La double authentification via le standard U2F est souvent perçue comme une solution exploitable uniquement sur ordinateur avec une clé USB. Mais ce n'est pas le cas, même si les constructeurs et les développeurs ne jouent pas toujours le jeu. La Multipass FIDO de Feitian en est le parfait exemple.
Le mois dernier, Google annonçait la mise en place de son Programme de protection avancée, un dispositif que chacun peut activer sur son compte. Il limite l'accès aux applications tierces, est plus contraignant en cas de tentative de connexion frauduleuse et rend obligatoire l'utilisation de clés de sécurité U2F.
U2F : de l'USB, mais pas que
Problème : si cette norme de la FIDO Alliance est souvent utilisée via des périphériques USB, son emploi pose problème pour les smartphones. Il existe néanmoins des solutions, comme le NFC. Le fabricant Yubico propose ainsi depuis quelques temps un modèle compatible, la Neo. Malheureusement, du fait des limitations imposées par Apple pour le NFC sous iOS (voir notre analyse), elle ne peut être utilisée que sur Android.
Google recommande donc d'opter pour un autre modèle, comme clé principale et multiplateforme : la Multipass FIDO du fabricant chinois Feitian. Celle-ci propose un port USB mais gère également le NFC ou encore le Bluetooth Smart. De quoi assurer un fonctionnement dans les navigateurs pour ordinateur de bureau, Android mais aussi iOS.
Elle n'est proposée que sur Amazon, qui se charge de son expédition, pour un peu moins de 22 euros. Intrigués, nous l'avons commandée afin de voir ce qu'elle permet et comment elle s'utilise dans la pratique.
Bluetooth Smart ou NFC : chacun son point fort
Petit rappel tout d'abord : l'U2F est un standard de double authentification. Cela signifie qu'il permet de compléter votre identifiant et votre mot de passe par un code aléatoire pour assurer une connexion sécurisée à des services compatibles. Ce code est obtenu à travers une clé de sécurité, qui doit donc être reliée à l'appareil.
Cela peut se faire en USB, mais aussi sans fil via le NFC ou le Bluetooth Smart (anciennement LE, pour Low Energy). Cette dernière solution a été officialisée à la mi-2015. Comme nous l'avons évoqué plus haut, selon la plateforme vous pourrez utiliser telle ou telle solution.
Si vous ne vous connectez que depuis un ordinateur, l'USB suffira, sous Android le NFC aura l'avantage d'être une solution supportée par plusieurs produits, le Bluetooth d'être intégré à quasiment tous les smartphones. Sous iOS, seul le Bluetooth peut être utilisé, Apple limitant encore fortement les possibilités du NFC sur sa plateforme mobile.
Ici, vous aurez seulement le choix entre deux références, celle de Feitian étant choisie par Google. Yubico a déclaré travailler sur le sujet l'année dernière, mais n'a toujours rien officialisé depuis.
Une clé compacte, avec un port Micro USB femelle
La Multipass FIDO de Feitian prend la forme d'un petit porte-clés (47,3 × 29,3 × 8,3 mm) avec un bouton et trois LED en façade : Bluetooth, NFC et... l'état de charge. Car la première spécificité d'une clé de sécurité Bluetooth (même Smart), c'est qu'elle intègre une batterie.
Elle est rechargeable en USB (5V, 22 mA), sa capacité annoncée est de 35 mAh pour une autonomie de trois mois à raison de dix connexions par jour en moyenne. Le port est de type Micro USB femelle. Un câble sera donc nécessaire pour connecter la clé à un ordinateur, ce qui est moins pratique que des modèles avec un port USB mâle Type-A ou C.
À l'arrière, on retrouve la référence de la clé et son code d'appairage Bluetooth. Le tout est livré dans un bundle assez minimaliste avec un petit guide de démarrage (en anglais) et un câble USB. Le manuel complet est disponible au format PDF sur le site de Feitian.
Une utilisation assez simple, une application à installer pour Google sous iOS
Pour le moment, la double authentification U2F depuis un appareil mobile n'est proposée par presque aucun service, excepté ceux de Google. Si l'on espère que son support s'étendra, nous avons utilisé la solution du géant américain pour tester notre produit du jour.
Comme on pouvait s'y attendre, le fonctionnement est assez classique. Dans un navigateur pour ordinateur, connecter la clé suffit. C'est la méthode à privilégier pour l'ajouter à votre compte, à travers les paramètres de sécurité. On regrettera au passage que, bien que Firefox gère désormais l'U2F, Google exige toujours l'utilisation de Chrome. Ici, ne comptez pas sur l'utilisation du Bluetooth ou du NFC, seul l'USB peut être exploité.
Sous Android, tout sera également natif avec l'utilisation du NFC. Ainsi, lors de l'ajout d'un compte Google, il suffira de présenter la clé sur la zone de détection du smartphone (qui doit donc être activée) pour que la double authentification soit validée. Si vous optez pour le Bluetooth, il faudra avoir auparavant appairer la clé avec l'appareil.
Pour cela, il suffit de presser le bouton en façade pendant 5 seconde (sans l'USB de connecté), la diode Bluetooth clignote. C'est le signe que la clé peut être ajoutée en confirmant le code inscrit à son dos.
Sous iOS, seul le Bluetooth peut être utilisé. Cette procédure sera donc également nécessaire, mais Google exige que la connexion soit effectuée à travers une application spécifique : Smart Lock. Elle est pour le moment le seul moyen de gérer la validation eu deux étapes sous l'OS mobile d'Apple.
Elle vérifie que l'appairage Bluetooth a bien été effectué. Si tel est le cas, votre connexion sera validée et vous pourrez alors utiliser votre compte Google depuis n'importe quelle autre application du géant du Net.
U2F : la balle est du côté des développeurs (et d'Apple)
Au final, la clé Multipass FIDO de Feitian est un produit qui aura l'avantage d'être peu coûteux (attention tout de même aux frais de douane en cas d'import), compact et compatible avec les principaux OS. Ceux qui le souhaitent pourront l'utiliser en complément d'une clé de sécurité plus classique, comportant directement un port USB mâle.
On continuera néanmoins de regretter que les développeurs n'implémentent pas de manière plus complète l'U2F au sein de leurs applications. Il est en effet encore trop rare de voir son usage proposé sur un appareil mobile, alors que des solutions Bluetooth et NFC sont disponibles. Une fois encore, Google est l'un des rares à être réellement réactif sur ce terrain, et c'est bien dommage.
Espérons que l'arrivée de Firefox et de ce genre de clés multi-interfaces les incitera à prendre les choses un peu plus au sérieux. On peut aussi espérer qu'Apple finira par changer son fusil d'épaule sur le NFC afin de permettre l'utilisation d'un nombre plus large de clés de sécurité. Il ne saurait en être autrement de la part d'une société qui dit placer la sécurité et la vie privée de ses clients au premier plan.
