows 10 via une application dédiée.