Les utilisateurs de macOS qui manipulent régulièrement des clés SSH pour accéder à leurs serveurs savent à quel point il est crucial de sécuriser ces précieuses données. Traditionnellement stockées sous forme de fichiers sur le disque dans le répertoire ~/.ssh/, ces clés sont vulnérables face à d’éventuelles attaques malware ou vols. Cependant, une solution native et peu connue intégrée à macOS permet désormais de stocker ces clés dans le Secure Enclave, une puce dédiée présente sur certains Mac, afin d’en renforcer la sécurité.
Cette fonctionnalité, documentée par le chercheur indépendant Arian van Putten, exploite l’API CryptoTokenKit d’Apple pour interfacer OpenSSH avec la Secure Enclave. Concrètement, cela revient à disposer d’une YubiKey intégrée dans votre Mac, sans avoir besoin d’un périphérique supplémentaire. La clé privée y est générée et conservée de manière inexportable, rendant toute tentative de vol ou d’extraction quasiment impossible. Lors de chaque connexion SSH, le système sollicite Touch ID pour valider l’usage de la clé, apportant ainsi une couche supplémentaire d’authentification biométrique.
“Les clés SSH stockées dans le Secure Enclave ne peuvent être ni exportées ni volées, garantissant une sécurité accrue grâce à Touch ID.”
Le processus pour profiter de cette sécurité passe par quelques commandes spécifiques. Après avoir créé une identité protégée par le Secure Enclave à l’aide de la commande sc_auth create-ctk-identity -l ssh -k p-256-ne -t bio, il faut générer les fichiers SSH de référence avec ssh-keygen -w /usr/lib/ssh-keychain.dylib -K -N "". Enfin, l’injection dans l’agent SSH s’effectue avec ssh-add -K -S /usr/lib/ssh-keychain.dylib. À chaque connexion, Touch ID s’active pour authentifier l’utilisation de la clé, ce qui confère une sécurité renforcée face aux tentatives de piratage.
Pour ceux qui préfèrent une solution avec une interface graphique conviviale, l’application Secretive offre une alternative. Disponible en version native, elle permet de générer et de gérer des clés dans le Secure Enclave, tout en bénéficiant de notifications lors de chaque utilisation. Depuis la version 3.0, Secretive prend également en charge les clés post-quantiques ML-DSA (FIPS 204), anticipant ainsi les enjeux liés à l’avènement de l’ère post-quantique. Même si votre Mac ne dispose pas d’une Secure Enclave, l’application peut se synchroniser avec une YubiKey ou d’autres dispositifs compatibles, offrant une flexibilité appréciable.
Par ailleurs, pour ceux qui possèdent déjà des clés SSH existantes et souhaitent ajouter une couche d’authentification biométrique, l’outil fssh propose une solution simple. Il chiffre vos clés avec AES-256-GCM, stocke la clé maître dans le Keychain de macOS, et requiert Touch ID pour déverrouiller ces clés lors de chaque connexion. Résultat : une utilisation simplifiée et hautement sécurisée, évitant d’avoir à retaper des passphrases à chaque fois, tout en garantissant que les clés restent protégées contre toute utilisation non autorisée.
