Et si vous renforciez la sécurité de la connexion à votre machine en utilisant une clé de sécurité ? Les Yubikey sont déjà facilement exploitables sous macOS, mais l'implémentation prévue pour Windows était peu convaincante. Nous avons testé son renouvellement.
Le mot de passe montre de plus en plus ses limites comme dispositif de sécurité. Il faut dire qu'entre les données parfois stockées en clair, l'augmentation de la puissance de calcul pour les attaques par force brute et les internautes ayant un même code d'accès (peu inventif) pour différents services, il devient impossible d'assurer un bon niveau de protection.
Mais puisque le mot de passe est encore nécessaire, il faut trouver un moyen d'y parvenir sans trop complexifier la vie des utilisateurs. Avec l'arrivée des solutions d'authentification à plusieurs facteurs ou sans mot de passe, des technologies ont émergé. On pense bien entendu aux dispositifs biométriques, mais ils sont le plus souvent impossibles à renouveler (on ne change pas facilement de visage ou d'empreintes digitales) et posent question sur le terrain de la collecte de données.
Une autre approche consiste à exploiter un composant matériel avec un élément de sécurité, qui peut prendre plusieurs formes. L'une des plus pratiques pour un PC est la clé USB. Yubico est un constructeur très actif sur ce terrain avec ses Yubikey (dès 25 euros), qu'il rêve de voir utilisées par tous les services nécessitant une connexion.
Mais cela demande un travail de fond important, que ce soit autour de l'établissement de standards comme FIDO2/WebAuthn, les navigateurs et autres services en ligne, mais aussi l'implémentation dans des logiciels à très large audience comme les systèmes d'exploitation (mobiles ou non).
Après une première initiative mitigée sous Windows 10, la société revient avec une nouvelle implémentation, promettant une connexion plus sécurisée et une configuration simple. Qu'apporte-t-elle réellement ?
Yubico Login for Windows (YLW) : une préversion
Commençons par les bonnes nouvelles : les développeurs n'utilisent plus une application universelle limitée à Windows 10. YLW fonctionne aussi sur Windows 7 (SP1) et 8.1.
Autre point positif, il fonctionne sur des comptes locaux. Ce sont d'ailleurs les seuls gérés, une machine pouvant tout à fait continuer d'utiliser des comptes Entreprise ou protégés par Windows Hello. La Yubikey ne pourra pas être utilisé comme dispositif de sécurité complémentaire sur ces derniers.
Il est de toutes façons toujours possible d'utiliser Yubikey for Windows Hello, Yubico proposant également une implémentation spécifique pour les entreprises ayant recours à Azure/Active Directory. Pour rappel, une solution existe aussi pour macOS (reposant sur le support des smartcards).
Pour le moment, l'application proposée n'est qu'une préversion. Vous pouvez l'obtenir en remplissant ce formulaire, les liens et guides d'installation vous seront ensuite envoyés par email. Cela signifie que les choses peuvent encore largement évoluer d'ici la version finale, dont la date de publication n'a pas encore été donnée.
Une Yubikey « complète » est nécessaire, ce qui exclut les modèles « Security Key » ne gérant qu'U2F/FIDO2. Comptez donc 55 euros minimum.
L'installation est simple...
Le fichier récupéré pèse un peu plus de 5 Mo, il s'installe en quelques clics (les droits administrateurs sont nécessaires) et nécessite un redémarrage de la machine.
Dans la pratique, il prend le dessus sur l'écran de connexion natif de Windows (Credential Provider). On y voit une icône en forme de Yubikey, deux champs identifiant/mot de passe vides, puis un lien pour utiliser une clé de récupération en cas de problème (nous y reviendrons).
Par défaut, ce formulaire reconnait les informations de vos comptes locaux, vous pouvez donc simplement vous y connecter. Dommage, le nom de l'utilisateur n'est pas prérempli. On aurait au moins apprécié qu'une liste soit affichée pour les machines multi-comptes. Un point qui peut évoluer.
... la configuration un peu moins
Pour lier un compte à une Yubikey, il suffit de lancer l'application. Tout le défi pour les équipes de Yubico est ici : rendre cette procédure la plus simple et compréhensible possible pour l'utilisateur lambda. Pour le moment, il y a encore du travail sur ce point, le langage étant encore trop technique et verbeux.
