Clé U2F pour sécuriser l’accès à ses comptes en ligne

Internet est un outil fantastique dont on ne peut plus se passer.

Mais il faut aussi compter avec ses dérives et ses dangers. On voit de plus en plus de piratages de comptes et de vols de données, personnelles ou professionnelles.

Face à la recrudescence de ces attaques, quels moyens supplémentaires adopter pour protéger davantage l’accès à ses comptes en ligne ?

 

AUTRES MOYENS DE PROTECTION

Pour lutter contre cette plaie du monde moderne, Apple, comme les autres grandes entreprises, dont les banques, avait mis en place la double authentification, système de protection  « pratiquement infaillible ».

Elle vous garantit d’être l’unique personne à pouvoir accéder à votre compte grâce au code de vérification temporaire envoyé par SMS à un de vos appareils de confiance, en général un smartphone, code qu’il faudra retaper ensuite pour vous authentifier.

Cette technique de vérification tend à se généraliser sur toutes les plateformes et pour tous les services, même si elle est parfois contraignante.

QUELS MOYENS DE PROTECTION ?

L’authentification à deux facteurs (A2F) pour Apple. Ce protocole utilise une question de sécurité ou un mot de passe à usage unique envoyé par SMS en tant que deuxième élément de sécurité.

• Le 3D Secure pour la banque.

• La clé U2F qui requiert une « clé physique unique » impossible à reproduire par les pirates informatiques à distance. Cette méthode permet d’éviter le PHISHING.

 

QU’EST-CE QU’UNE CLÉ DE SÉCURITÉ U2F ?

L’U2F, acronyme pour Universal Second Factor (Deuxième Facteur Universel), est un périphérique de type USB ou NFC (Near Field Communication) qui permet d’utiliser une « clé physique » pour générer le code aléatoire qui vient compléter votre adresse-mail et le mot de passe lors de votre connexion.

De cette façon, il serait impossible, pour un utilisateur malveillant, de se connecter à votre compte si jamais votre mot de passe venait à être découvert.

Contrairement au smartphone, cette clé ne nécessite ni batterie ni connexion réseau !
Cerise sur le gâteau : nul besoin de l’éjecter avant de la débrancher, comme pour les clés USB traditionnelles.

Cette clé de sécurité utilise la norme FIDO U2F. Elle se connecte directement à votre ordinateur pour en assurer l’authentification par association.

Le plus important : sa conception particulière l’empêche de fonctionner sur un site pirate imitant le site officiel.

Utiliser ce type d’authentification améliorera considérablement la sécurité de vos comptes en ligne. L’étape du code envoyé par SMS est donc remplacé par celle de l’insertion de la clé de sécurité U2F pour authentifier la connexion.

 

POINTS FORTS DE CETTE CLÉ DE SÉCURITÉ

⁃ Protection renforcée contre le PHISHING : votre clé est associé à votre compte, vous ne saisissez aucun code et le matériel fournit une preuve cryptographique qu’il se trouve bien dans votre ordinateur.

⁃ Protection contre les KEYLOGGERS, ces logiciels espions enregistreurs de frappe, installés à votre insu sur votre ordinateur pour voler vos codes et mots de passe lorsque vous les tapez au clavier.

⁃ L'INTEROPÉRABILITÉ : cela signifie que vous pouvez utiliser la même clé pour tous les services pris en charge. Ces comptes resteront sécurisés car la clé ne conserve aucun enregistrement de l’endroit où elle est utilisée.

- USURPATION D'IDENTITÉ IMPOSSIBLE  pour accéder à vos comptes.

 

L’Alliance FIDO (Fast Identity Online) qui développe U2F compte de nombreuses multinationales dont Microsoft, Paypal, Lenovo, Dell, Visa, MasterCard, American Express, Samsung, et bien d’autres encore.

Avec autant de grandes entreprises impliquées, de nombreux autres sites commencent à prendre en charge les clés de sécurité U2F.

