Google Security Key popularise l'authentification par clé USB et le standard FIDO U2F

21 octobre 2014 à 19h30
0
Jamais une clé USB n'a aussi bien porté son nom. Google a annoncé aujourd'hui une nouvelle méthode d'authentification encore plus sécurisée, reposant sur une clé de sécurité physique.

0140000007699931-photo-yubico-fido-u2f-security-key.jpg

Google concrétise aujourd'hui une vision qu'il avait initialement exposée en janvier 2013, notamment dans un article de Wired intitulé « Google déclare la guerre au mot de passe ». Les comptes Google offrent effectivement une nouvelle méthode d'authentification à deux facteurs, exploitant une « Security Key » à la place d'un code à usage unique envoyé par SMS ou généré par une application mobile.

Concrètement l'utilisateur doit acquérir un périphérique USB compatible et l'associer à son compte. Dès lors pour s'authentifier à Gmail ou à n'importe quel autre service Google, il devra saisir son identifiant et son mot de passe, comme d'habitude, puis connecter le périphérique USB à un ordinateur et l'activer en pressant sur le seul bouton dont il dispose.

On retrouve donc deux facteurs — quelque chose qu'on sait (le mot de passe) ainsi que quelque chose qu'on possède — mais une « Security Key » est plus facile à utiliser qu'un code à six chiffres qu'il faut recopier après avoir déverrouillé son téléphone, à condition d'ailleurs qu'il ne soit pas déchargé. Elle est aussi plus sécurisée puisque sa conception l'empêche de fonctionner sur l'imitation d'un site, elle offre donc une protection contre le phishing.

0000014007699937-photo-google-security-key.jpg

Universal 2nd Factor : la cryptographie asymétrique à la portée du premier venu



Google exploite en fait le protocole Universal 2nd Factor (U2F) de l'alliance FIDO, un standard ouvert d'authentification. Ce protocole existe depuis près de deux ans et est déjà exploité en entreprise pour sécuriser des données sensibles, mais Google est le premier à porter son existence à la connaissance du grand public.

La FIDO Alliance, pour Fast IDentity Online, est née en juillet 2012 en réponse au manque d'interopérabilité des solutions d'authentification forte. Une multitude d'acteurs — dont des intermédiaires de paiement (VISA, MasterCard, PayPal), des spécialistes de la sécurité (Oberthur, RSA, Yubico), des éditeurs et des fabricants (Google, Microsoft, Samsung, Lenovo, BlackBerry) — se sont réunis pour définir les spécifications de standards ouverts.

Le standard U2F exploite le mécanisme éprouvé de la cryptographie asymétrique, reposant sur des couples de clés privées et de clés publiques, en l'associant à un périphérique sécurisé tel qu'une carte à puce, un capteur biométrique (empreinte digitale, rétinienne) ou en l'occurrence une clé USB spécifique.

0000019007699939-photo-sch-ma-fido-u2f.jpg

Un standard en voie de démocratisation



Ainsi si Chrome est le premier navigateur à prendre en charge l'U2F, et le seul à ce jour, d'autres navigateurs peuvent l'intégrer à leur tour du jour au lendemain.

Dans le même ordre d'idée, ce n'est pas Google qui fournit les clés de sécurité. L'internaute peut utiliser n'importe quelle clé compatible FIDO U2F. Le fabricant Yubico, spécialiste du secteur, a d'ailleurs profité de l'occasion pour lancer un nouveau modèle premier prix, baptisé FIDO U2F Security Key, vendu 18 dollars HT, soit environ 18 euros TTC.

Ces clés ne sont pas reconnues comme un support de stockage de masse mais comme un clavier. Elles font appel aux spécifications et aux pilotes génériques HID (Human Interface Device class) et fonctionnent ainsi sur presque n'importe quel ordinateur. Sur mobile il faudra encore utiliser les codes à usage unique, en attendant que des badges sans contact NFC ou Bluetooth Low Energy ne se démocratisent.

Google profite donc de sa puissance de frappe pour populariser l'U2F, mais ce protocole risque fort de se démocratiser prochainement. Il permettra aux utilisateurs d'utiliser des mots de passe simples et identiques d'un service à un autre sans pour autant compromettre leur sécurité.

021C000007699935-photo-security-key-en-situation.jpg
Modifié le 01/06/2018 à 15h36
0 réponses
0 utilisateurs
Suivre la discussion

Les actualités récentes les plus commentées

Normandie : la plus grande route solaire du monde est un échec
L'Angleterre envisage l'interdiction du smartphone en conduisant, même en main libre
Windows Defender obtient 3 fois le score maximum aux tests AV-Test
Sur Reddit, les développeurs d'Apex Legends dérapent et insultent leur communauté
Matrix 4 officiellement annoncé, avec Keanu Reeves et Carrie-Ann Moss
Piratées, les enceintes connectées pourraient être une menace pour leurs utilisateurs
Minecraft s'offre un boost graphique... réservé aux possesseurs de cartes NVIDIA RTX
WoW Classic : Blizzard dit s’attendre à des files d’attente monstrueuses à l’ouverture
Des scientifiques réinventent l'air conditionné grâce au froid de l'espace
Starman et sa Tesla Roadster viennent d'achever leur première orbite autour du Soleil

Notre charte communautaire

1. Participez aux discussions

Nous encourageons chacun à exprimer ses idées sur les sujets qui l'intéressent, et à faire profiter l'ensemble de la communauté de son expertise sur un sujet particulier.

2. Partagez vos connaissances

Que vous soyez expert ou amateur passionné, partagez vos connaissances aux autres membres de la communauté pour enrichir le niveau d'expertise des articles.

3. Échangez vos idées

Donnez votre opinion en étayant votre propos et soyez ouverts aux idées des autres membres de la communauté, même si elles sont radicalement différentes des vôtres.

4. Faites preuve de tolérance

Qu'il s'agisse de rédacteurs professionnels ou amateurs, de lecteurs experts ou passionnés, vous devez faire preuve de tolérance et vous placer dans une démarche d'entraide.

5. Restez courtois

Particulièrement lorsque vous exprimez votre désaccord, critiquez les idées, pas les personnes. Évitez à tout prix les insultes, les attaques et autres jugements sur la forme des messages.

6. Publiez des messages utiles

Chaque participation a vocation à enrichir la discussion, aussi les partages d'humeurs personnelles ne doivent pas venir gêner le fil des échanges.

7. Soignez votre écriture

Utilisez la ponctuation, prohibez le langage SMS et les majuscules, relisez-vous afin de corriger un peu les fautes de frappe et de français : trop de fautes n’engagent ni à lire le message, ni à répondre à une question.

8. Respectez le cadre légal

Ne publiez pas de contenus irrespectueux, racistes, homophobes, obscènes ou faisant l'apologie de courants radicaux, qu'ils soient politiques ou religieux. N'utilisez pas plusieurs comptes utilisateurs.

9. Ne faites pas de promotion

Ne profitez pas d'une discussion pour faire la publicité d'un produit, d'un service ou même de votre site web personnel.

10. Ne plagiez pas

Exprimez uniquement vos opinions ou partagez des idées en citant vos sources.

scroll top