Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Ledger Hello : comment se connecter à Windows 10 avec une clé de sécurité Nano S

Une pénalité en BTC à chaque essai manqué ?
Ledger Hello : comment se connecter à Windows 10 avec une clé de sécurité Nano S

Ledger est connue pour proposer des portefeuilles matériels pour crypto-monnaies. Mais la société offre à travers ses produits d'autres fonctionnalités, comme la connexion simplifiée à Windows 10. Nous l'avons testée sur un modèle Nano S.

Il y a quelques temps, nous avions détaillé comment utiliser une Yubikey pour vous connecter de manière sécurisée à votre machine sous macOS ou Windows 10. Dans le premier cas, un support natif était exploité. Dans le second, il fallait passer par une application tierce s'appuyant sur le Companion Device Framework de Microsoft (voir cette vidéo de Channel 9).

Yubico n'est plus seule sur ce terrain, les français de Ledger ayant décidé de proposer une fonction similaire sur certains de leurs produits. La société propose depuis quelques années des portefeuilles matériels pour crypto-monnaies. Mais elle a surtout l'avantage de travailler sur des solutions ouvertes et open source.

La sécurité au-delà des crypto-monnaies

De quoi permettre d'ajouter des fonctions avec le temps, qui exploitent les éléments de sécurité intégrés à ses produits. Ainsi, de nouvelles crypto-monnaies et plusieurs plateformes sont désormais supportées : Bitcoin Cash, Dash, Ethereum, Komodo, Litecoin, Posw, Ripple, Stratis, Zcash, etc. Le tout pouvant être géré à travers l'application Chrome Ledger Manager, mais aussi via des intégrations à BitGo, Copay, Electrum, GreenBits, Mycelium ou MyEtherWallets.

Depuis le départ, le standard FIDO U2F est aussi supporté, pour une sécurité de connexion renforcée à des services comme Dropbox, Facebook, GitHub, Google ou même des applications comme Dashlane.

Des modèles comme les Nano S (ST31H320 + STM32F042) et Blue (ST31G480 + STM32L476) ont intégré un écran pour des usages plus complets. Ainsi, plusieurs applications sont en développement et accessibles via une option spécifique : un gestionnaire de mot de passe, le support d'OpenPGP Card 3.0 ou encore un agent SSH/PGP.

Plus récemment, une autre solution est apparue dans la liste des outils finalisés : Hello. 

Ledger Manager

Comment ça marche ?

Celle-ci n'a pas été officiellement annoncée, mais on en trouve une trace dans la base de connaissance du site. Pour faire simple, il s'agit comme pour les Yubikey, d'utiliser la clé comme un élément de sécurité facilitant la connexion à Windows, en connectant un élément matériel.

Vous n'aurez pas de mot de passe ou de code PIN à taper, pour peu que la clé soit connectée à votre machine. Attention, cela ne sera actif qu'une fois la machine verrouillée, notamment après une période de veille. Pour un premier démarrage ou une reconnexion, vous ne pourrez pas utiliser la clé, un peu à la manière de Touch ID chez Apple.

  • Disposer des outils nécessaires et d'un code PIN

Pour voir ce qu'il en est plus en détail, nous avons utilisé une clé Ledger Nano S et une machine sous Windows 10 (build 15063). Selon l'équipe, le système fonctionne dès la build 14393 mais il reste recommandé d'être à jour. Seuls deux de ses modèles sont concernés : le Nano S (firmware 1.3.1 ou supérieur) et le Blue.

Première étape : installer l'application Hello sur votre clé via Ledger Manager. Vous devez donc la connecter à votre machine et entrer le code PIN permettant de la déverrouiller. Installez ensuite l'application (gratuite) Ledger Hello sur votre machine depuis le Windows Store.

Il faudra alors préparer votre compte Windows. En effet, comme avec la Yubikey, il est nécessaire d'ajouter un code PIN à votre compte utilisateur, ce qui revient à mettre en place Microsoft Passport. Cela nécessite au passage l'ajout d'un mot de passe. Tout se déroule dans les Paramètres (Windows + i) puis dans la section Compte et Options de connexion :

Yubikey Windows 10 Hello

Le code PIN peut être assez long, veillez donc à ne pas en utiliser un trop simple, car il permettra de se connecter à votre machine. Cela reviendrait à remplacer votre mot de passe complexe par une alternative bien plus facile à trouver (celle-ci étant déjà limitée par défaut à des caractères numériques).

