Google propose à la vente une clé USB de sécurité Titan, qui sert à blinder ses comptes en ligne grâce à la double authentification. Désormais, le dispositif est proposé avec un connecteur USB-C.

Google fait entrer ses clés USB de sécurité dans l’ère de la modernité : depuis le 15 octobre 2019, la firme de Mountain View propose à sa clientèle américaine d’acquérir l’un de ces dispositifs pour 40 dollars (environ 36 euros). Leur particularité ? Ils sont dotés d’un connecteur USB Type-C, dont la particularité est de pouvoir être branché à un port USB-C dans un sens ou dans l’autre.

Conçue en partenariat avec Yubico, une entreprise spécialisée dans les clés de sécurité, la clé Titan de Google « est construite à l’aide d’une puce matérielle sécurisée qui inclut un micrologiciel conçu par Google pour vérifier l’intégrité de la clé. Il s’agit de la même puce et du même micrologiciel que ceux que nous utilisons dans nos [autres modèles] fabriqués en partenariat avec Feitian Technologies ».

https://www.flickr.com/photos/yubikey/4887967986/

Des clés U2F.

Source : Yubico

Des clés pour blinder son compte

Bien que l’on parle ici clés USB, ce ne sont pas des périphériques de stockage. Leur rôle est de mettre en œuvre ce qu’on appelle la double authentification (authentification en deux étapes, ou authentification forte). C’est une deuxième couche de protection pour le compte, qui vient après le mot de passe, afin d’augmenter le degré de certitude que c’est la bonne personne qui accède au profil.

Cette mesure de sécurité est loin d’être anodine au regard des mauvaises habitudes que les internautes ont sur le net : en matière de mot de passe, ils choisissent souvent le même (ou une variation de celui-ci) et/ou optent pour un code trop faible pour résister assez longtemps à un assaillant. Grâce à la double authentification, même si le mot de passe est compromis, une deuxième barrière assure les arrières de l’internaute.

Il est possible que vous connaissiez déjà la double authentification, ou que vous la mettiez déjà en œuvre. Si c’est le cas, vous avez peut-être opté pour une autre méthode, comme la réception d’un SMS sur le numéro de téléphone que vous avez lié au compte, ou bien en prenant le code généré par une application dédiée (comme Google Authenticator). Sinon, c’est peut-être votre smartphone qui sert de clé ?

Titan USB-C

La clé de sécurité Titan, en USB-C. // Source : Google

De deux maux…

L’emploi d’un dispositif physique offre des avantages intéressants par rapport à des solutions dématérialisées, car il n’est pas exposé à certains types d’attaque ou de fraude. Il évite aussi de confier son numéro de téléphone, qui pourrait par exemple se retrouver dans la nature à la suite d’un piratage de la base de données du site sur lequel vous l’avez donné, ou qui pourrait servir à d’autres finalités sans autorisation.

Il existe évidemment des problématiques spécifiques à l’emploi d’un dispositif physique. Ces clés sont produites en Chine (mais c’est le cas d’une majorité de produits de la tech), ce qui n’a manqué de faire sourciller des spécialistes en sécurité informatique. En outre, ces périphériques ne sont pas invulnérables : des fragilités logicielles ont été décelées par le passé, poussant Google à rappeler certains modèles.

Entre deux maux, il faut choisir le moindre, dit-on : entre l’emploi de l’authentification forte, malgré ses limites, et l’absence de protection, le choix est en principe vite vu : surtout si la seule protection dont vous disposez est un mot de passe faible et régulièrement utilisé sur les sites que vous fréquentez. Et si la double authentification avec une clé de sécurité vous paraît trop contraignante, il existe des alternatives.


Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !