Attendue depuis des mois, la Yubikey Bio est enfin là. Elle permet d'associer la connexion multi-facteurs à l'identification par un lecteur biométrique intégré, ce qui manquait aux modèles mis sur le marché. Mais ce nouveau modèle est-il pratique à utiliser, et sur quelles plateformes ?
Cela fait plusieurs années que les clés de sécurité montent en puissance, favorisées par les stratégies d'authentification à multiples facteurs (MFA) puis le passwordless. Elles profitent aussi du travail effectué par le consortium FIDO pour la création de standards dans ce domaine, notamment via WebAuthn dans les navigateurs.
Les clés de sécurité ont la cote, Yubico en profite
Yubico est une société fondée en Suède, installée depuis à Palo Alto, qui a beaucoup bénéficié de cet essor avec ses Yubikey. Elle est l'une des références en la matière, proposant tant des modèles collant au standard que d'autres intégrant des fonctionnalités complémentaires, répondant à des certifications de sécurité spécifiques, etc.
Elle vient d'ailleurs de lancer sa Yubikey Bio, un modèle intégrant un lecteur d'empreinte digitale, pour identifier la personne pouvant l'utiliser. Une sorte de retour aux origines puisque le « Yubi » du nom signifie « doigt ». La société nous a fait parvenir ce produit pour que nous puissions le décortiquer. Voici ce que nous en avons retenu.
Garder ses secrets en sécurité, avec soi
Commençons par un rappel : qu'est-ce qu'une clé de sécurité ? Il s'agit, un peu à la manière des cartes à puce ou de TPM dans le monde PC, d'une enclave numérique. Elle a été pensée pour stocker des « secrets » de manière sécurisée. Ainsi, on peut y écrire du contenu, mais pas le lire (à moins d'une faille de sécurité).
Les informations stockées peuvent néanmoins être utilisées pour effectuer des opérations spécifiques. On peut y placer la partie privée d'une paire de clés cryptographiques et l'utiliser pour signer ou déchiffrer un message par exemple. La machine n'accède pas au contenu de la clé mais l'utilise dans un but précis. Un autre usage classique est la génération à la demande de codes à usage unique, là aussi depuis une clé privée/secrète.
Une Yubikey classique transmet ses informations via un port USB, Lightning ou sans contact (NFC). Elle a l'avantage de pouvoir passer d'un appareil à un autre, contrairement à une solution intégrée à un PC ou un smartphone. Elle dispose d'une zone où il faut appuyer pour assurer d'une présence physique lors de la procédure d'authentification.
Mais jusqu'à maintenant, une personne ayant subtilisé votre clé pouvait l'utiliser à votre place. C'est là que le modèle Bio entre en scène. Car la zone de contact est remplacée par un lecteur d'empreinte digitale. Plusieurs peuvent être associées à une même clé et y sont stockées sous la forme d'un modèle servant à l'identification.
La Yubikey Bio existe en USB Type-A et Type-C, mais pas NFC ou Lightning. Comme les autres modèles, elle est certifiée IP68, ne nécessite pas de pile, gère les standards U2F, FIDO et FIDO2. Vendue dans les 100 euros TTC, elle est plus chère que les Yubikey 5 (55/85 euros). Pourtant, en termes de fonctionnalités, elle se rapproche plutôt des Security Keys basiques (35 euros) puisqu'elle ne gère pas le format smart card (PIV), OTP, HOTP, TOTP ou OpenPGP.
Elle peut néanmoins être utilisée pour se connecter à tous les services et applications gérant WebAuthn/FIDO2, ce qui est la fonctionnalité la plus utilisée. Vous trouverez le détail dans ce tableau. Notez qu'elle n'est pas compatible avec Windows Hello. C'est là tout le « drame » de la stratégie de Microsoft : cette clé est parfaitement gérée par Windows – comme nous le verrons plus loin – mais ne peut être utilisée pour l'ouverture de session. Seuls les appareils compatibles avec le système propriétaire Hello de Microsoft sont reconnus. Pourvu que ça change.
Yubikey Bio utilisée pour un accès SSH
Commençons par un essai simple : utiliser la clé pour une connexion à un serveur via une authentification FIDO/U2F et OpenSSH. Une méthode désormais bien gérée par la plupart des hébergeurs et distributions Linux. Nous effectuons cet essai depuis Ubuntu 21.04 pour nous connecter à une instance Scaleway.
On commence par connecter la Yubikey Bio et on génère une paire de clés publique/privée :
ssh-keygen -t ecdsa-sk
Pour rappel, le « -sk » indique que vous voulez une clé qui nécessitera de faire appel à une clé de sécurité pour valider l'authentification. Comme d'habitude, il vous sera demandé d'indiquer l'emplacement de la paire de clés, une éventuelle phrase de passe, puis d'appuyer sur la clé. Attention, l'empreinte de votre doigt sera utilisée dans la procédure, pensez donc à le positionner comme il faut.
Par défaut, il sera ajouté comme modèle à la clé. Si vous ne changez rien et que vous avez enregistré votre index gauche, vous ne pourrez pas vous connecter avec votre index droit. Même chose si quelqu'un d'autre essaie de se connecter à votre place. Cela tombe bien, c'est le but recherché. De manière générale, le lecteur d'empreinte fonctionne bien et nous a toujours reconnu. Il faudra voir si, avec le temps et la « patine », c'est toujours le cas.
Mais que se passe-t-il si vous voulez utiliser d'autres doigts ? Eh bien vous pouvez en ajouter via l'application open source Yubico Authenticator. Elle est disponible sous Linux (AppImage ou Snap), macOS et Windows. Elle permet d'accéder aux informations de la clé, son code PIN et de gérer les empreintes reconnues (5 au maximum).
Si Yubico a travaillé la sécurité de son lecteur pour éviter les attaques grossières, il faudra attendre que les bidouilleurs en tous genres la mettent à l'épreuve pour être assuré de sa fiabilité. Dans tous les cas, il s'agit d'un dispositif plus sûr qu'une clé U2F/FIDO sans identification biométrique.
Rappelons qu'il est conseillé d'enregistrer une seconde clé de sécurité ou d'avoir une solution de secours (mot de passe, 2FA, etc.) pour être capable de se connecter en cas de souci avec la clé principale.
Windows déjà paré pour la Yubikey Bio
L'interface de gestion des clés de sécurité de Windows reconnaît sans problème l'aspect biométrique de cette Yubikey. Il faut commencer par lui attribuer un code PIN, puis ajouter vos empreintes digitales. Bonne nouvelle, cette fois on peut le faire pour autant de doigts qu'on le souhaite sans passer par Yubico Authenticator.
Une fois la clé enregistrée, elle pourra être utilisée pour la connexion aux applications et services Microsoft. Mais comme nous l'avons précisé précédemment, elle ne gère pas (encore) la connexion via Windows Hello. Seule exception, les machines sur un domaine « cloud » puisqu'elle est compatible avec Azure Active Directory.
Et dans un navigateur ?
En tant que clé FIDO2, elle peut être utilisée pour la connexion via le standard WebAuthn dans un navigateur. Elle gère aussi l'ancien protocole U2F. Comme dans le cas de la connexion via SSH, lors de l'ajout à un service web (un compte Google dans notre exemple), il vous sera demandé d'appuyer sur la clé. Votre empreinte sera alors enregistrée si nécessaire, Yubico Authenticator vous permettant de gérer celles reconnues.
Espérons néanmoins que la mise sur le marché de ce modèle Bio incitera les éditeurs à prendre en compte des modèles qui intègrent nativement un lecteur biométrique en proposant une gestion native des empreintes.
