Google Security Key popularise l'authentification par clé USB et le standard FIDO U2F

21 octobre 2014 à 19h30
0
Jamais une clé USB n'a aussi bien porté son nom. Google a annoncé aujourd'hui une nouvelle méthode d'authentification encore plus sécurisée, reposant sur une clé de sécurité physique.

0140000007699931-photo-yubico-fido-u2f-security-key.jpg

Google concrétise aujourd'hui une vision qu'il avait initialement exposée en janvier 2013, notamment dans un article de Wired intitulé « Google déclare la guerre au mot de passe ». Les comptes Google offrent effectivement une nouvelle méthode d'authentification à deux facteurs, exploitant une « Security Key » à la place d'un code à usage unique envoyé par SMS ou généré par une application mobile.

Concrètement l'utilisateur doit acquérir un périphérique USB compatible et l'associer à son compte. Dès lors pour s'authentifier à Gmail ou à n'importe quel autre service Google, il devra saisir son identifiant et son mot de passe, comme d'habitude, puis connecter le périphérique USB à un ordinateur et l'activer en pressant sur le seul bouton dont il dispose.

On retrouve donc deux facteurs — quelque chose qu'on sait (le mot de passe) ainsi que quelque chose qu'on possède — mais une « Security Key » est plus facile à utiliser qu'un code à six chiffres qu'il faut recopier après avoir déverrouillé son téléphone, à condition d'ailleurs qu'il ne soit pas déchargé. Elle est aussi plus sécurisée puisque sa conception l'empêche de fonctionner sur l'imitation d'un site, elle offre donc une protection contre le phishing.

0000014007699937-photo-google-security-key.jpg

Universal 2nd Factor : la cryptographie asymétrique à la portée du premier venu

Google exploite en fait le protocole Universal 2nd Factor (U2F) de l'alliance FIDO, un standard ouvert d'authentification. Ce protocole existe depuis près de deux ans et est déjà exploité en entreprise pour sécuriser des données sensibles, mais Google est le premier à porter son existence à la connaissance du grand public.

La FIDO Alliance, pour Fast IDentity Online, est née en juillet 2012 en réponse au manque d'interopérabilité des solutions d'authentification forte. Une multitude d'acteurs — dont des intermédiaires de paiement (VISA, MasterCard, PayPal), des spécialistes de la sécurité (Oberthur, RSA, Yubico), des éditeurs et des fabricants (Google, Microsoft, Samsung, Lenovo, BlackBerry) — se sont réunis pour définir les spécifications de standards ouverts.

Le standard U2F exploite le mécanisme éprouvé de la cryptographie asymétrique, reposant sur des couples de clés privées et de clés publiques, en l'associant à un périphérique sécurisé tel qu'une carte à puce, un capteur biométrique (empreinte digitale, rétinienne) ou en l'occurrence une clé USB spécifique.

0000019007699939-photo-sch-ma-fido-u2f.jpg

Un standard en voie de démocratisation

Ainsi si Chrome est le premier navigateur à prendre en charge l'U2F, et le seul à ce jour, d'autres navigateurs peuvent l'intégrer à leur tour du jour au lendemain.

Dans le même ordre d'idée, ce n'est pas Google qui fournit les clés de sécurité. L'internaute peut utiliser n'importe quelle clé compatible FIDO U2F. Le fabricant Yubico, spécialiste du secteur, a d'ailleurs profité de l'occasion pour lancer un nouveau modèle premier prix, baptisé FIDO U2F Security Key, vendu 18 dollars HT, soit environ 18 euros TTC.

Ces clés ne sont pas reconnues comme un support de stockage de masse mais comme un clavier. Elles font appel aux spécifications et aux pilotes génériques HID (Human Interface Device class) et fonctionnent ainsi sur presque n'importe quel ordinateur. Sur mobile il faudra encore utiliser les codes à usage unique, en attendant que des badges sans contact NFC ou Bluetooth Low Energy ne se démocratisent.

Google profite donc de sa puissance de frappe pour populariser l'U2F, mais ce protocole risque fort de se démocratiser prochainement. Il permettra aux utilisateurs d'utiliser des mots de passe simples et identiques d'un service à un autre sans pour autant compromettre leur sécurité.

021C000007699935-photo-security-key-en-situation.jpg
Modifié le 01/06/2018 à 15h36
0 réponses
0 utilisateurs
Suivre la discussion

Les actualités récentes les plus commentées

L'énergie renouvelable est la principale source d'électricité au Royaume-Uni
Journée de la communauté Clubic.com : c'était samedi, c'était comment ?
Le géant de la réservation hôtelière Booking quitte lui aussi le navire Libra
Fortnite avalé par un trou noir... en pause avant un nouveau chapitre ?
M6 victime d'une cyberattaque affectant l'ensemble des employés du groupe
Le Vatican va lancer un chapelet connecté !
Blizzard allège la peine infligée au joueur ayant soutenu les manifestations de Hong Kong
Un important site de contenus pédophiles tombe : 300 arrestations dans 38 pays
Linky : une étude de l'ANFR ne relève aucune exposition anormale aux ondes radioélectriques
Le Conseil constitutionnel confirme que l'huile de palme n'est pas un biocarburant

Notre charte communautaire

1. Participez aux discussions

Nous encourageons chacun à exprimer ses idées sur les sujets qui l'intéressent, et à faire profiter l'ensemble de la communauté de son expertise sur un sujet particulier.

2. Partagez vos connaissances

Que vous soyez expert ou amateur passionné, partagez vos connaissances aux autres membres de la communauté pour enrichir le niveau d'expertise des articles.

3. Échangez vos idées

Donnez votre opinion en étayant votre propos et soyez ouverts aux idées des autres membres de la communauté, même si elles sont radicalement différentes des vôtres.

4. Faites preuve de tolérance

Qu'il s'agisse de rédacteurs professionnels ou amateurs, de lecteurs experts ou passionnés, vous devez faire preuve de tolérance et vous placer dans une démarche d'entraide.

5. Restez courtois

Particulièrement lorsque vous exprimez votre désaccord, critiquez les idées, pas les personnes. Évitez à tout prix les insultes, les attaques et autres jugements sur la forme des messages.

6. Publiez des messages utiles

Chaque participation a vocation à enrichir la discussion, aussi les partages d'humeurs personnelles ne doivent pas venir gêner le fil des échanges.

7. Soignez votre écriture

Utilisez la ponctuation, prohibez le langage SMS et les majuscules, relisez-vous afin de corriger un peu les fautes de frappe et de français : trop de fautes n’engagent ni à lire le message, ni à répondre à une question.

8. Respectez le cadre légal

Ne publiez pas de contenus irrespectueux, racistes, homophobes, obscènes ou faisant l'apologie de courants radicaux, qu'ils soient politiques ou religieux. N'utilisez pas plusieurs comptes utilisateurs.

9. Ne faites pas de promotion

Ne profitez pas d'une discussion pour faire la publicité d'un produit, d'un service ou même de votre site web personnel.

10. Ne plagiez pas

Exprimez uniquement vos opinions ou partagez des idées en citant vos sources.

scroll top