Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

U2F : la double authentification par clef USB se répand et débarque dans Dropbox

Les banques s'y mettront d'ici 2035
Logiciel 4 min
U2F : la double authentification par clef USB se répand et débarque dans Dropbox

Dropbox vient d'annoncer qu'il proposait lui aussi un support de clefs USB pour faciliter la double authentification de ses utilisateurs. Elles devront être compatibles avec le standard U2F de la FIDO Alliance, mais comme toujours, cela ne sera proposé qu'en complément.

Si la double authentification se fait de plus en plus courante dans les options de sécurité des services en ligne, sa mise en place peut se faire de différentes manières. Les deux plus courantes sont de passer par un code envoyé par SMS ou généré par une application, qui sera à taper une fois votre login et votre mot de passe validés.

Ce code n'étant valable que pour 30 secondes ou quelques minutes en général, il rajoute une couche de sécurité supplémentaire qui évite le piratage de tous vos comptes en cas de phishing réussi et de récupération de votre mot de passe, tout en restant simple à mettre en œuvre. C'est aussi une manière d'éviter d'avoir à manipuler de trop nombreux mots de passe pour différents services (même si cela reste conseillé pour les plus sensibles).

U2F : le standard pour renforcer la double authentification

Mais depuis quelques temps, une autre solution existe. Connue sous le petit nom d'U2F (pour Universal 2nd Factor), il s'agit d'un standard initié par Google, Yubico et NXP, qui est désormais géré par la FIDO (Fast IDentity Online) Alliance. Finalisé à la fin de l'année dernière, il assure un fonctionnement simple, tant du point de vue de l'utilisateur que de l'implémentation, mais se base sur un composant indépendant de votre smartphone.

Dans la pratique, il suffit en effet de brancher une clef USB à votre ordinateur, et éventuellement de presser un bouton pour générer un code pouvant être vérifié par un service tiers compatible. Vous devez simplement avoir lié une ou plusieurs clefs USB à votre compte pour que cela fonctionne. Un site de démonstration est disponible ici, les développeurs pourront trouver une documentation assez complète par là.

Une clef USB qui coûte entre quelques euros et 60 euros

Ce genre de clef ne coûte d'ailleurs pas très cher. Une version ultra basique coûte moins de 10 euros. Mais c'est sans doute la société Yubico qui propose la plus grande panoplie de produits avec ses Yubikey. Le modèle de base propose un espace tactile pour environ 17 euros, contre un peu plus de 30 euros pour le modèle Edge qui supporte OATH, l'intégration à Lastpass ou les mots de passe à usage uniques exploités par des services comme SalesForce ou même Keepass (voir ce guide). La version la plus complète sera la Neo, compatible PIV, OpenPGP (voir ce guide) et qui gère le NFC. Le tout pour un peu moins de 60 euros. Elle existe aussi en version ultra-compacte (sans NFC), la Neo-n.

Si n'importe quel site ou service peut exploiter l'U2F, seuls certains ont pour le moment sauté le pas. C'est notamment le cas de Google qui le propose comme une des multiples solutions de validation en deux étapes supportées. Il y a bien entendu l'application Authenticator, le SMS envoyé sur votre smartphone, mais aussi des codes à usage unique que vous pouvez vouloir utiliser en dernier recours.

Un nombre croissant d'acteurs, mais quid des sociétés telles que les banques ?

Microsoft a de son côté annoncé qu'il supporterait l'U2F au sein de Windows 10, mais à travers la version 2.0 du standard. On voit ainsi un nombre croissant de sociétés proposer un tel support, mais certaines font l'impasse. C'est notamment le cas des banques qui semblent pour le moment préférer un bon vieux mot de passe composé, le plus souvent, de quelques chiffres.

Aujourd'hui, c'est au tour de Dropbox de sauter le pas. Dans un billet de blog, le service indique en effet qu'il est désormais possible d'utiliser cette méthode de double authentification sous Chrome (les autres navigateur ne la supportant pas encore). Attention néanmoins, elle ne pourra être que complémentaire. Il faut ainsi avoir déjà activé la 2FA avec votre smartphone ou une application afin de pouvoir ensuite rajouter des clefs de sécurité comme vous pourrez le voir dans cette vidéo :

U2F : un complément pour faciliter, mais pas encore une alternative indépendante

C'est d'ailleurs l'un des regrets que l'on peut avoir sur le sujet. La double authentification via une clef U2F est un complément qui est toujours proposé pour simplifier cette procédure ou la déporter sur un produit qui ne nécessite pas de batterie pour fonctionner. Mais le smartphone est encore presque toujours requis par les services afin de pouvoir vous identifier en dernier recours, via une application ou un SMS.

Ainsi, ces clefs peuvent vous apporter une aide, mais en aucun cas être vues comme une réelle alternative indépendante pour le moment. Espérons que cela changera avec le temps.

