Google est convaincu que ses 85 000 employés n’ont pas été victimes de vol d’identifiants et de mots de passe lors d’attaques de pirates informatiques depuis 2017. Ce succès est dû à une seule raison : le remplacement de l’authentification à deux facteurs (2FA) par logiciel – avec des applications telles que Google Authenticator lui-même – par des clés physiques USB à bas prix pour PC (et téléphones portables via NFC).
Depuis lors, Google utilise un système appelé Second facteur universel (U2F, ou universal 2nd factor), une norme d’authentification open source émergente.
Certains sites fonctionnent déjà avec U2F/FIDO 2 et vous pouvez vous inscrire de cette manière sur Twitter, Facebook, Gmail, GitHub, Dropbox, Salesforce et d’autres services de Google. Les gestionnaires de mots de passe aussi (Dashlane, Keepass et LastPass).
Un fabricant propose une liste de tous les systèmes compatibles avec les clés de sécurité.
Pour travailler sur d’autres sites et se dispenser de taper constamment des identifiants et des mots de passe (ce qui rend l’accès vulnérable à diverses méthodes de vol de mots de passe comme le phishing et l’homme du milieu), les développeurs doivent intégrer l’API d’authentification Web ? également connue sous le nom de WebAuthn. Cette norme a été publiée par le World Wide Web Consortium et l’Alliance FIDO (Fast IDentity Online).
Sommaire
Qu’est-ce que l’U2F et comment fonctionne-t-elle ?
Les moyens les plus courants pour se connecter à l’aide de 2FA nécessitent que l’utilisateur saisisse son mot de passe et un code unique envoyé sur son téléphone portable par SMS ou par une application telle que Authy ou Google Authenticator. L’utilisation de SMS et d’appels téléphoniques pour recevoir des codes est signalée par les experts comme étant “moins sûre” que l’utilisation d’une application à jeton car vous pouvez intercepter cette communication.
La clé physique est toutefois plus sûre que les applications. L’idée derrière l’authentification à deux facteurs utilisant cette stratégie est que même si les intrus peuvent voler un login et un mot de passe, ils ne pourront pas accéder aux comptes ou aux fichiers à moins d’avoir également ce second facteur physique en possession de l’utilisateur.
La clé de sécurité fonctionne avec une autre forme d’authentification connue sous le nom de second facteur universel (U2F, ou second facteur universel), qui permet à l’utilisateur de terminer le processus de connexion en insérant une clé USB et en appuyant sur un bouton, comme pour ouvrir un coffre-fort. Le processus se déroule sans qu’il soit nécessaire de faire appel à des chauffeurs.
Une fois qu’une clé est enregistrée sur un site web spécifique (et prend en charge U2F), l’utilisateur n’a plus besoin de saisir son mot de passe s’il utilise le même dispositif.
U2F/FIDO 2 est pris en charge par Google Chrome, Firefox et le navigateur Opera. Dans le cas de Mozilla, il fonctionne à la fois sur Firefox et sur Quantum. Mais U2F n’est pas activé par défaut sur le Red Panda. Tapez “about : config” dans la barre du navigateur et collez ce qui suit, sans les guillemets : “security.webauth.u2f”. Et changer la préférence de “faux” à “vrai”.
Le navigateur Microsoft Edge sur Windows devrait obtenir le soutien de U2F d’ici la fin de l’année. Apple n’a pas encore précisé quand et si elle l’appliquera dans Safari.
Qui fabrique les clés U2F, combien cela coûte-t-il et comment les acheter ?
Le fabricant de clés de sécurité le plus populaire est Yubico, qui vend une clé U2F de base pour 20 euros. La société propose des clés de sécurité pour les ports USB-A et USB-C communs. Yubikey vend également des clés plus petites et plus chères, orientées vers les appareils mobiles tels que l’iPhone et l’iPad (iOS) et les smartphones et tablettes avec Android et aussi Windows 10.
Le fabricant propose des packs d’entreprise avec deux (36 euros), dix (180 euros) ou cinquante (900 euros) clés physiques U2F et suggère également qu’il est toujours bon d’avoir une clé de sécurité de secours. Si vous en perdez un, vous pouvez accéder à vos comptes grâce à la sauvegarde.
Une bonne nouvelle est qu’ils sont résistants aux chocs et à l’eau, n’utilisent pas de piles et ne comportent pas de pièces amovibles. Autrement dit, si vous prenez bien soin de vous, il y a des chances que vous n’ayez pas de problèmes.
Vous pouvez également trouver des clés de Yubico (au format crayon) chez Amazon et d’autres détaillants en ligne. En France, elles sont encore peu fréquentes dans les magasins. Outre Yubico, vous trouverez également d’autres marques comme Thetis, HyperFIDO et Feitian.
