La clé U2F de sécurité a été créée afin d’apporter une sécurité accrue dans la connexion sur nos comptes utilisateurs. Google, Facebook, WordPress, etc. autant de services qui possèdent de nombreuses données personnelles comme des photos ou des discussions qui ne doivent pas être divulguées au public.
Utiliser une clé U2F est sans doute le meilleur moyen pour protéger vos comptes en lignes : en plus d’avoir votre login et votre mot de passe, il faut aussi avoir la clé avec vous pour accéder au site internet…
Un mot de passe seul peut suffire pour les personnes qui utilisent occasionnellement ces services, de même que la double authentification (2FA , Two Factor Authentification popularisé par Google Authenticator) qui s’est développée sur de nombreuses plateformes. Mais les plus expérimentées doivent se diriger vers une clé U2F pour assurer la protection totale de ses comptes informatiques qu’il s’agisse de réseaux sociaux, de stockage de fichiers en ligne ou plus encore.
C’est quoi une clé U2F ?
La forme est identique à celle d’une clé USB traditionnelle, sauf que ce dispositif ne contient pas de données. Il s’agit, en fait, d’une puce sécurisée unique qui permet d’authentifier celui qui la possède pour accéder à un compte d’utilisateur. Il s’agit, en quelques sortes, de la clé d’un coffre-fort qui n’existe qu’en un seul et unique exemplaire, pas de double possible.
Le fonctionnement propre de cette clé USB repose sur le protocole FIDO U2F, Universal Second Factor, abrégé aussi en U2F. Ce standard informatique a été développé par trois entreprises : Google (Google Titan), Yubico (Yubico Yubikey) et NXP. C’est cette dernière qui a d’ailleurs aussi conçu les puces NFC. Le standard U2F est désormais passé entre les mains de l’alliance FIDO qui englobe plusieurs entreprises informatiques.
Nous vous conseillons d’acheter au moins 2 exemplaires de clé et de les associer toutes les deux à vos comptes. Une que vous gardez avec vous tout le temps, et une en back-up chez vous.
Comparatif des clés U2F
Avantages et inconvénients
Les avantages
- Une sécurité totale : seule la personne qui possède la clé U2F de sécurité pourra se connecter au compte associé, en ayant en sus recours au mot de passe. La sécurité est ainsi poussée au plus haut pour restreindre totalement l’accès à des comptes utilisateurs. Un mot de passe ne se suffit pas à lui-même de même que la seule clé U2F. Seule la personne qui a en sa possession ces deux moyens d’authentification pourra accéder au compte visé.
- La facilité d’utilisation : lorsque vous avez acheté une clé USB de sécurité, il suffit de l’associer à un service informatique compatible. Une fois la formalité effectuée, ce qui prend très peu de temps, il n’y a plus qu’à connecter la clé à l’ordinateur lorsqu’il y a besoin de s’authentifier sur un site. Il faut ensuite appuyer sur le bouton situé sur la clé pour valider l’authentification. Une utilisation très facile qui ne demande que quelques secondes en plus, mais qui assure une plus grande sécurité.
Les inconvénients
- Une contrainte supplémentaire : la connexion à un service Internet étant désormais soumise à l’authentification par une clé U2F de sécurité, il faut penser à la prendre tout le temps sur soi. Si elle est oubliée à un endroit, il ne sera pas possible de se connecter au compte. Par contre, pas de panique, si vous avez perdu définitivement votre clé de sécurité, une solution de secours est automatiquement demandée lors de la configuration. Il est tout de même conseillé d’avoir 2 clés : une accrochée à votre porte clef et l’autre dans un endroit sur au cas ou (un coffre, un lieu physique différent de votre domicile…).
- Un investissement de départ : une clé U2F de sécurité a forcément un coût, mais qui n’est pas exorbitant au vu de la valeur ajoutée qu’elle procure. Les premiers prix démarrent à partir de 10 euros pour aller jusqu’à une cinquantaine. Seules les fonctionnalités varient selon les prix puisque les clés les plus chères proposent d’autres options comme une puce NFC. Mais si on réfléchit bien, 50 euros pour réduire le pourcentage de piratage proche de 0%, on peut dire que c’est plutôt donné !
Les marques qui fabriquent des clés U2F
Plusieurs dizaines de références sont disponibles. Hypersecu propose les clés les plus abordables du marché, à moins de dix euros. Les fonctionnalités sont très simples puisqu’il s’agit d’une mini clé qui dispose d’un petit bouton pour valider l’authentification.
Yubico a, de son côté, développé des clés de sécurité qui s’adaptent à différents types de ports USB. Autre marque très présente sur le marché, ChipNet commercialise des clés plus coûteuses, mais qui disposent de plus de fonctionnalités comme une puce NFC.
Les clés Yubico
- Protégez vos comptes en ligne contre les accès non autorisés en utilisant l'authentification à deux facteurs avec cette clé de sécurité.
- Fonctionne avec Gmail, Facebook, Dropbox, Twitter, Dashlane et de nombreux autres services
- Durable, imperméable, et résistant à l'écrasement – il suffit de l'attacher à votre porte-clés.