43 commentaires
Avatar de Krogoth Abonné
Avatar de KrogothKrogoth- 13/08/15 à 15:07:18

Les banques proposent la double authentification en general....mais ces charognards facturent le service bien cher.
 
 Le gros soucis des clef yuibico c'est qu'ils ne proposent pas de clef avec le cabre autour du connecteur... J'aime pas du tout (choix personnel).
 
 Je verrais bien en plus un lecteur d'empreinte sur la clef pour au cas où on se fait voler la clef ^^ (moi parano?)

Édité par Krogoth le 13/08/2015 à 15:10
Avatar de XalG INpactien
Avatar de XalGXalG- 13/08/15 à 15:09:19

Les banques font un brin de double authentification, pour payer en ligne avec ma banque, je dois absolument connaître une chose et en posséder une autre.

Avatar de Flogik Abonné
Avatar de FlogikFlogik- 13/08/15 à 15:11:57

Ce n'est pas l'accès web qui est facturé ? 
 Perso (crédit agricole et ING) pas de surfacturation. 
 
 Pour les banques, un client qui trouve une procédure compliquée = un client pas satisfait qui change de banque. elles n'ont pas intérêt pour l'instant a rendre les choses compliquées. En fait tant que le piratage de compte coûte moins cher que de perdre des clients ça se poursuivra. 
Lorsque la fraude sera massive, elles finieront par changer. 

Avatar de philanthropos INpactien
Avatar de philanthroposphilanthropos- 13/08/15 à 15:15:20

XalG a écrit :

Les banques font un brin de double authentification, pour payer en ligne avec ma banque, je dois absolument connaître une chose et en posséder une autre.

Ouip, souvent un code est envoyé par mail/sms (même si je préfère la seconde solution).

Après évidement, ça pose tout un tas de soucis dans le cas où tu as accès à l'un mais pas à l'autre (vol, perte, etc) ; mais dans l'absolu ça t'évite tout problème en cas de vol de CB, ce qui est le plus courant.

Édité par philanthropos le 13/08/2015 à 15:16
Avatar de David_L Équipe
Avatar de David_LDavid_L- 13/08/15 à 15:17:15

C'est assez rare (sur toutes les banques auxquelles j'ai eu accès récemment, ce n'était pas proposé). Quelles banques de ton côté ?

Avatar de David_L Équipe
Avatar de David_LDavid_L- 13/08/15 à 15:17:32

C'est 3D Secure ça, c'est encore autre chose et uniquement pour le paiement ;)

Avatar de Krogoth Abonné
Avatar de KrogothKrogoth- 13/08/15 à 15:18:08

La double authentification avec un élément matériel proposé au client (pas le simple SMS) existe aussi mais est facturée cher.
 
 

David_L a écrit :

C'est
assez rare (sur toutes les banques auxquelles j'ai eu accès récemment,
ce n'était pas proposé). Quelles banques de ton côté ?

 J'ai eu bossé pour la banque populaire a une epoque et ils proposaient ce genre de service (mais peut être que pour les pros). Il me semble que c'était un genre de calculette, le service web te donné un numéro a tapper sur ta calculette,et la calculette te donnait un numéro valable quelque seconde a utiliser pour se connecter.

Édité par Krogoth le 13/08/2015 à 15:21
Avatar de mickaelb INpactien
Avatar de mickaelbmickaelb- 13/08/15 à 15:19:34

philanthropos a écrit :

Ouip, souvent un code est envoyé par mail/sms (même si je préfère la seconde solution).

Après évidement, ça pose tout un tas de soucis dans le cas où tu as accès à l'un mais pas à l'autre (vol, perte, etc) ; mais dans l'absolu ça t'évite tout problème en cas de vol de CB, ce qui est le plus courant.

Plus compliqué :
À la banque populaire, tu peux faire un achat sur le net et au lieu de rentrer le code 3d secure envoyé par SMS, tu as une sorte de calculatrice dans laquelle tu mets ta carte, où tu tape ton code et en échange tu as droit à un autre code à 8 chiffres à rentrer sur le net.
Ça c'est de la grosse authentification !

Edit : c'est le pass cyberplus :

http://www.loirelyonnais.banquepopulaire.fr/portailinternet/Editorial/BanqueEnLi...

Avatar de Krogoth Abonné
Avatar de KrogothKrogoth- 13/08/15 à 15:23:08

Ahh, il y en a qui utilisent toujours alors. Quel bordel c'était parfois niveau développement ^^.
 
 C'est elle non?http://pvtistes.net/forum/attachments/les-demarches-administratives-avant-le-dep...

Édité par Krogoth le 13/08/2015 à 15:24
Avatar de billylebegue Abonné
Avatar de billylebeguebillylebegue- 13/08/15 à 15:24:29

Oui ça s'appelle le Pass Cyberplus.
 EDIT : grilled

Édité par billylebegue le 13/08/2015 à 15:24
Il n'est plus possible de commenter cette actualité.
Page 1 / 5