Qui lit Numerama avec passion et régularité sait ce qu’est une clef USB de sécurité U2F. Pour les autres, nous pouvons résumer le concept très simplement : il s’agit d’une clef USB qui remplace le deuxième facteur lors d’une double authentification sur un service web. Aujourd’hui, protéger ses comptes avec la double authentification devrait être aussi commun que choisir un mot de passe. Demain, ces services ne vous enverront plus une double authentification par SMS ou par un générateur, mais demanderont que vous entriez la clef USB associée à votre compte sur un port et que vous appuyiez sur son bouton.
Cette technique réduit très largement tous les soucis évoqués par les spécialistes de la sécurité au sujet de la double authentification : les services n’auront plus besoin de votre numéro de téléphone et il ne sera plus possible non plus pour un attaquant de voler votre compte en ayant eu accès à votre générateur ou votre carte SIM. Bref, la clef attachée à votre porte-clef sera le seul moyen de pénétrer sur un de vos comptes — en plus du mot de passe.
Google et la clef Titan
Google croit tellement en la technologie que le géant a équipé tous ses employés de clef USB U2F, au standard ouvert approuvé par l’alliance FIDO. Cela signifie que ces clefs reposent sur un protocole qui n’appartient pas à une entreprise, mais qui est développé par de nombreux acteurs. Toutes les clefs fonctionnent avec tous les sites qui l’acceptent : Facebook peut par exemple être protégé par une clef USB U2F de Google. Aujourd’hui, il fait un pas de plus en direction du standard en annonçant la clef Titan, une clef qui sera vendue au grand public et qui reposera sur tous les standards ouverts en vigueur.
Si de nombreuses clefs existent déjà, celle de Google pourrait lancer le mouvement qu’il manque au standard pour se démocratiser. Les clefs U2F sont utilisées par des professionnels et les services grand public sont contraints d’annuler les bénéfices de ces objets en proposant systématiquement un autre moyen pour gérer la double authentification. En effet, toutes les clefs ne sont pas compatibles NFC ou Bluetooth, ce qui signifie que vous ne pourrez pas vous connecter sur votre smartphone avec. Un Facebook ou un Google est donc obligé de laisser l’option d’une double authentification par numéro de téléphone, ce qui revient à briser la sécurité supplémentaire d’une clef U2F — il suffira à un attaquant qui possède un accès à votre numéro de téléphone de choisir cette option.
La clef USB de Google pourrait lancer le mouvement qu’il manque au standard pour se démocratiser
La clef de Google embarque le standard BLE U2F, ce qui permettra de s’authentifier par Bluetooth. Cela ne réjouit pas forcément la Présidente de Yubico, leader sur le marché des clefs U2F et principal contributeur au standard de l’alliance FIDO, qui estime qu’il ne répond pas encore pleinement aux exigences de sécurité établies par le consortium. Stina Ehrensvard préconise en effet les clefs USB et NFC — problème, aucune ne peut authentifier aujourd’hui un iPhone, dans la mesure où la puce NFC des appareils Apple n’est pas encore ouverte.
Prix et disponibilité
La clef Titan devrait être disponible dans les prochains mois. En attendant, si le format vous intéresse, vous pouvez expérimenter la double authentification U2F avec ces modèles approuvés par Numerama. Son prix est encore inconnu.
- YubiKey 4 : FIDO U2F, pas de NFC
- YubiKey Neo : FIDO U2F, NFC
- Key-ID Fido : FIDO U2F, compacte
+ rapide, + pratique, + exclusif
Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.
Découvrez les nombreux avantages de Numerama+.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Abonnez-vous à Numerama sur Google News pour ne manquer aucune info !