Cela fait des années que certains l'attendent, ce sera bientôt une réalité : Firefox va intégrer le standard U2F de la FIDO Alliance. De quoi permettre l'utilisation de clé de sécurité au sein du navigateur, et inciter un nombre croissant de services à l'utiliser.
Alors que les fuites de données se font de plus en plus courantes, se pose la question de la protection de l'accès à nos comptes en ligne. Si aucune solution parfaite n'a été trouvée, il existe une manière simple de renforcer votre niveau de sécurité sans (trop) ajouter de complexité : la double authentification.
Adoptée de manière quasi systématique par les services en ligne désormais, celle-ci consiste à compléter votre identifiant et votre mot de passe par une troisième variable qui a deux caractéristiques : elle est aléatoire et vous êtes le seul à pouvoir vous la procurer. Elle prend la forme d'un code qui vous est transmis de manière plus ou moins sûre : par SMS, à travers une application spécifique ou encore une clé de sécurité.
U2F : un standard méconnu mais en pleine expansion
Ces dernières répondent à un standard défini par la FIDO (Fast IDentity Online) Alliance : U2F. Finalisé fin 2014, il est adopté par un nombre croissant de services, de Facebook à GitHub en passant par Google, Dropbox ou encore Dashlane. Il permet de disposer d'une galaxie de solutions qui répondent aux mêmes exigences de sécurité, à des tarifs accessibles.
Ainsi, on le retrouve aussi bien dans des clés à moins de 10 euros comme dans des modèles plus complets avec zone tactile comme les Yubikey, vendues entre 20 et 60 euros selon les modèles (voir leurs caractéristiques).
Chrome joue le jeu, Edge, Firefox et Safari à la traîne
Mais il reste un problème de taille : l'adoption par les navigateurs. En effet, l'U2F est pour le moment supporté seulement par Chrome et ses dérivés. Si Microsoft l'a évoqué il y a un moment, ce n'était pas vraiment pour son intégration dans Edge, qui ne semble toujours pas de la partie, même avec la Fall Creators Update. Pour Safari il faut compter sur une extension développée par un tiers.
Le cas de Firefox était le plus étonnant, car les standards et les questions de sécurité sont en général des sujets dont la fondation Mozilla est friande. Mais là... rien, excepté une extension développée par un tiers. Un problème alors qu'ID.me, qui peut être utilisé pour se connecter à des services gouvernementaux outre-Atlantique, vient d'annoncer au Federal Identity Forum (FedID) l'intégration de l'U2F.
L'U2F natif déjà fonctionnel dans la version Nightly
Il y a trois ans pourtant, une implémentation avait été demandée. S'en est suivie une longue discussion qui a tourné en rond... jusqu'au début de l'année. On apprenait ainsi que le support de l'U2F était prévu pour le troisième trimestre, avec une intégration finalisée attendue pour Firefox 58 qui doit arriver dans quatre mois.
Mais cela pourrait arriver plus vite que prévu. Car ce week-end, de premiers utilisateurs commençaient à évoquer un dispositif fonctionnel au sein de la version Nightly de Firefox (branche 57) comme l'a repéré @Sphinx_Twitt. Nous avons pour notre part pu confirmer que tout fonctionnait bien avec une clé U2F de base et un modèle Yubikey 4, aussi bien sous Linux (Debian Stretch) que Windows 10 (Creators Update).
Pour en profiter, trois paramètres sont à activer dans la section about:config (à taper dans la barre d'adresse) :
security.webauth.u2f > true
security.webauth.webauthn > true
security.webauth.webauthn_enable_usbtoken > true
Une fois ceci fait, il vous suffit de vous rendre sur la page de test de l'U2F proposée par Yubico afin de simuler la création d'un compte avec protection par double authentification. Votre clé devrait être reconnue, même sans extension.
Reste maintenant à modifier l'implémentation à travers les services. Car si GitHub reconnait par exemple parfaitement notre clé, ce n'est pas le cas de Dropbox ou Facebook qui ont décidé de tout simplement... limiter leur implémentation à Chrome. Tout autre navigateur sera ainsi bloqué :
Il faut donc désormais attendre que cette fonctionnalité rejoigne le canal bêta puis stable, et que les éditeurs mettent leur site à jour afin de pouvoir en profiter, mais tout est désormais en bonne voie. Espérons donc que Microsoft verra à son tour enfin la lumière concernant l'U2F.
Notez que pour contourner la limitation du support de l'U2F à Chrome, il vous suffit d'utiliser une extension permettant de changer l'User-Agent comme User-Agent Switcher.