La seconde fenêtre est la plus importante : elle vous permettra de choisir l'emplacement à utiliser (chaque Yubikey en comporte deux) pour la clé privée. Il est recommandé d'utiliser le second, le premier pouvant servir pour un dispositif OTP classique pour d'autres applications (via le bouton).
Ici on trouve une mécanique Défi/Réponse et un code à usage unique (OTP), la clé privée pouvant être générée lors de la configuration, mais aussi réutilisée ou entrée manuellement (HMAC-SHA1, 40 caractères hexadécimaux).
Ces choix laissent différentes possibilités, comme se servir de deux emplacements pour des utilisateurs disctincts, la clé privée pouvant être utilisée par plusieurs comptes (ce qui est déconseillé par Yubico). Ils peuvent aussi reposer sur l'utilisation de clés différentes.
Un code de récupération (48 caractères) peut être généré pour récupérer l'accès si votre clé venait à être perdue, oubliée ou cassée. Vous pouvez préférer opter pour l'utilisation d'une Yubikey de secours, il vous en faudra alors une seconde sous la main. Nous ne pouvons que vous conseiller d'utiliser l'une ou l'autre de ces méthodes.
Une fois les choix effectués, une liste des comptes locaux de la machine est affichée (ceux avec une petit étoile sont déjà liés à une clé, vous devez alors choisir celui que vous voulez configurer. Il est possible d'en traiter plusieurs de suite, les mêmes réglages (emplacement, création de la clé privée, récupération) étant alors appliqués à chaque compte.
Attention à ne pas utiliser le même emplacement d'une Yubikey pour plusieurs comptes en générant à chaque fois une nouvelle clé privée, qui écrasera la précédente. Dans ce cas, seul le dernier utilisateur configuré pourra se connecter. C'est ici que Yubico peut encore faire des efforts pour rendre ces choix et risques plus lisibles.
La programmation de la clé ne demande que quelques secondes, on regrette que les paramètres choisis ne soient pas à nouveau affichés dans la fenêtre précédant la procédure. Si vous avez demandé la création d'une Yubikey de secours, il faudra recommencer en l'insérant dans votre machine.
Le code de récupération pourra être exporté dans un fichier texte. Il n'est pas proposé de le chiffrer ou le protéger par un mot de passe par exemple. Dommage, même si vous pouvez toujours le faire à la main.
Phase de connexion : comment ça marche ?
Une fois la procédure terminée, vous pouvez vous déconnecter (Windows+L) et entrer votre couple identifiant/mot de passe. Si la Yubikey est présente, cela fonctionne. Sinon, vous obtiendrez un message d'erreur. Une nuance est à noter : si le couple entré est le bon, vous serez invité à insérer votre clé et à recommencer, sinon « Invalid Credentials » sera affiché.
La simple présence de la clé est nécessaire, il n'y a pas d'action manuelle a effectuer. On apprécierait par contre de pouvoir activer un mode où son retrait verrouillerait la session par exemple. Petite astuce intéressante : vous pouvez utiliser la procédure même avec un mot de passe vide, la clé devenant alors le seul complément de votre identifiant.
L'utilisation d'YWL ne change rien à la gestion de votre compte Windows, vos partages réseau ou votre mot de passe. Vous pouvez modifier ce dernier dans Paramètres, sans que la Yubikey ne soit nécessaire. Elle est simplement utilisée lors de la phase de connexion locale, sans autre incidence. Retirer l'application revient à un fonctionnement normal.
Bien que perfectible sur la forme, l'ensemble est donc plutôt pratique sur le fond. On regrette que l'ensemble ne passe pas par un dispositif FIDO2, mais Yubico attend sans doute que Microsoft intègre ce standard en profondeur dans Windows 10, avec une mécanique native pour la phase de connexion.
On apprécie en tous cas les efforts faits par la société pour proposer de telles solutions à ses clients. Il n'y a plus qu'à espérer que l'application évoluera dans le bon sens, et qu'elle sera rapidement finalisée.