Le standard ouvert d’authentification U2F établi par Google, Yubico et NXP, société derrière la technologie NFC, exploite le mécanisme éprouvé de la cryptographie asymétrique. Celle-ci repose sur des paires de « clé privée » et « clé publique », en les associant à un périphérique sécurisé, en l’occurrence la FIDO U2F.

arrow

 

Petit rappel : Le NFC est une technologie sans fil à courte portée (10 cm maximum) qui permet d’établir une communication entre deux appareils compatibles, comme lorsque l’on utilise le paiement sans contact.

 

CARACTÉRISTIQUE DE LA CLÉ DE SÉCURITÉ

• La clé de sécurité n’est pas considérée comme un support de stockage de masse mais comme un clavier.

• Elle fait appel aux spécifications et aux pilotes génériques HID* (Human Interface Device class).

• Elle fonctionne ainsi sur presque n’importe quel ordinateur et ne nécessite aucun driver. C’est du simple Plug & Play.

• Elle est utilisée pour s’authentifier sur tous les sites supportant ce protocole (Google Chrome et ses différents services, Facebook, Dropbox, Dashlane, Last Pass, GitHub, ou WordPress), en lieu et place d’un code à usage temporaire envoyé par SMS.

*Info utile : La classe HID est une classe de périphérique d’interface USB qui consiste en un ensemble de périphériques utilisés pour contrôler des systèmes informatiques, tels les claviers et dispositifs de pointage (souris, trackpads, joysticks, etc…), les boutons, les contrôles installés sur les téléphones, etc.

 

QUELS NAVIGATEURS FONT CONFIANCE À CETTE CLÉ

Google est le premier navigateur à exploiter l’U2F. Ce protocole existe depuis 2012 et il est utilisé dans les entreprises pour sécuriser les données sensibles.

Pour son « Programme de Protection Avancée », Google autorise uniquement les clés de sécurité physiques comme deuxième facteur.

Opera, Vivaldi et le dernier né, UR Browser, lui ont emboité le pas.

Firefox, quant à lui, propose d’installer l’extension U2F Support Add-on dans son navigateur (https://addons.mozilla.org/fr/firefox/addon/u2f-support-add-on/).

Seul Safari est incompatible avec ce protocole.

 

Même si Google fut le premier à porter son existence à la connaissance du grand public, il ne fournit pas lui-même les clés de sécurité.

Yubico a d’ailleurs profité de l’occasion pour lancer un modèle premier prix baptisé FIDO U2F Security Key.

Mais chacun peut utiliser n’importe quelle clé FIDO U2F compatible.

Google profite donc de sa puissance de frappe pour populariser l’U2F, et ce protocole commence à se répandre.

Grâce à cette nouvelle technologie, les internautes pourront protéger l’accès à leur compte avec un composant matériel et utiliser des mots de passe simples et identiques d’un service à un autre (normalement, fortement DÉCONSEILLÉ) sans risquer de compromettre leur sécurité.

 

CONTRAINTES DE CETTE CLÉ

- Concrètement, l’enregistrement d’une clé de sécurité U2F sur divers comptes en ligne nécessite, au préalable, d’activer la double authentification sur chacun des comptes associés, sans quoi cette clé sera inopérante.

- A partir de là, pour s’authentifier auprès de Google ou auprès d’autres sites répertoriés, il faudra:

  1. Lancer le site,
  2. Saisir identifiant et mot de passe,
  3. Connecter la clé sécurisée à l’ordinateur lorsque vous y êtes invité,
  4. Enfin l’activer en pressant sur le seul bouton dont dispose la clé.

Exemples de clés U2FExemples de clés U2F

 

 

ENREGISTRER LA CLÉ U2F SUR GOOGLE

En premier lieu, configurez d’abord la Validation en deux étapes avant de pouvoir enregistrer votre clé de sécurité sur votre compte Google afin de l’utiliser sur n’importe quel ordinateur.

