Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Firefox et double authentification : le support des clés de sécurité (U2F) enfin natif

Coucou Edge !
Logiciel 4 min
Firefox et double authentification : le support des clés de sécurité (U2F) enfin natif

Cela fait des années que certains l'attendent, ce sera bientôt une réalité : Firefox va intégrer le standard U2F de la FIDO Alliance. De quoi permettre l'utilisation de clé de sécurité au sein du navigateur, et inciter un nombre croissant de services à l'utiliser.

Alors que les fuites de données se font de plus en plus courantes, se pose la question de la protection de l'accès à nos comptes en ligne. Si aucune solution parfaite n'a été trouvée, il existe une manière simple de renforcer votre niveau de sécurité sans (trop) ajouter de complexité : la double authentification.

Adoptée de manière quasi systématique par les services en ligne désormais, celle-ci consiste à compléter votre identifiant et votre mot de passe par une troisième variable qui a deux caractéristiques : elle est aléatoire et vous êtes le seul à pouvoir vous la procurer. Elle prend la forme d'un code qui vous est transmis de manière plus ou moins sûre : par SMS, à travers une application spécifique ou encore une clé de sécurité.

U2F : un standard méconnu mais en pleine expansion

Ces dernières répondent à un standard défini par la FIDO (Fast IDentity Online) Alliance : U2F. Finalisé fin 2014, il est adopté par un nombre croissant de services, de Facebook à GitHub en passant par Google, Dropbox ou encore Dashlane. Il permet de disposer d'une galaxie de solutions qui répondent aux mêmes exigences de sécurité, à des tarifs accessibles.

Ainsi, on le retrouve aussi bien dans des clés à moins de 10 euros comme dans des modèles plus complets avec zone tactile comme les Yubikey, vendues entre 20 et 60 euros selon les modèles (voir leurs caractéristiques).

Chrome joue le jeu, Edge, Firefox et Safari à la traîne

Mais il reste un problème de taille : l'adoption par les navigateurs. En effet, l'U2F est pour le moment supporté seulement par Chrome et ses dérivés. Si Microsoft l'a évoqué il y a un moment, ce n'était pas vraiment pour son intégration dans Edge, qui ne semble toujours pas de la partie, même avec la Fall Creators Update. Pour Safari il faut compter sur une extension développée par un tiers.

Le cas de Firefox était le plus étonnant, car les standards et les questions de sécurité sont en général des sujets dont la fondation Mozilla est friande. Mais là... rien, excepté une extension développée par un tiers. Un problème alors qu'ID.me, qui peut être utilisé pour se connecter à des services gouvernementaux outre-Atlantique, vient d'annoncer au Federal Identity Forum (FedID) l'intégration de l'U2F.

L'U2F natif déjà fonctionnel dans la version Nightly

Il y a trois ans pourtant, une implémentation avait été demandée. S'en est suivie une longue discussion qui a tourné en rond... jusqu'au début de l'année. On apprenait ainsi que le support de l'U2F était prévu pour le troisième trimestre, avec une intégration finalisée attendue pour Firefox 58 qui doit arriver dans quatre mois.

Mais cela pourrait arriver plus vite que prévu. Car ce week-end, de premiers utilisateurs commençaient à évoquer un dispositif fonctionnel au sein de la version Nightly de Firefox (branche 57) comme l'a repéré @Sphinx_Twitt. Nous avons pour notre part pu confirmer que tout fonctionnait bien avec une clé U2F de base et un modèle Yubikey 4, aussi bien sous Linux (Debian Stretch) que Windows 10 (Creators Update). 

Pour en profiter, trois paramètres sont à activer dans la section about:config (à taper dans la barre d'adresse) :

security.webauth.u2f > true
security.webauth.webauthn > true
security.webauth.webauthn_enable_usbtoken > true

Une fois ceci fait, il vous suffit de vous rendre sur la page de test de l'U2F proposée par Yubico afin de simuler la création d'un compte avec protection par double authentification. Votre clé devrait être reconnue, même sans extension.