  • Enregistrer votre clé Ledger

Une fois le code PIN en place, vous pourrez lancer l'application Ledger Hello sur votre machine. Votre clé devrait automatiquement être reconnue. Il faudra lui choisir un petit nom, plusieurs pouvant être utilisées pour déverrouiller une même machine (cinq maximum).

Une confirmation, prenant la forme d'un appui sur l'un des boutons de la clé, sera demandée. Il faudra aussi entrer le code PIN de la machine pour finaliser l'enregistrement. L'interface présentera alors la liste des appareils autorisés à simplifier la connexion, avec la possibilité d'en ajouter ou d'en supprimer.

Pour tester le fonctionnement de votre clé, tapez Windows + L. Cela verrouillera la machine. Vous serez invités à choisir entre taper votre mot de passe, votre code PIN ou connecter votre clé Ledger. Il suffit alors d'y lancer l'application Hello afin que la procédure soit initiée. Par défaut, une confirmation vous sera demandée via un appui sur l'un des boutons de la clé afin de finaliser la connexion.

  • Régler quelques paramètres utiles

Dans les paramètres de l'application de la clé (Settings), deux options utiles sont proposées : le déverrouillage automatique (Auto Unlock) et le verrouillage à la déconnexion (Unplug to lock). 

Dans le premier cas, il s'agit de ne pas demander de confirmation pour finaliser la connexion. Dans le second, il s'agit de verrouiller automatiquement la machine dès que la clé est déconnectée. Pratique pour ceux qui auraient tendance à oublier de le faire dès qu'ils s'éloignent un peu trop de leur machine (il faudra tout de même penser à déconnecter la clé).

Une fonction intéressante, limitée par les choix de Microsoft

Au final, on retrouve donc un fonctionnement presque similaire à celui d'une Yubikey avec son application compagnon. Les avantages et inconvénients découlent pour la plupart des choix de Microsoft en la matière.

Le fait de passer par le Companion Device Framework impose d'utiliser un code PIN en complément d'un mot de passe, ce qui multiplie les options de connexion et donc les fuites potentielles. On apprécierait plutôt un support natif des smartcards et des certificats comme sous macOS, sans avoir à en passer par un domaine.

La mise en place par une clef Ledger apporte néanmoins un point de sécurité complémentaire par rapport à ce que propose Yubico : la protection par un code PIN géré matériellement. Pour certains, ce sera un avantage de pouvoir ainsi déporter cette étape sur un composant tiers. Pour d'autres, ce sera une contrainte puisqu'il faudra le taper à chaque fois que la clé sera à nouveau insérée ou en veille.

Là aussi, on aimerait un support natif de la part de Microsoft. On apprécierait par exemple de pouvoir utiliser un lecteur de smartcard à clavier physique avec une clef OpenPGP par exemple.

Ledger doit continuer de regarder au-delà des crypto-monnaies

Ledger montre que ses produits peuvent servir à un peu plus que la gestion de portefeuilles de crypto-monnaies, ce qui en fait des outils qui peuvent se montrer assez complet. Il faut dire qu'à près de 70 euros la Nano S, on peut s'attendre à ce qu'elle multiplie les fonctionnalités.

On regrettera néanmoins que cet aspect ne soit pas plus développé. On aimerait ainsi que le support d'OpenPGP sorte de la zone réservée aux développeurs et que le gestionnaire de mots de passe gagne en fonctions, voire que des liens soient là aussi noués avec des outils tiers pour qu'ils exploitent les possibilités de la clé via des plugins par exemple. 

Yubico a presque réussi à faire de ses produits un standard dans le secteur, du fait de leurs multiples possibilités et de leur bonne intégration. En se focalisant sur les crypto-monnaies, Ledger a réussi à trouver un angle d'attaque lui permettant de faire la différence. Mais pour réussir à convaincre plus largement, il faudra aller plus loin concernant les autres aspects de ses produits. Espérons donc que de bonnes surprises nous attendent en la matière dans les mois qui viennent.

23 commentaires
Avatar de 127.0.0.1 INpactien
Avatar de 127.0.0.1127.0.0.1- 16/08/17 à 11:38:55

hum... pour résumer:

  1. installer l'application Hello ... et entrer le code PIN.

    1. Il faudra alors préparer votre compte Windows... il est nécessaire d'ajouter un code PIN.
    2. Une fois le code PIN en place .. Il faudra lui choisir un petit nom.

    Cela ne sera actif qu'une fois la machine verrouillée, notamment après une période de veille.
    Pour un premier démarrage ou une reconnexion, vous ne pourrez pas utiliser la clé.