- Prend en charge les protocoles FIDO2 et FIDO U2F uniquement
- Fabriquée en Suède
- La YubiKey 4 Nano offre une authentification forte via notre service Yubico OTP (mot de passe à usage unique), le protocole FIDO U2F (Universal 2nd Factor), et une smart card (PIV, OpenPGP, OATH-TOTP et OATH-HOTP) -- tout cela par la simple pression d’un bouton
- Fonctionne instantanément sans nécessiter la saisie d’un code -- remplacant SMS ou logiciel d’authentification, tokens RSA et autres périphériques
- S’identifie comme un clavier USB et une combinaison smartcard et lecteur de smartcard -- pas de pilote ou logiciel client requis, pas de batterie ni de partie amovible
- Matériel étanche, résistant aux chocs, la clé FIDO U2F est pratiquement indestructible dans son utilisation normale, ne pèse que 1 gramme, et entre presqu’entièrement dans un port USB
- Produit aux Etats-Unis et en Suède avec un haut niveau de sécurité et de qualité
Découvrez notre page dédiée aux Yubikeys de Yubico !
Compatibilité des sites avec les clés U2F ?
Plusieurs centaines de sites ou de servicces autorisent actuellement la connexion avec une clé U2F. Voici une liste non exhaustive des entreprises :
|
Password
|
Developper
|
CMS
|
|
OS
|
Crypto
|
Social
|
|
Business
|
Games
|
Others
|
Parmi eux l’ensemble des services de Google (Gmail, Drive, Hangouts…), Facebook, Twitter, Dashlane, Dropbox ou encore WordPress.
D’autres services comme FastMail, PushCoin, BitBucket, GitHub ou encore Sentry.
Pour les plus geeks d’entre vous, vous pouvez gérer aussi l’ouverture de session de votre PC ou de votre Macbook avec une clé U2F.
La liste est constamment mise à jour en fonction de l’évolution des sites et de leur politique. Renseignez-vous auprès du support des sites que vous fréquentez pour savoir s’ils utilisent la connexion à l’air d’une clé de sécurité.
Les clés U2F d’autres marques
- Clé de sécurité USB + NFC (FIDO U2F Security Key) pour PC, Mac et appareils mobiles Android avec NFC (communication en champ proche), fabrication OEM avec spécifications adaptées au marché et avec un contrôle de qualité strict effectué par les meilleurs professionnels du secteur.
- Vérification en deux étapes sur Facebook, Google, Gmail, Dropbox, OneDrive, GitHub et de nombreux nouveaux services qui utilisent à présent cette nouvelle mesure de sécurité.
- Auto – installable sur Windows, Mac, Linux et Android. Utilisation très simple, sans devoir installer aucun pilote ni programme.
- Support Web avec manuels d'utilisation en espagnol. -
- -
- Communication sans fil alimentée par USB et NFC pour les appareils compatibles.
- Supporte Chrome OS, Windows, MacOS, Linux et Android.
- Empêche tout phishing ou man-in-the-middle. Clés spécifiques à chaque site. OATH OTP applet pré-installée.
- USB compatible CCID, y compris l'élément sécurisé et JavaCard.
- Stock et support depuis la France et Rauyaume Uni.
- Clé de sécurité USB (Fido U2 F) pour PC, Mac
- Vérification en deux étapes Facebook, Google, Gmail, Dropbox, OneDrive, GitHub, et d'autres services qui vont en ajoutant cette nouvelle mesure de sécurité
- Auto-installation sur Windows, Mac et Linux. Utilisation très simple, sans installer aucun pilote ni émissions
- Guides de l'utilisateur en espagnol et un support après-vente personnalisé
- Prise en charge FIDO2
- Prise en charge FIDO U2F
- Prise en charge OATH HOTP (mot de passe unique basé sur un événement)
Rappel du fonctionnement du 2FA
Pour aller plus loin, les clés U2F sont un système de double authentification permettant de prévenir hacking et piratage, le système 2FA renforce la cybersécurité. 2FA signifie : two-factor authentification, ou validation à deux étapes.
Le 2FA exige de s’identifier de deux manières différentes pour se connecter à un service ou son compte. Par exemple, retirer de l’argent d’un distributeur de billets, requiert l’insertion de la carte bancaire, puis du code PIN (personal identification number). D’autres types de 2FA fonctionnent avec un code à usage unique, changeant à chaque connexion, avec par exemple Google Authentificator.
Les types de système 2FA
Les 2FA par sms fonctionnent par la réception d’un code différent par sms. Davantage efficace, le 2FA par application d’authentification produit des codes localement à partir de l’appareil mobile utilisé. Il utilise une clé de démarrage appelée « seed », générée et stockée dans le serveur. Elle est encodée et synchronisée avec l’heure et la date, dès que l’on se connecte. Les 2FA par validation de login utilisent une cryptographie à clé publique vérifiant l’identité. Enfin, le U2F (two steps verification) est la version améliorée du 2FA, utilisant un composant indépendant : carte à puce, jeton de login ou fido u2 security key.
Inconvénients du 2FA
Si l’utilisateur d’un 2FA à sms est dans une zone non couverte par le serveur, il ne recevra pas de sms. L’inconvénient est que des escrocs peuvent se connecter à un téléphone portable par la technique du SIM Swap. Donc, il est déconseillé d’utiliser le 2FA par sms. Même le 2FA par validation de login sont vulnérables, car si une boîte mail est détournée, les mots de passe peuvent être réinitialisés et le code de vérification envoyé par mail au malfaiteur.