Nitrokey Fido U2F

Nitrokey Fido U2F

Les nombreuses atteintes à la protection des données au cours des dernières années ont montré une chose très claire : les mots de passe ne fonctionnent pas. Entrez la clé de sécurité USB Fido U2F Nitrokey Fido à 25 $. Le Nitrokey rend beaucoup plus difficile pour les méchants d’accéder à votre compte en ajoutant une deuxième étape d’authentification aux services populaires comme Google, Twitter, Facebook, et plus. Ce qui rend le Nitrokey unique, c’est qu’il est entièrement open-source, du matériel au logiciel. C’est un peu plus cher que des produits comparables, mais pour tous ceux qui exigent du matériel et des logiciels open-source, le Nitrokey est sans égal.

Comment fonctionne l’authentification à deux facteurs

Bien que l’authentification à deux facteurs (ou 2FA) signifie généralement ajouter une deuxième étape après avoir entré votre mot de passe, ce n’est pas la définition même du terme. Au contraire, 2FA signifie prendre deux moyens d’authentification à partir d’une liste de trois possibles :

  1. Quelque chose que vous savez,
  2. Quelque chose que vous avez, et
  3. Quelque chose que tu es.

Un mot de passe dans votre tête (ou, mieux encore, dans un gestionnaire de mots de passe), est quelque chose que vous connaissez. Une clé matérielle ou une application d’authentification est quelque chose que vous avez, et une empreinte digitale ou autre biométrie est quelque chose que vous êtes. Nous sommes coincés avec des mots de passe pour l’instant, c’est pourquoi la signification de facto de 2FA est d’ajouter l’un des deux autres à un mot de passe. Cela fonctionne parce que même si votre mot de passe peut être hameçonné ou exposé à une atteinte à la protection des données, les deux autres sont très difficiles à obtenir ou à usurper.

Bien qu’il existe de nombreuses façons d’ajouter de la 2FA, les clés de sécurité matérielles comme Nitrokey Fido U2F ont des avantages certains. Contrairement aux codes uniques envoyés par SMS, ils ne peuvent pas être interceptés. Contrairement aux codes générés par une application, ils ne peuvent pas être hameçonnés. Google l’a prouvé lorsque l’entreprise a déployé des clés de sécurité pour l’ensemble de ses 85 000 employés et a constaté que les attaques de phishing réussies sont tombées à zéro. Cela dit, si l’utilisation d’une clé de sécurité vous semble trop compliquée, vous devriez activer 2FA de la manière qui vous convient le mieux.

En pratique Avec la Nitrokey Fido U2F

Nitrokey est une société allemande qui vend une variété de dispositifs de sécurité pour clés USB. La plupart de ces appareils sont centrés sur le stockage sécurisé et le cryptage. Ils peuvent stocker les clés de chiffrement des courriels et des disques, et certains sont même dotés d’un système de stockage sécurisé intégré. Le Nitrokey Fido U2F est le plus abordable du lot à 22 Euros (soit environ 25$, selon le taux de change), et c’est le seul entièrement dédié à la 2FA.

Le modèle Fido U2F fonctionne comme un second authentificateur pour de nombreux sites Web populaires, y compris Google, Facebook, Twitter, et ainsi de suite. Il s’agit d’un périphérique USB noir, mince et fin avec une finition en plastique texturé, ressemblant un peu à un vieux lecteur de mémoire flash. Il est petit, 48 x 19 x 7 mm, et assez léger, ne pesant que 5g. Une extrémité est coupée pour recevoir un porte-clés, et le connecteur USB 1.1 type A à l’autre extrémité est protégé par une coque amovible que vous perdrez définitivement en une semaine. En plus du capuchon, il n’a pas de pièces mobiles, ce qui le rend résistant (mais pas imperméable) à l’eau et à l’écrasement.

Le plus gros connecteur USB est un peu particulier ; la ligne YubiKey et les clés Google Titan sont complètement plates. Nitrokey dit que leur utilisation du connecteur USB plus grand assure la compatibilité avec plus d’appareils, et est plus durable, mais je pense que je préfère le style plus plat si pour aucune autre raison que de permettre un appareil plus petit. Le Nitrokey est assez encombrant comparé aux autres clés de sécurité, qui sont très minces et très légères. Cela dit, le Nitrokey est moins susceptible d’attirer l’attention avec son apparence complètement fade.

Jumeler le Nitrokey Fido U2F avec un site web est une affaire simple. Il vous suffit d’accéder aux options de connexion d’un site pris en charge, d’insérer la touche Nitrokey lorsque vous y êtes invité et de toucher l’icône du doigt sur le boîtier lorsqu’une DEL blanche interne s’allume. Cela m’a d’abord jeté, car je suis plus habitué à la surface de robinet de disque d’or utilisée par Yubico et Google dans leurs clés de sécurité, bien que le Nitrokey fonctionne aussi bien.

Une fois que l’appareil a été appairé, vous serez invité à insérer votre Nitrokey Fido U2F et à le taper lorsque vous vous connecterez au site. Pour éviter d’être verrouillé hors d’un site inscrit, je recommande fortement d’activer une autre option 2FA, comme des codes de sauvegarde qui peuvent être imprimés et stockés dans un endroit sûr, ou d’inscrire une deuxième clé de sécurité.

Comme le Nitrokey Fido U2F ne prend en charge aucune communication sans fil, vous ne pourrez pas l’utiliser pour authentifier un appareil mobile. Peut-être que vous pourriez le faire avec un adaptateur USB funky, mais je n’ai pas testé ce scénario bizarre. Au lieu de cela, vous devriez utiliser une autre méthode 2FA, telle qu’une application d’authentification, pour ces situations. Le Yubico Security Key NFC ne coûte que deux dollars de plus, prend également en charge Fido U2F, mais inclut le NFC, ce qui vous permet de l’utiliser contre votre téléphone pour vous authentifier.