Reste maintenant à modifier l'implémentation à travers les services. Car si GitHub reconnait par exemple parfaitement notre clé, ce n'est pas le cas de Dropbox ou Facebook qui ont décidé de tout simplement... limiter leur implémentation à Chrome. Tout autre navigateur sera ainsi bloqué :

Dropbox U2F Firefox

Il faut donc désormais attendre que cette fonctionnalité rejoigne le canal bêta puis stable, et que les éditeurs mettent leur site à jour afin de pouvoir en profiter, mais tout est désormais en bonne voie. Espérons donc que Microsoft verra à son tour enfin la lumière concernant l'U2F.

Notez que pour contourner la limitation du support de l'U2F à Chrome, il vous suffit d'utiliser une extension permettant de changer l'User-Agent comme User-Agent Switcher.

42 commentaires
Avatar de Ricard INpactien
Avatar de RicardRicard- 19/09/17 à 07:26:26

Car si GitHub reconnait par exemple parfaitement notre clé, ce n'est pas le cas de Dropbox ou Facebook qui ont décidé de tout simplement... limiter leur implémentation à Chrome.
:fumer:

Je me laisserai bien tenter, mais il n'y a pas de service que j'utilise compatible. A moins que ce soit facilement déployable sur des services perso (mail, blog, NextCloud) ?

Avatar de Minikea INpactien
Avatar de MinikeaMinikea- 19/09/17 à 07:31:37

c'est pas dommage!
par contre le support dans Chrome Mobile est assez aléatoire (en NFC). ça a jamais fonctionné sur mon android.

Édité par Minikea le 19/09/2017 à 07:35
Avatar de 127.0.0.1 INpactien
Avatar de 127.0.0.1127.0.0.1- 19/09/17 à 07:33:21

Notez que pour contourner la limitation du support de l'U2F à Chrome, il vous suffit d'utiliser une extension permettant de changer l'User-Agent comme User-Agent Switcher.

En fait, le standard du web c'est google/chrome...
... et tous les autres navigateurs doivent être compatibles google/chrome.

#SabButTrue

Avatar de Minikea INpactien
Avatar de MinikeaMinikea- 19/09/17 à 07:33:51

c'est pas super dur à implémenter, j'avais codé un petit truc en php avec les exemple proposé par Yubico sur leur site de dev pour la page d'administration de mon site.
y'a surement des plugins pour les CMS courants.

Avatar de TexMex Abonné
Avatar de TexMexTexMex- 19/09/17 à 07:41:29

Et quels sont les exemples d'utilisation concret de ce truc?
Quid de la navigation en mode caché?
Quid de l'utilisation des données ???
 

Avatar de Ricard INpactien
Avatar de RicardRicard- 19/09/17 à 07:46:34

Minikea a écrit :

c'est pas super dur à implémenter, j'avais codé un petit truc en php avec les exemple proposé par Yubico sur leur site de dev pour la page d'administration de mon site.
y'a surement des plugins pour les CMS courants.

J'ai pas un CMS courant (Bludit :transpi:) et je suis totalement INcompétent en JS et PHP... :craint:

Avatar de David_L Équipe
Avatar de David_LDavid_L- 19/09/17 à 08:02:28

Je crois que tu as loupé un truc dans le concept même de la clé de sécurité :D

Avatar de Minikea INpactien
Avatar de MinikeaMinikea- 19/09/17 à 08:09:05

moi non plus (pluxml) mais en prenant un des exemples de yubico, je l'ai ajouté au formulaire de connexion déjà existant et c'était pas spécialement dur à mettre en place (après, ça fait quelques années, donc je me rappelle plus comment j'avais fait précisément)

Avatar de Ricard INpactien
Avatar de RicardRicard- 19/09/17 à 08:15:55

Minikea a écrit :

moi non plus (pluxml) mais en prenant un des exemples de yubico, je l'ai ajouté au formulaire de connexion déjà existant et c'était pas spécialement dur à mettre en place (après, ça fait quelques années, donc je me rappelle plus comment j'avais fait précisément)

Il y a une API JS ici, ça a pas l'air trop compliqué, mais c'est pas pour moi... Je mettrai beaucoup trop de temps à coder un truc bancal. Et en sécu, on rigole pas avec ça. Je vais donc m'abstenir.:transpi:

Édité par Ricard le 19/09/2017 à 08:16
Avatar de levhieu INpactien
Avatar de levhieulevhieu- 19/09/17 à 08:33:56

Tiens, une raison de plus de ne pas utiliser Facebook

Il n'est plus possible de commenter cette actualité.
Page 1 / 5