C'est encore léger en MAF (Michu Acceptance Factor). :transpi:

Avatar de Morveus INpactien
Avatar de MorveusMorveus- 16/08/17 à 11:39:55

127.0.0.1 a écrit :

C'est encore léger en MAF (Michu Acceptance Factor). :transpi:

Globalement la crypto c'est pas super Michu-compliant, notre support client commence à le sentir :D

Avatar de David_L Équipe
Avatar de David_LDavid_L- 16/08/17 à 11:48:54

Oui et non, le système de PIN est "poussé" par défaut par MS, un peu comme avec les appareils mobiles. Le but c'est de proposer une alternative simple et spécifique à la machine en complément du compte MS. Après si tu fais du compte local au départ, ça fait doublon et dans tous les cas c'est un peu usine à gaz.

Donc forcer à passer par ça pour utiliser le framework c'est un peu lourdingue en soi. Mais plus du fait de MS que des éditeurs tiers pour le coup, comme on le voit avec Apple qui gère nativement les certificats et qui du coup peu fonctionner avec une clef et un PIN bien plus simplement.

Mais chez MS c'est possible uniquement s'il y a un domaine, comme dit dans le précédent papier, pour MS il y a encore bien trop la mauvaise habitude du Sécurité = Pro.

Avatar de TGViYXJidTgy Abonné
Avatar de TGViYXJidTgyTGViYXJidTgy- 16/08/17 à 11:59:50

Je crois surtout que Mme Michu à +80€ la clé Nano S, comment dire :non:

C'est le prix de [insérer un truc...ici] et la sécurité de son PC/Mac, comment dire :ooo:

Avatar de 127.0.0.1 INpactien
Avatar de 127.0.0.1127.0.0.1- 16/08/17 à 12:01:03

Ah mais je ne dis pas que c'est la faute de Ledger (ou celle de Microsoft).
Je note juste que la solution globale est à la fois complexe et restrictive.

Pour moi, c'est du même acabit que mettre en place le chiffrement des emails .

Effectivement, il serait temps que MS propose quelque chose de simple et activé par défaut pour les ordinateurs domestiques (et si possible avec un protocole ouvert/extensible).

Édité par 127.0.0.1 le 16/08/2017 à 12:01
Avatar de jb18v Abonné
Avatar de jb18vjb18v- 16/08/17 à 12:17:09

(il faudra tout de même penser à déconnecter la clé).

> suffit de se l'attacher au poignet, avec un fil d'un bon mètre, et quand on part on met le pc par terre on débranche la clé :8:D

Avatar de 127.0.0.1 INpactien
Avatar de 127.0.0.1127.0.0.1- 16/08/17 à 12:26:21

David_L a écrit :

...

Quelques questions supplémentaires (je vais aller regarder le site Ledger pour comprendre):

Pour tester le fonctionnement de votre clé, tapez Windows + L. Cela verrouillera la machine.
Vous serez invités à choisir entre taper votre mot de passe, votre code PIN ou connecter votre clé Ledger.
Il suffit alors d'y lancer l'application Hello afin que la procédure soit initiée.

Ca signifie qu'une application se lance alors que la station est toujours officiellement verrouillée ?

Dans les paramètres de l'application de la clé (Settings), deux options utiles sont proposées : le déverrouillage automatique (Auto Unlock) et le verrouillage à la déconnexion (Unplug to lock).

Heu... donc ce n'est plus du U2F (2nd Factor) mais une "login key" (enfin une "unlock key")

Avatar de Patch INpactien
Avatar de PatchPatch- 16/08/17 à 12:32:38

Morveus a écrit :

Globalement la crypto c'est pas super Michu-compliant, notre support client commence à le sentir :D

Tu peux même élargir à la sécurité en général... Beaucoup de gens ne voient pas d'intérêt réel à la sécurité (surtout informatique/électronique), et s'en foutent complètement.

Édité par Patch le 16/08/2017 à 12:32
Avatar de jb18v Abonné
Avatar de jb18vjb18v- 16/08/17 à 12:40:37

Patch a écrit :

Tu peux même élargir à la sécurité en général... Beaucoup de gens ne voient pas d'intérêt réel à la sécurité (surtout informatique/électronique), et s'en foutent complètement.

ou la sauvegarde..:craint:

Avatar de David_L Équipe
Avatar de David_LDavid_L- 16/08/17 à 12:52:59
  1. Tu lances l'app sur la clef pour qu'elle puisse être reconnue par ta machine pour le login
    1. Le login Windows utilise un dispositif spécifique. Mais la clef permet aussi de gérer U2F, c'est juste une app différente, tu peux passe d'une app à une autre assez simplement sur la clé :)
Il n'est plus possible de commenter cette actualité.
Page 1 / 3