Sécurité iCloud en 2017: quelle est la prochaine étape?
Reincubate aide les entreprises et les particuliers à créer de la valeur avec leurs propres données de manière éthique et transparente. Il est donc important que les données et les plateformes sous-jacentes soient elles-mêmes sécurisées. Outre certains des éléments plus vastes de la sécurité du cloud , iCloud présente quatre tendances et domaines de changement positif début 2017.
Authentification à deux facteurs: fortement encouragée dans iOS 10.3
Le premier est le déploiement croissant de 2FA. C'est une excellente étape de la part d'Apple pour accroître la sécurité des comptes iCloud. Dans le but d'encourager l'adoption de la norme, Reincubate a lancé en 2016 une assistance gratuite pour tous les utilisateurs 2FA, 2SV et Tokenization pour tous ses utilisateurs. indicateur sur l'icône des paramètres, une meilleure documentation et des notifications régulières aux utilisateurs pour l'activer. La publication de la version 10.3 plus tard ce mois-ci entraînera une poussée d'adoption de 2FA, qui, selon les propres données de Reincubate, reste faible.
Stockage réduit de données dynamiques dans les sauvegardes
Alors qu'en 2015, Apple stockait la plupart de ses propres données dans des sauvegardes iCloud, ce n'est de plus en plus le cas. En 2016, iOS 9.3 a transféré l'historique du navigateur de Safari dans le service de synchronisation CloudKit d'Apple et la version d'iOS 10 déplacée a ouvert une session de connexion à CallKit.
La complexité croissante de ces systèmes dissuade les pirates informatiques et réduit l’importance des sauvegardes iCloud en tant que jeu unique de données de base, tout en présentant un mécanisme dans lequel certaines données sont synchronisées plus souvent que toutes les 24 heures. L'API Cloud Data de Reincubate a pris en charge toutes les étapes de ce processus.
Notification d'accès au compte, extraction de contraintes et de fonctionnalités
Alors que Apple a construit des systèmes de notification de compte pour certains éléments d'iCloud, tous les accès ne sont pas divulgués et ne doivent pas être rendus responsables. L’équipe de Reincubate pense que cela devrait être le cas et s’emploie donc à définir et à appliquer le standard de l’industrie pour ce mécanisme dans l’API Cloud Data. Nous en ferons plus dans les mois à venir, à mesure que la norme se développera.
Il existe des techniques permettant de limiter la quantité de données en nuage circulant dans les systèmes. L'API de Reincubate fournit des fonctionnalités essentielles pour limiter le volume et la nature des données auxquelles les clients peuvent accéder, de manière à ce qu'elles puissent être sauvegardées en cas de violation de leurs propres systèmes ou informations d'identification. De même, les techniques d'apprentissage automatique (ML) telles que l' extraction de fonctionnalités constituent pour les clients un excellent moyen de faire ressortir les informations du nuage sans avoir à stocker ou à révéler les données sous-jacentes.
Utilisation de systèmes et d'environnements sécurisés
Enfin, comme pour les techniques utilisées dans Apple Pay et TouchID, Apple en fera davantage dans la grande mise à jour iOS 2017 pour tirer parti des environnements sécurisés disponibles dans iOS et macOS. Pour les pirates informatiques tentant d’y entrer, ces travaux augmenteront considérablement la complexité et les coûts liés à la recherche et au maintien de l’accès à ces systèmes, dans la mesure où ils cibleront d’autres plates-formes plus faibles, qu’il faudra améliorer. En 2016, Apple en a donné un autre coup d'œil en corrigeant le chiffrement local des sauvegardes iOS 10 iTunes pour qu'il soit extrêmement coûteux .
Expert en sécurité et auteur de Little Flocker , Jonathan Zdziarski explique plus en détail comment la technologie fermée de macOS et iOS est utilisée pour offrir une expérience sécurisée avec Apple Pay et comment ces techniques peuvent être étendues pour lutter contre le phishing .