La vérification d'une identité en 2 étapes pour un compte iCloud apparue hier soir va également s'appliquer aux applications de tierces parties et ce, de manière obligatoire. Apple envoie en ce moment des mail pour prévenir les utilisateurs qui ont déjà activé par le passé cette double authentification pour leur compte Apple ID et maintenant pour iCloud.
En résumé : une application qui se connecte à iCloud pour relever votre mail ou utiliser par exemple vos calendriers ou carnet d'adresses n'utilisera plus le mot de passe de votre compte. Chaque application aura un mot de passe qui lui est propre et qu'il faut générer au cas par cas sur son compte Apple ID. Ce système assure une sécurité supplémentaire même pour des logiciels incompatibles à la base avec la double authentification. Apple cite des exemples comme Outlook, Thunderbird ou BusyCal.
Pour profiter de cette fonction, il faut se connecter sur la page de gestion de son identifiant Apple puis aller dans la section Mot de passe et sécurité. Chaque mot de passe peut être associé à un intitulé, on s'y retrouvera plus facilement par la suite. Une fois le mot de passe d'application généré, un mail est envoyé à votre adresse pour vous prévenir de cette manipulation (dans l'hypothèse où elle aurait été quand même réalisée à votre insu).
25 mots de passe peuvent être ainsi générés, pour autant d'applications. Passé cette limite, il faut révoquer un mot de passe. Une page d'historique sur iCloud tient la comptabilité de ces mots de passe.
Si vous changez le mot de passe principal de votre compte iCloud, ce travail de création de mots de passe pour chacune de vos applications est à refaire (fiche technique).
Ce procédé qui existe déjà pour Gmail par exemple peut être fastidieux lorsqu'on configure une nouvelle machine ou installer une application. Mais il va devenir obligatoire. À compter du 1er octobre les applications qui ne gèrent pas la double authentification devront se connecter avec ces mots de passe de substition.
Au passage, comme à chaque fois qu'Apple communique autour de ses services web, il n'est pas rare que des spammeurs en profitent pour distribuer dans la foulée des email de phishing afin de collecter vos données d'identification. Le courrier envoyé par Apple contient l'adresse où aller régler ces mots de passe — https://appleid.apple.com — mais le lien n'est pas cliquable. Ce sera certainement l'inverse dans ces éventuels courriers de phishing qui conduiront aussi à une adresse très différente…
