Ledger Hello : comment se connecter à Windows 10 avec une clé de sécurité Nano S

Une pénalité en BTC à chaque essai manqué ? 23
Accès libre
image dediée
Sécurité TUTO
Par
le mercredi 16 août 2017 à 12:01
David Legrand

Ledger est connue pour proposer des portefeuilles matériels pour crypto-monnaies. Mais la société offre à travers ses produits d'autres fonctionnalités, comme la connexion simplifiée à Windows 10. Nous l'avons testée sur un modèle Nano S.

Il y a quelques temps, nous avions détaillé comment utiliser une Yubikey pour vous connecter de manière sécurisée à votre machine sous macOS ou Windows 10. Dans le premier cas, un support natif était exploité. Dans le second, il fallait passer par une application tierce s'appuyant sur le Companion Device Framework de Microsoft (voir cette vidéo de Channel 9).

Yubico n'est plus seule sur ce terrain, les français de Ledger ayant décidé de proposer une fonction similaire sur certains de leurs produits. La société propose depuis quelques années des portefeuilles matériels pour crypto-monnaies. Mais elle a surtout l'avantage de travailler sur des solutions ouvertes et open source.

La sécurité au-delà des crypto-monnaies

De quoi permettre d'ajouter des fonctions avec le temps, qui exploitent les éléments de sécurité intégrés à ses produits. Ainsi, de nouvelles crypto-monnaies et plusieurs plateformes sont désormais supportées : Bitcoin Cash, Dash, Ethereum, Komodo, Litecoin, Posw, Ripple, Stratis, Zcash, etc. Le tout pouvant être géré à travers l'application Chrome Ledger Manager, mais aussi via des intégrations à BitGo, Copay, Electrum, GreenBits, Mycelium ou MyEtherWallets.

Depuis le départ, le standard FIDO U2F est aussi supporté, pour une sécurité de connexion renforcée à des services comme Dropbox, Facebook, GitHub, Google ou même des applications comme Dashlane.

Des modèles comme les Nano S (ST31H320 + STM32F042) et Blue (ST31G480 + STM32L476) ont intégré un écran pour des usages plus complets. Ainsi, plusieurs applications sont en développement et accessibles via une option spécifique : un gestionnaire de mot de passe, le support d'OpenPGP Card 3.0 ou encore un agent SSH/PGP.

Plus récemment, une autre solution est apparue dans la liste des outils finalisés : Hello. 

Ledger Manager

Comment ça marche ?

Celle-ci n'a pas été officiellement annoncée, mais on en trouve une trace dans la base de connaissance du site. Pour faire simple, il s'agit comme pour les Yubikey, d'utiliser la clé comme un élément de sécurité facilitant la connexion à Windows, en connectant un élément matériel.

Vous n'aurez pas de mot de passe ou de code PIN à taper, pour peu que la clé soit connectée à votre machine. Attention, cela ne sera actif qu'une fois la machine verrouillée, notamment après une période de veille. Pour un premier démarrage ou une reconnexion, vous ne pourrez pas utiliser la clé, un peu à la manière de Touch ID chez Apple.

  • Disposer des outils nécessaires et d'un code PIN

Pour voir ce qu'il en est plus en détail, nous avons utilisé une clé Ledger Nano S et une machine sous Windows 10 (build 15063). Selon l'équipe, le système fonctionne dès la build 14393 mais il reste recommandé d'être à jour. Seuls deux de ses modèles sont concernés : le Nano S (firmware 1.3.1 ou supérieur) et le Blue.

Première étape : installer l'application Hello sur votre clé via Ledger Manager. Vous devez donc la connecter à votre machine et entrer le code PIN permettant de la déverrouiller. Installez ensuite l'application (gratuite) Ledger Hello sur votre machine depuis le Windows Store.

Il faudra alors préparer votre compte Windows. En effet, comme avec la Yubikey, il est nécessaire d'ajouter un code PIN à votre compte utilisateur, ce qui revient à mettre en place Microsoft Passport. Cela nécessite au passage l'ajout d'un mot de passe. Tout se déroule dans les Paramètres (Windows + i) puis dans la section Compte et Options de connexion :

Yubikey Windows 10 Hello

Le code PIN peut être assez long, veillez donc à ne pas en utiliser un trop simple, car il permettra de se connecter à votre machine. Cela reviendrait à remplacer votre mot de passe complexe par une alternative bien plus facile à trouver (celle-ci étant déjà limitée par défaut à des caractères numériques).

  • Enregistrer votre clé Ledger

Une fois le code PIN en place, vous pourrez lancer l'application Ledger Hello sur votre machine. Votre clé devrait automatiquement être reconnue. Il faudra lui choisir un petit nom, plusieurs pouvant être utilisées pour déverrouiller une même machine (cinq maximum).

Une confirmation, prenant la forme d'un appui sur l'un des boutons de la clé, sera demandée. Il faudra aussi entrer le code PIN de la machine pour finaliser l'enregistrement. L'interface présentera alors la liste des appareils autorisés à simplifier la connexion, avec la possibilité d'en ajouter ou d'en supprimer.

Pour tester le fonctionnement de votre clé, tapez Windows + L. Cela verrouillera la machine. Vous serez invités à choisir entre taper votre mot de passe, votre code PIN ou connecter votre clé Ledger. Il suffit alors d'y lancer l'application Hello afin que la procédure soit initiée. Par défaut, une confirmation vous sera demandée via un appui sur l'un des boutons de la clé afin de finaliser la connexion.

  • Régler quelques paramètres utiles

Dans les paramètres de l'application de la clé (Settings), deux options utiles sont proposées : le déverrouillage automatique (Auto Unlock) et le verrouillage à la déconnexion (Unplug to lock). 

Dans le premier cas, il s'agit de ne pas demander de confirmation pour finaliser la connexion. Dans le second, il s'agit de verrouiller automatiquement la machine dès que la clé est déconnectée. Pratique pour ceux qui auraient tendance à oublier de le faire dès qu'ils s'éloignent un peu trop de leur machine (il faudra tout de même penser à déconnecter la clé).

Une fonction intéressante, limitée par les choix de Microsoft

Au final, on retrouve donc un fonctionnement presque similaire à celui d'une Yubikey avec son application compagnon. Les avantages et inconvénients découlent pour la plupart des choix de Microsoft en la matière.

Le fait de passer par le Companion Device Framework impose d'utiliser un code PIN en complément d'un mot de passe, ce qui multiplie les options de connexion et donc les fuites potentielles. On apprécierait plutôt un support natif des smartcards et des certificats comme sous macOS, sans avoir à en passer par un domaine.

La mise en place par une clef Ledger apporte néanmoins un point de sécurité complémentaire par rapport à ce que propose Yubico : la protection par un code PIN géré matériellement. Pour certains, ce sera un avantage de pouvoir ainsi déporter cette étape sur un composant tiers. Pour d'autres, ce sera une contrainte puisqu'il faudra le taper à chaque fois que la clé sera à nouveau insérée ou en veille.

Là aussi, on aimerait un support natif de la part de Microsoft. On apprécierait par exemple de pouvoir utiliser un lecteur de smartcard à clavier physique avec une clef OpenPGP par exemple.

Ledger doit continuer de regarder au-delà des crypto-monnaies

Ledger montre que ses produits peuvent servir à un peu plus que la gestion de portefeuilles de crypto-monnaies, ce qui en fait des outils qui peuvent se montrer assez complet. Il faut dire qu'à près de 70 euros la Nano S, on peut s'attendre à ce qu'elle multiplie les fonctionnalités.

On regrettera néanmoins que cet aspect ne soit pas plus développé. On aimerait ainsi que le support d'OpenPGP sorte de la zone réservée aux développeurs et que le gestionnaire de mots de passe gagne en fonctions, voire que des liens soient là aussi noués avec des outils tiers pour qu'ils exploitent les possibilités de la clé via des plugins par exemple. 

Yubico a presque réussi à faire de ses produits un standard dans le secteur, du fait de leurs multiples possibilités et de leur bonne intégration. En se focalisant sur les crypto-monnaies, Ledger a réussi à trouver un angle d'attaque lui permettant de faire la différence. Mais pour réussir à convaincre plus largement, il faudra aller plus loin concernant les autres aspects de ses produits. Espérons donc que de bonnes surprises nous attendent en la matière dans les mois qui viennent.


chargement
Chargement des commentaires...