L'authentification à deux facteurs iCloud envoie-t-elle un code au même appareil que la demande de connexion ?

C'est ainsi que cela fonctionne et ce n'est pas un bogue. C'est un système à deux facteurs l'authentification , pas la prévention .

Oui, il est envoyé à cet appareil mais, comme vous l'avez mentionné, il est également envoyé à tous les autres appareils connectés avec le même identifiant Apple. Cela a pour but d'avertir l'utilisateur qu'une tentative de connexion est en cours.

Pour reprendre votre exemple, si vous essayez de vous connecter à un Mac, cela signifie que vous n'êtes pas connecté. Dans ce cas, le Mac ne recevra pas le code car il n'est envoyé qu'aux appareils qui sont connectés avec cet identifiant. Votre Mac n'est pas connecté à ce moment-là.

Vous pouvez éviter cela de deux manières :

• marquer le navigateur/appareil comme étant toujours de confiance (ce qui vous rend moins sûr - la demande de connexion ne sera pas diffusée à tous vos autres appareils)
• supprimer cet appareil de votre liste de confiance - toutes les demandes de connexion nécessiteront un autre appareil pour recevoir votre code PIN à 6 chiffres (ce qui verrouille encore plus cet appareil - au prix de l'impossibilité de l'utiliser comme appareil approuvé pour iCloud).

Si vous êtes déjà connecté à votre Mac et que vous souhaitez ajouter un nouvel appareil à iCloud, votre Mac recevra le code parce qu'il s'agit d'un appareil connecté avec votre identifiant Apple et que vous avez déjà fait "confiance" à ce Mac. Le code avertit donc tous vos appareils qu'une tentative de connexion est en cours.

Cette page Apple 2FA peut fournir des informations supplémentaires.

Il ne s'agit pas d'un bogue.

Votre question comporte une erreur qui vous fait croire qu'il s'agit d'un bogue : Vous écrivez que le code à 6 chiffres est envoyé à l'appareil à partir duquel vous essayez de vous connecter. Ce n'est pas le cas.

Les codes à 6 chiffres ne sont pas envoyés à votre dispositif de confiance (sauf si vous avez spécifiquement demandé que le code à 6 chiffres soit envoyé par SMS). Le code à 6 chiffres est déjà présent, en ce sens qu'il est calculé sur l'appareil.

La seule chose envoyée à votre appareil de confiance est une notification indiquant que quelqu'un essaie de se connecter et l'origine géographique approximative de cette demande.

En général, vous vous connectez à partir d'un appareil de confiance, par exemple en vous connectant à l'application "Apple Store" sur un iPhone de confiance. Dans ce cas, le code à 6 chiffres n'est pas demandé. Il est automatiquement calculé sur l'iPhone de confiance et envoyé avec votre mot de passe au serveur pour authentification.

La situation que vous décrivez se produit si vous utilisez un Mac que vous avez ajouté en tant qu'appareil de confiance (l'ordinateur lui-même) - et que vous essayez ensuite de vous connecter à un service Apple via un navigateur qui n'est pas de confiance.

Un navigateur, comme par exemple Google Chrome, ne "sait" pas que votre ordinateur est fiable et n'a pas accès aux données nécessaires pour calculer le code à 6 chiffres lui-même - le navigateur lui-même doit être fiable pour que cela se produise. Si le navigateur était fiable, vous ne verriez pas de demande de saisie d'un code à 6 chiffres, celui-ci serait automatiquement transmis.

Dans le cas d'un navigateur non fiable, vous saisissez votre mot de passe et une notification est envoyée à tous vos appareils fiables. Cela inclut votre Mac (au niveau du système d'exploitation - pas au niveau du navigateur). Vous obtenez ensuite une fenêtre contextuelle contenant le code à 6 chiffres calculé sur votre appareil. Vous pouvez le saisir dans le navigateur et choisir de faire confiance au navigateur, afin de ne pas avoir à recommencer.

La raison pour laquelle il ne s'agit pas d'un bogue est que l'authentification à deux facteurs signifie dans ce cas que l'utilisateur s'authentifie par "quelque chose qu'il sait" et "quelque chose qu'il a". Dans ce cas, le "quelque chose que vous connaissez" est le mot de passe et le "quelque chose que vous possédez" est la donnée de confiance spéciale qui permet de calculer le code à 6 chiffres.

L'utilisateur connecté au Mac dans ce cas précis possède manifestement les deux, et il est donc parfaitement valable de l'authentifier.

Si un pirate avait essayé de se connecter au site web avec le mot de passe qu'il a volé, il aurait été empêché de s'authentifier parce qu'il ne connaît pas votre code à 6 chiffres.

Si un pirate avait tenté de se connecter au site web à partir de votre propre ordinateur après avoir volé votre mot de passe Apple-ID - sans être connecté en tant qu'utilisateur sur l'ordinateur - il aurait été empêché de s'authentifier parce qu'il ne connaît pas votre code à 6 chiffres. Ce code n'est pas envoyé à l'ordinateur, de sorte qu'il n'est pas possible de l'extraire du trafic réseau.

Si un pirate tente de se connecter au site web à partir de votre propre ordinateur après avoir volé votre mot de passe Apple-ID - et qu'il est déjà connecté avec votre compte d'utilisateur sur l'ordinateur - cela ne l'arrêtera pas. Ils ont déjà accès aux données de confiance et connaissent votre mot de passe. Même si la notification n'avait pas été envoyée à cet appareil, mais seulement à vos autres appareils, cela n'aurait servi à rien : l'attaquant aurait pu générer lui-même le code à 6 chiffres sur l'ordinateur. L'avantage est que vous êtes averti sur vos autres appareils de confiance que quelqu'un essaie de se connecter.

En conclusion : Il ne s'agit pas d'un bogue - cela ne réduit pas la sécurité. C'est ainsi que les systèmes 2FA sont généralement conçus.

La question de savoir s'il s'agit d'un bogue est discutable. Il est évident qu'il s'agit d'un réduit la sécurité.

Supposons que je sois un méchant qui voit un appareil Apple dont le propriétaire a omis de se déconnecter ou de le verrouiller. Je décide de voir ce que je peux faire. La première chose que j'essaie de faire me donne l'image A (A.jpg). Oh, cool, le trousseau de clés du propriétaire remplira le mot de passe pour moi

L'authentification à deux facteurs sur le même appareil me demande d'approuver le fait que moi (le méchant) me connecte à l'appareil. C'est ça la sécurité ? (image B). C'est pratique pour le méchant, qui ne sait pas où se trouvent les autres appareils.

De nouveau, sur le même appareil, on me demande de saisir un code de vérification, ce que je peux facilement faire, car il est affiché pour moi sur le même appareil. (image C)

Avant qu'Apple n'introduise cette erreur de conception (oui, c'est mon opinion, fermement maintenue), j'ai désactivé la fonction 2FA parce que j'étais souvent bloqué hors de mon appareil lorsque l'autre appareil n'était pas disponible. Malheureusement, depuis, ils ont décidé (une autre erreur IMHO) que nous ne sommes plus autorisés à le désactiver.