Il est possible de sécuriser un compte Facebook ou Google avec une clé USB de sécurité U2F, standard soutenu par l’alliance FIDO. Vous n’avez pas compris ? Pas de panique : on vous explique tout.

Article original du 26 janvier 2017, mis à jour le 26 juillet 2018. 

Nous ne cesserons de le répéter : la sécurité de vos comptes est primordiale et souvent, il suffit de prendre de petites habitudes pour renforcer considérablement l’accès à vos espaces personnels. Qu’il s’agisse de réseaux sociaux, de sites qui hébergent vos fichiers ou vos projets ou de banque en ligne, vous ne voulez pas que les mots de passe qui protègent ces données personnelles ressemblent de près ou de loin à 123456.

La première étape, la plus simple, est de renforcer son mot de passe. La deuxième, c’est d’activer la double authentification dès que vous le pouvez. Avec cela sur la plupart de vos comptes, vous allez éviter la plupart des ennuis. Mais il existe un autre moyen d’ajouter de sécuriser un compte qui passe par une clé USB de sécurité et le protocole U2F.

Explications.

clé usb u2f

Qu’est-ce qu’une clé USB de sécurité ?

Il s’agit d’un objet qui se présente sous la forme d’une clé USB traditionnelle, sauf qu’au lieu de stocker des fichiers, elle contient une puce sécurisée qui renferme une clef chiffrée unique qui vous appartient. Métaphoriquement, on pourrait dire qu’il s’agit d’un équivalent numérique à la clé d’un coffre-fort, qui se base sur le concept de clé publique / clé privée

Elles reposent sur un standard ouvert nommé U2F pour Universal Second Factor (Double Facteur Universel) qui a été développé par Google, Yubico et NXP (l’entreprise derrière les puces NFC) et qui est maintenant maintenu par l’alliance FIDO qui regroupe plusieurs entreprises et organismes.

Ces clefs USB sont vendues à partir d’une dizaine d’euros et sont disponibles partout dans le monde. Vous n’avez besoin que d’une clé, qui fonctionnera avec tous les comptes.

Comment une clé USB peut-elle protéger un compte ?

Une fois que vous avez votre clé USB de sécurité, vous pouvez l’associer à un compte, si l’entreprise propose l’option. Après cela, une fois que vous avez entré votre mot de passe, il vous suffit de brancher votre clé USB à votre ordinateur pour qu’elle transmette votre clé chiffrée au site qui vous authentifie. En pratique, le processus est donc similaire à la vérification en 2 étapes.

Notez que contrairement aux apparences, il ne s’agit pas d’une authentification biométrique par reconnaissance d’empreinte digitale.

steps-1500×413

La société Yubico essaie de vulgariser le concept

Pourquoi certaines clés sont-elles plus chères que d’autres ?

La qualité de fabrication, les fonctionnalités (NFC par exemple) et le lieu de construction font varier les prix, pas la sécurité de la puce. Si elle est certifiée FIDO U2F, c’est bon. Une clé comme la Yubikey NEO, construite en Suède ou aux États-Unis, coûte par exemple 44 €.

En quoi est-ce plus sécurisé que la vérification en 2 étapes ?

Cette méthode de sécurisation des comptes prend en considération quelque chose de fondamental : l’ingénierie sociale. 6 chiffres qui apparaissent sur l’écran de votre smartphone et que vous devez entrer pour confirmer votre identité, c’est bien, mais imaginez que la personne qui cherche à vous pirater ait accès à une caméra de surveillance derrière vous et puisse lire ces chiffres. Trop tiré par les cheveux ? Imaginez alors qu’un site de hameçonnage particulièrement intelligent parvient à vous faire entrer ces chiffres, pirates aux aguets pour les intercepter. Loin d’être impossible.

De manière générale, on peut considérer que le meilleur mot de passe est celui que vous ne connaissez pas. Même sous la torture, vous serez incapable de donner la clef d’identification contenue dans la puce de votre clef USB.

Le meilleur mot de passe est celui que vous ne connaissez pas

Quels sont les services compatibles ?

Il n’y a pas que d’obscurs services de nerds qui sont compatibles avec la vérification par clé USB. La méthode se déploie même plutôt rapidement ces derniers mois. Vous trouverez toujours les paramètres de configuration de votre clé USB dans l’onglet sécurité du service en question. La liste complète se trouve ici. Voici quelques services grand publics qui sont compatibles :

16179456_10154613701556886_7772635162244498937_o

Quels sont les navigateurs compatibles ?

Si vous choisissez d’utiliser cette fonctionnalité, il faudra un navigateur compatible. Pour l’instant, ils ne sont que trois : Opera, Google Chrome (à partir de la version 40) et Mozilla, qui a intégré le standard d’authentification libre Universal Second Factor (U2F) dans Firefox 57 et l’a activé par défaut avec Firefox 60.

Et si je veux me connecter avec un smartphone ?

Bonne question. C’est le principal problème aujourd’hui avec ces clefs : même si elles ont été conçues au départ par NXP, elles ne fonctionnent pas encore totalement par NFC. Facebook, par exemple, ne permet pas à son application mobile de se connecter via clé USB de sécurité. Le site mobile de Facebook est en revanche compatible si vous avez un smartphone Android et une clé USB de sécurité qui supporte le NFC (YubiKey NEO ou Fidesmo NFC Card, par exemple).

En attendant une compatibilité complète et plus généralisée, les services vont vous demander d’activer également un deuxième moyen de procéder à une authentification en deux étapes (plus classique, comme le code par SMS ou l’application de type Google Authenticator).

En juillet 2018, Google a annoncé une clef USB U2F BLE, compatible Bluetooth. Elle pourra donc gérer l’authentification sur un smartphone.

smartphone-pixel

J’ai perdu ma clé.

C’est ballot, mais grosso-modo, vous aurez configuré une solution de secours (voir le point précédent). Vous pourrez alors vous connecter à votre compte et séparer votre clé d’icelui. Cela dit, le meilleur moyen, c’est encore d’avoir deux clefs pour chaque compte. La première à portée de main, la seconde dans votre coffre-fort.

Si vous avez d’autres questions, n’hésitez pas à les poser dans les commentaires, nous les ajouterons à la liste (avec une réponse).

 


Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !