Les utilisateurs de Dropbox qui souhaitent s'assurer que personne d'autre qu'eux ne puissent accéder à leur compte pourront désormais utiliser une clé USB de sécurité au protocole FIDO U2F.

A l'instar de Gmail, il est désormais possible de sécuriser l'accès à un compte Dropbox en utilisant une clé USB d'identification respectant le protocole FIDO Universal 2nd Factor (U2F). La clé est utilisée en tant que deuxième facteur d'identification, au même titre qu'un code PIN reçu par SMS ou généré par une application mobile après la saisie du mot de passe. Seul peut accéder au compte celui qui possède à la fois le mot de passe et la clé physique associée au compte.

"Même si vous utilisez la vérification en deux étapes avec votre téléphone, des attaquants sophistiqués peuvent toujours utiliser de faux sites Dropbox pour vous conduire à entrer votre mot de passe et votre code de vérification. Ils peuvent alors utiliser cette information pour accéder à votre compte. Les clés de sécurité sont conçues pour protéger contre ce type d'attaques", explique Dropbox

Lors de l'enregistrement d'un service compatible, la clé FIDO U2F génère une paire de clés publique/privées stockées dans la puce, et envoie la clé publique au service, qui renvoie un message d'authentification chiffré avec cette clé.

Pour ajouter une clé, les utilisateurs doivent se rendre dans l'onglet "Sécurité" de leurs paramètres Dropbox, et cliquer sur "ajouter une clé de sécurité" avant de suivre la procédure prévue en fonction de la clé que vous possédez (certaines demandent d'appuyer sur un bouton, d'autres de scanner une empreinte digitale…) :

Pour le moment la clé n'est détectée que sur le site web Dropbox.com, en utilisant le navigateur Google Chrome. En pratique il faut donc s'assurer d'avoir un autre moyen d'identification secondaire, comme un numéro de téléphone mobile.

Encore balbutiant, le standard FIDO (Alliance Fast IDentity Online) est soutenu notamment par Google, Intel, MasterCard, VISA, Microsoft (qui l'a intégré dans Windows 10), PayPal, Qualcomm, Samsung, Lenovo ou ARM. En pratique tous les téléphones qui intègrent la biométrie comme moyen d'identification le font à travers ce standard, à l'exception d'Apple qui a développé sa propre technologie propriétaire Touch ID.

Les clés U2F peuvent être trouvées notamment chez Amazon, à des prix très variables, à partir de 5,99 euros seulement pour les plus simples, et jusqu'à 59 euros pour les clés Yubico avec protection biométrique en plus.

Partager sur les réseaux sociaux

Articles liés