1. Connectez-vous à votre compte et renseignez votre identifiant et votre mot de passe
2. Cliquez ensuite sur Mon compte | Connexion et sécurité
3. Dans l’espace sécurité, cliquez sur l’option Validation en deux étapes puis suivez la procédure pour la mettre en place
4. Celle-ci activée, passez à la deuxième étape qui est l’enregistrement de votre clé de sécurité. Suivez les instructions jusqu’à la demande d’insertion de votre clé de sécurité et son activation finale. Au passage, nommez votre clé. Vous aurez une confirmation de son activation.

Clé activéeEnregistrement de la clé de sécurité

 

 

UTILISER CETTE CLÉ AVEC UN COMPTE GOOGLE

1. Saisissez vos identifiant et mot de passe dans les champs prévus à cet effet sur le site de votre choix
2. Lorsque vous y êtes invité, insérez votre clé de sécurité
3. Si votre clé de sécurité comporte un bouton, un témoin lumineux va clignoter. Appuyez légèrement dessus pour générer vos identifiants de connexion sécurisés.

Il est important de préciser qu’après cette authentification en deux étapes via la clé U2F, il est possible que vous rencontriez des difficultés pour vous connecter à certaines applications, et aussi à Mail.

Google l'explique en ces termes : « Pour que vos applications fonctionnent à nouveau, vous aurez besoin d’un mot de passe d’application que Google pourra générer à votre place, et vous n’aurez, de surcroît, pas besoin de le mémoriser ».

Si vous consultez vos mails via l’application Mail ou via un autre client de messagerie, cela risque parfois d’être un peu plus contraignant.

La sécurité est-elle à ce prix ? A vous de juger si cette solution vous convient.

arrow

 

Cependant : Si l’activation en deux étapes vous pose quand même quelques soucis, sachez que vous pouvez la désactiver sur le site de Google ou sur n’importe quel site.

 

AUTRES SERVICES PROPOSANT LA DOUBLE AUTHENTIFICATION AVEC LA CLÉ DE SÉCURITÉ U2F

Vous pouvez également enregistrer votre clé de sécurité sur tous les sites prenant en charge le protocole FIDO U2F.

Voici quelques sites d’importance :

Dashlane : maintenant compatible avec FIDO Alliance U2F pour effectuer une double authentification. Mais cette possibilité est réservée aux seuls abonné(e)s Premium.

Facebook a aussi sauté le pas et intégré depuis le début de l’année 2017 le support des clés de sécurité exploitant le standard U2F

Dropbox n’accepte l’utilisation d’une clé de sécurité que pour la connexion sur le site via le navigateur Chrome.

⁃ Et certains autres encore…

 

QUE FAIRE EN CAS D’OUBLI OU DE PERTE DE VOTRE CLÉ DE SÉCURITÉ

Dans la double authentification par ajout d’une clé de sécurité, en cas d’oubli ou de perte de votre clé, vous pouvez suivre certaines étapes pour retrouver votre compte.

Vous serez invité à saisir un code de déverrouillage envoyé sur votre adresse mail ou à votre numéro de téléphone, ce qui permet de garantir que vous avez accès à cette adresse e-mail ou à ce numéro de téléphone.

Si vous perdez votre clé de sécurité, vous trouverez les instructions de Google sur ce lien https://support.google.com/accounts/answer/185834?hl=fr

Perte clé de sécuritéEn cas de perte de la clé de sécurité

 

Google, comme la plupart des services, propose d’imprimer une liste de codes de secours à usage unique à saisir manuellement au moment de la connexion, au cas où le téléphone ou la clé serait indisponible lors de vos déplacements.

Vous trouverez cette liste de codes de secours lors de l'enregistrement de la clé de sécurité.

 

CONCLUSION

Apprenez à protéger votre vie numérique. Les cyber-menaces peuvent faire beaucoup de dégâts si on n'y prend garde.

La clé U2F est la parade la plus aboutie contre le vol de vos données, même si elle est, certes, contraignante… La sécurité est à ce prix.

 

PARTAGEZ CET ARTICLE 🙂
Vous avez aimé cet article ? Partagez-le avec vos collègues ou amis.

Merci