Sécurité Sans Obscurité

Quand quelque chose est open-source, il est complètement disponible pour l’inspection et même la modification. Cela signifie aussi souvent qu’il s’agit d’un projet bénévole et qu’il peut être offert gratuitement. Contrairement à ce que l’on appelle la « sécurité par l’obscurité », où des aspects critiques d’un produit sont cachés au nom de la protection des secrets. L’idée est qu’être transparent aide à fabriquer des produits meilleurs et plus résistants.

Nitrokey est entièrement construit autour de l’idée open-source. L’entreprise résume son approche et ce qu’elle croit être les avantages de cette façon :

« Le matériel et les microprogrammes, les outils et les bibliothèques sont des logiciels libres et à code source ouvert, permettant des audits de sécurité indépendants. Souplesse d’adaptation, pas de blocage du fournisseur, pas de sécurité par l’obscurité, pas de failles de sécurité cachées. »
L’utilisation d’outils open-source est également une déclaration éthique à la fois pour les entreprises et les consommateurs. Si vous êtes le genre de personne qui croit vraiment, vraiment, vraiment en l’information ouverte, vous apprécierez probablement la position de Nitrokey. Le matériel à code source libre est également relativement rare à voir et contribue à apaiser les craintes de voir les services de renseignement glisser les portes dérobées dans les puces de l’usine.

Cela ne veut pas dire qu’être open-source est une solution miracle contre les failles de sécurité ou les attaques. Heartbleed a été causé par un bogue ajouté sans le savoir au logiciel cryptographique OpenSSL open-source. Cela dit, il est probable que si OpenSSL n’était pas open-source, le bogue n’aurait peut-être jamais été trouvé.

Nitrokey contre amis et ennemis

Le Nitrokey Fido U2F est l’un des quelque six appareils Nitrokey actuellement en vente. Tout comme la gamme Yubikey 5 de Yubico, vous avez le choix entre plusieurs configurations. Contrairement à Yubico, la ligne Nitrokey fait bien plus que de l’authentification. Le Nitrokey Storage 2, la plus robuste et la plus chère des offres, prend en charge le cryptage S/MIME des e-mails et des disques, le cryptage OpenPGP/GnuPG des e-mails, les mots de passe à usage unique (OTP) et le cryptage du stockage intégré. Il stocke même jusqu’à 16 mots de passe dans un gestionnaire de mots de passe personnalisé. Il coûte 109EU, soit environ 124 $.

C’est beaucoup de soupe d’alphabet, et si vous n’avez pas tout attrapé, ce n’est probablement pas le produit qu’il vous faut. La prise en charge d’OTP est remarquable car c’est la seule option matérielle 2FA supportée par LastPass.

Le Nitrokey Pro 2 perd le stockage à bord et ne coûte que 49 euros, soit environ 56 $, ce qui est unique en son genre : il peut être utilisé pour vérifier la validité du firmware et du matériel des ordinateurs portables Purism (ou de son cousin, la clé Purism Librem). Cela signifie qu’ils peuvent détecter si quelqu’un a essayé d’altérer votre ordinateur portable Purism. C’est une caractéristique fascinante, mais seulement intéressante pour le genre de personne qui achèterait un ordinateur portable open-source Purism en premier lieu.

Bizarrement, le Nitrokey Fido U2F examiné ici est le seul authentificateur conforme à Fido U2F de Nitrokey. Si vous achetez un Nitrokey plus cher et plus performant, vous ne pourrez pas utiliser cette norme largement adoptée.

Yubico, d’autre part, inclut à la fois Fido U2F et le nouveau Fido2, plus évolutif, dans tous ses appareils YubiKey 5, avec OTP, OATH (HOTP et TOTP), OpenPGP, et le support des cartes à puce. Deux périphériques YubiKey 5 prennent également en charge l’USB-C. Ses deux offres les moins chères, la Security Key et la Security Key NFC, ne supportent que Fido2 et Fido U2F. Ce dernier modèle coûte un peu plus cher que le Nitrokey Fido U2F à 27 $, mais il inclut les communications NFC sans fil, ce que le Nitrokey ne fait pas. Pour sa part, la clé de sécurité ne coûte que 20 $, ce qui la place bien à l’intérieur du territoire d’achat impulsif.

Le forfait Titan de Google est de 50 $ et se situe quelque part entre les deux. Cela comprend deux dispositifs – une clé USB-A et une clé Bluetooth alimentée par batterie – dont les deux prennent en charge Fido U2F. L’inclusion d’un deuxième appareil en fait certainement un ensemble tentant, mais je suis toujours sceptique quant à l’utilité de la clé électronique alimentée par pile.

Sécurité sans compromis

Le Nitrokey Fido U2F n’est ni plus lisse, ni plus mince, ni moins cher que la concurrence, mais son engagement envers le matériel et les logiciels libres est un facteur de différenciation majeur pour certains. Comme beaucoup de matériel open-source, il est plus clunkier mais potentiellement meilleur. Nous préférons toujours notre Editors’ Choice, la Security Key de Yubico, qui est légèrement moins chère et beaucoup plus mince que la Nitrokey. Mais si vous ne faites que vous plonger les orteils dans le matériel 2FA, et surtout si vous êtes un évangéliste open-source, alors le Nitrokey Fido U2F est un bon choix.

Laisser un commentaire