Si vous n'avez pas encore entendu parler des clefs USB de sécurité U2F, c'est probablement le bon moment pour vous y mettre.

Qui lit Numerama avec passion et régularité sait ce qu’est une clef USB de sécurité U2F. Pour les autres, nous pouvons résumer le concept très simplement : il s’agit d’une clef USB qui remplace le deuxième facteur lors d’une double authentification sur un service web. Aujourd’hui, protéger ses comptes avec la double authentification devrait être aussi commun que choisir un mot de passe. Demain, ces services ne vous enverront plus une double authentification par SMS ou par un générateur, mais demanderont que vous entriez la clef USB associée à votre compte sur un port et que vous appuyiez sur son bouton.

Cette technique réduit très largement tous les soucis évoqués par les spécialistes de la sécurité au sujet de la double authentification : les services n’auront plus besoin de votre numéro de téléphone et il ne sera plus possible non plus pour un attaquant de voler votre compte en ayant eu accès à votre générateur ou votre carte SIM. Bref, la clef attachée à votre porte-clef sera le seul moyen de pénétrer sur un de vos comptes — en plus du mot de passe.

Original

Google et la clef Titan

Google croit tellement en la technologie que le géant a équipé tous ses employés de clef USB U2F, au standard ouvert approuvé par l’alliance FIDO. Cela signifie que ces clefs reposent sur un protocole qui n’appartient pas à une entreprise, mais qui est développé par de nombreux acteurs. Toutes les clefs fonctionnent avec tous les sites qui l’acceptent : Facebook peut par exemple être protégé par une clef USB U2F de Google. Aujourd’hui, il fait un pas de plus en direction du standard en annonçant la clef Titan, une clef qui sera vendue au grand public et qui reposera sur tous les standards ouverts en vigueur.

Si de nombreuses clefs existent déjà, celle de Google pourrait lancer le mouvement qu’il manque au standard pour se démocratiser. Les clefs U2F sont utilisées par des professionnels et les services grand public sont contraints d’annuler les bénéfices de ces objets en proposant systématiquement un autre moyen pour gérer la double authentification. En effet, toutes les clefs ne sont pas compatibles NFC ou Bluetooth, ce qui signifie que vous ne pourrez pas vous connecter sur votre smartphone avec. Un Facebook ou un Google est donc obligé de laisser l’option d’une double authentification par numéro de téléphone, ce qui revient à briser la sécurité supplémentaire d’une clef U2F — il suffira à un attaquant qui possède un accès à votre numéro de téléphone de choisir cette option.

La clef USB de Google pourrait lancer le mouvement qu’il manque au standard pour se démocratiser

La clef de Google embarque le standard BLE U2F, ce qui permettra de s’authentifier par Bluetooth. Cela ne réjouit pas forcément la Présidente de Yubico, leader sur le marché des clefs U2F et principal contributeur au standard de l’alliance FIDO, qui estime qu’il ne répond pas encore pleinement aux exigences de sécurité établies par le consortium. Stina Ehrensvard préconise en effet les clefs USB et NFC — problème, aucune ne peut authentifier aujourd’hui un iPhone, dans la mesure où la puce NFC des appareils Apple n’est pas encore ouverte.

Prix et disponibilité

La clef Titan devrait être disponible dans les prochains mois. En attendant, si le format vous intéresse, vous pouvez expérimenter la double authentification U2F avec ces modèles approuvés par Numerama. Son prix est encore inconnu.

Partager sur les réseaux sociaux