MENU
  1. Accueil
  2. Microsoft 365
  3. Sauvegarde Microsoft Authenticator sur iPhone et iPad : limites iCloud et solutions

Sauvegarde Microsoft Authenticator sur iPhone et iPad : limites iCloud et solutions

Microsoft 365

Vous utilisez Microsoft Authenticator sur iPhone et iPad ? Comprendre les limites de la sauvegarde iCloud est essentiel pour éviter toute perte de vos comptes OTP. Cet article détaille pourquoi une seule sauvegarde par identifiant Apple est autorisée, comment restaurer le bon appareil et quelles stratégies adopter pour sécuriser l’ensemble de vos codes.

Sommaire

Sauvegarde de Microsoft Authenticator sur plusieurs appareils iOS

Vue d’ensemble de la question

De nombreux utilisateurs possèdent un iPhone pour leur usage quotidien et un iPad pour le télétravail, le tout connecté au même identifiant Apple. Lorsqu’ils tentent d’activer la sauvegarde iCloud sur le second appareil, Authenticator affiche le message :

« There is already a backup on your iCloud account on another device »

Ce comportement n’est pas un bug ; il découle d’une limitation de conception visant à éviter les conflits de version et à préserver l’intégrité cryptographique des données.

Limitation fondamentale

Microsoft Authenticator ne maintient qu’une seule sauvegarde active par identifiant Apple (Apple ID). Chaque nouvelle sauvegarde écrase la précédente, même si elle provient d’un autre terminal partageant le même compte iCloud. En revanche, l’application reste pleinement fonctionnelle sur plusieurs appareils ; chacun génère ses propres codes valides à partir de sa clé secrète locale.

Procédure normale de récupération sur un appareil unique

  1. Installez Microsoft Authenticator depuis l’App Store sur le nouvel appareil ou après réinitialisation.
  2. Sélectionnez « Commencer la récupération » lors du premier lancement.
  3. Connectez‑vous avec le compte Microsoft ayant servi à activer la sauvegarde.
  4. Assurez‑vous qu’aucun compte n’est déjà listé avant de lancer la restauration ; dans le cas contraire, supprimez‑les ou réinstallez l’application.

Pourquoi une seule sauvegarde par identifiant Apple ?

Chaque appareil iOS crée un credential unique, chiffré à l’aide de la Secure Enclave, puis stocké dans un conteneur iCloud protégé. Autoriser plusieurs fichiers de sauvegarde pour un même Apple ID introduirait un risque élevé de divergence : deux ensembles de comptes OTP simultanément actifs mais désynchronisés augmentent la probabilité de codes invalides durant une authentification critique. Microsoft a donc privilégié la cohérence à la flexibilité.

Différence entre sauvegarde et synchronisation

La sauvegarde est un cliché ponctuel des comptes enregistrés, utile en cas de perte ou remplacement d’appareil. La synchronisation en temps réel n’existe pas encore dans Authenticator ; chaque terminal reste isolé après la restauration. Vous pouvez néanmoins visualiser les mêmes comptes sur iPhone et iPad en les ajoutant manuellement ou en scannant à nouveau le QR code fourni par chaque service.

Limites et contournements possibles

Besoin utilisateurPossibilité de contournement
Sauvegarder iPhone et iPad sur le même Apple IDImpossible ; choisissez l’appareil dont la sauvegarde iCloud restera la référence.
Garder les deux appareils opérationnels sans perte de donnéesAjoutez ou mettez à jour les comptes OTP manuellement sur chaque terminal.
Conserver une sauvegarde distincte pour chaque appareilUtilisez deux identifiants Apple différents ou effectuez une sauvegarde locale chiffrée via Finder/iTunes.
Migration vers un nouvel iPhoneUtilisez le transfert direct d’iOS ou la restauration depuis la sauvegarde unique, puis recréez les comptes manquants.

Scénarios d’usage et bonnes pratiques

Changement de téléphone professionnel : avant de remettre l’ancien appareil, placez‑le à proximité du nouveau, ouvrez Authenticator et utilisez la fonction « Transférer les comptes » (code QR interne). Cela évite la saisie manuelle de dizaines de codes secrets.

iPad comme terminal hors‑ligne : si vous aimez disposer d’un plan B sans réseau cellulaire, laissez simplement l’iPad sans sauvegarde iCloud et exportez vos comptes à la main. Tant que la clé secrète est la même, le TOTP généré reste valide sur 30 secondes.

Réinitialisation usine : vérifiez toujours que la sauvegarde iCloud date de moins de 24 heures avant d’effacer le contenu. Une capture d’écran de l’horodatage iCloud peut servir de preuve en cas de litige avec le support.

Étapes détaillées pour ajouter manuellement un compte sur le second appareil

  1. Sur l’appareil source (iPhone), ouvrez le service concerné (Azure AD, Google, GitHub…) et affichez le QR code de configuration.
  2. Sur l’appareil cible (iPad), touchez le signe « + » dans Authenticator et sélectionnez Ajouter un compte.
  3. Scannez le QR code ; vérifiez que le nom de compte et l’icône correspondent.
  4. Testez l’authentification sur le service pour confirmer le bon fonctionnement sur les deux terminaux.

Alternatives multi‑appareils

  • Google Authenticator : depuis 2023, la synchronisation chiffrée via Google Cloud permet plusieurs sauvegardes simultanées. Attention aux exigences de conformité RGPD.
  • 1Password et Bitwarden : intègrent l’OTP au coffre‑fort, avec synchronisation illimitée sur tous les OS. Idéal si votre entreprise autorise ces gestionnaires.
  • Clés de sécurité FIDO2 : les clés matérielles (YubiKey, Feitian…) éliminent le besoin de codes temporaires et fonctionnent hors‑ligne.

Méthodes de secours indispensables

Ne dépendez jamais d’un seul facteur ! Imprimez les codes de récupération fournis par la plupart des services, stockez‑les dans un coffre‑fort physique ou numérique (fichier chiffré AES‑256). Utilisez au moins deux clés FIDO et activez la vérification par SMS uniquement en dernier recours.

FAQ

La sauvegarde écrasée peut‑elle être récupérée ?
Non ; lorsqu’Authenticator envoie un nouveau fichier, iCloud remplace l’ancien. Sans sauvegarde locale ou capture de QR codes, la seule solution consiste à réenregistrer chaque compte auprès des services concernés.

Les notifications push MFA Microsoft fonctionnent‑elles encore après un écrasement de sauvegarde ?
Oui ; elles se basent sur le jeton PNS et non sur le fichier de sauvegarde. Vous pouvez donc approuver une connexion depuis l’iPhone même si l’iPad détient l’unique sauvegarde.

Puis‑je cloner la sauvegarde iCloud vers un autre Apple ID ?
Non, la sauvegarde est liée cryptographiquement à l’Apple ID et au compte Microsoft utilisé lors de l’activation.

En cas de perte ou de vol d’un appareil

  • Connectez‑vous au centre de sécurité Microsoft pour révoquer d’éventuels jetons compromis.
  • Changez immédiatement le mot de passe de l’Apple ID pour bloquer l’accès iCloud.
  • Restaurer l’unique sauvegarde Authenticator sur un nouvel appareil, puis recréez les comptes manquants.
  • Mettez à jour les listes d’appareils approuvés dans chaque service (Azure, Google, GitLab, etc.).

Résumé des points clés

  • Une seule sauvegarde Authenticator est autorisée par Apple ID.
  • L’application fonctionne sur plusieurs appareils, mais sans synchronisation automatique.
  • Choisissez stratégiquement l’appareil hébergeant la sauvegarde iCloud.
  • Conservez des méthodes de secours : codes imprimés, clés FIDO, SMS.
  • Envisagez des alternatives multi‑appareils si la contrainte devient bloquante.

Zoom sur le fonctionnement cryptographique

Chaque compte OTP est constitué d’un secret partagé base32, stocké dans le Trousseau iOS puis chiffré avant d’être exporté dans iCloud Drive. Lors de la restauration, l’application vérifie l’empreinte SHA‑256 de ce secret et crée un nouveau mappage deviceId → credential. Autoriser plusieurs sauvegardes entraînerait des hash collisions potentiellement non gérées, rendant le processus de dérivation de clé (PBKDF2/HMAC‑SHA1) incohérent. Microsoft a donc implémenté un lock file à jeton unique dans le conteneur iCloud, empêchant toute seconde sauvegarde sans suppression manuelle de la précédente.

Concrètement, le fichier com.microsoft.authenticator_backup inclut :

  • La liste des comptes (issuer, label, secret crypté, algorithme SHA‑1/256, numéro de digits, période).
  • Le GUID de l’appareil (UDID iOS).
  • Un timestamp d’export et un numéro de version de schéma.

Lorsqu’un second appareil tente d’écrire, il compare son deviceGUID à celui existant ; s’ils diffèrent, la sauvegarde est refusée et l’utilisateur voit apparaître le message d’erreur. Seul un effacement explicite du conteneur ou le remplacement de l’autre sauvegarde fournit la permission nécessaire.

Bonnes pratiques pour les administrateurs d’entreprise

Dans un environnement Microsoft 365, imposez aux utilisateurs d’activer Numéro de téléphone et Clé de sécurité FIDO2 comme facteurs additionnels. Diffusez un tutoriel interne expliquant :

  1. Comment vérifier la date de sauvegarde Authenticator dans Réglages > iCloud > Gérer le stockage.
  2. Comment exporter temporairement les comptes vers un appareil non géré puis les supprimer après migration.
  3. Comment désactiver l’authentification moderne pour un utilisateur verrouillé afin de réinitialiser ses MFA.

Perspectives d’évolution

D’après la feuille de route publique de Microsoft, la synchronisation multi‑device sécurisée figure dans la backlog Azure AD, mais aucune date n’est annoncée. En attendant, il est recommandé d’articuler un jeu de secours robuste plutôt que d’espérer une prise en charge imminente.

Microsoft 365
Sauvegarde iOS iCloud Microsoft Authenticator OTP
Sommaire