Clés de sécurité sous iOS  : Yubico propose un SDK, LastPass supporte les Yubikey Neo

Clés de sécurité sous iOS  : Yubico propose un SDK, LastPass supporte les Yubikey Neo

Mais où est le lapin blanc ?

Avatar de l'auteur
David Legrand

Publié dans

Logiciel

23/05/2018 3 minutes
14

Clés de sécurité sous iOS  : Yubico propose un SDK, LastPass supporte les Yubikey Neo

Si les possibilités d'iOS en matière de NFC sont assez limitées, même dans sa dernière version, cela n'empêche pas constructeurs et développeurs de s'adapter. Yubico a ainsi mis en ligne un SDK permettant le support de ses clés de sécurité. Last Pass l'utilise désormais.

L'utilisation des clés de sécurité a beau être de plus en plus courante pour renforcer la sécurité des sites web et autres services, notamment grâce à l'adoption de nouveaux standards en la matière, le mobile reste un problème. Même sous Android où le Bluetooth et le NFC peuvent être facilement exploités (voir notre test de la clé Feitian Multipass).

Sous iOS, Il était presque impossible jusqu'à maintenant de trouver une solution hors de l'utilisation d'une clé Bluetooth. Dommage, puisque certaines clés sans pile sont dotées de la technologie NFC.

Yubico publie un SDK dédié au NFC sous iOS

Mais cela pourrait changer.  Après avoir critiqué les possibilités d'iOS en matière d'accès au sans contact l'année dernière, Yubico a décidé de faire avec et de proposer sa propre solution aux développeurs.

« Le lancement d'iOS 11 a permis l'accès à la lecture NFC, et donc la création d'applications avec le support des mots de passe à usage unique (OTP). Les Yubikey permettant de générer des OTP et de l'envoyer à l'application en NFC, il devient possible de s'authentifier avec une Yubikey Neo » précise la société, qui propose des clés de sécurité parmi les plus populaires.

Il n'est donc pour le moment pas question d'un support complet de solutions comme l'U2F ou WebAuthn, qui nécessitent un échange bilatéral entre la clé et l'appareil mobile. Mais c'est un début, en attendant une évolution d'Apple en la matière.

Le SDK qui résulte de ce travail de Yubico est désormais disponible, les développeurs pouvant l'utiliser comme bon leur semble. La documentation technique précise qu'un QR Code peut également être généré en alternative, pour les appareils sous iOS qui ne supportent pas du tout le NFC (ceux avant l'iPhone 7).

LastPass premier à sauter le pas

Pour Yubico, cela permet aux développeurs de proposer une bonne alternative aux applications d'authentification et aux codes envoyés par SMS, qui peuvent parfois représenter un danger. Cette extension à iOS permet également de renforcer l'intérêt de sa seule clé gérant le NFC, la Yubikey Neo (proposée aux alentours de 60 euros).

Partenaire de cette annonce, LastPass est le premier service à exploiter cette possibilité. Les deux sociétés avaient déjà travaillé dès 2012 sur une telle fonctionnalité sous Android. Il faudra un compte Premium, Families, Teams et Enterprise pour en profiter puisqu'ils sont les seuls à disposer des « options multifacteur avancées ».

D'autres suivront sans doute le mouvement d'ici quelques mois. On peut aussi espérer qu'Apple fera des annonces autour du NFC et de l'authentification multifacteur (MFA) à l'occasion de la prochaine WWDC, qui ouvrira ses portes le 4 juin prochain.

De quoi permettre d'aller encore plus loin, mais aussi de ne pas se reposer sur les seules avancées de Yubico.

14

Écrit par David Legrand

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Yubico publie un SDK dédié au NFC sous iOS

LastPass premier à sauter le pas

Le brief de ce matin n'est pas encore là

Partez acheter vos croissants
Et faites chauffer votre bouilloire,
Le brief arrive dans un instant,
Tout frais du matin, gardez espoir.

Commentaires (14)


Clairement, Apple reste poussif sur le sujet alors qu’ils fanfaronnent tout le temps sur la protection des données. Ces standards sont une vraie solution à la problématique des mots de passe et des incidents liés. On verra si Apple sort quelque chose de son chapeau dans iOS 12…


J’ai du mal à comprendre l’intérêt de Yubikey + LastPass sur mobile. Normalement un gestionnaire de mot de passe sur mobile reste connecté en permanence et la session est protégée par TouchID.



Je n’ai pas l’impression que l’on gagne beaucoup en sécurité mais on perd par contre énormément en praticité.



Après, je suis tout à fait conscient de l’intérêt d’une clé 2FA sur une machine moins “privée” comme un PC qui peut rester ouvert ou qui tout simplement ne nous appartient pas. Idem pour la première connexion sur mobile, pourquoi pas utiliser une Yubikey si c’est possible. Mais si le scan doit se faire à chaque utilisation, c’est un peu bof.



Pour le coup ça aurait plus d’intérêt sur iPad mais, sauf erreur de ma part, il n’y a pas de NFC.


Le TouchID a déjà été trompé, une yubikey c’est une dispositif physique séparé du téléphone. Tu passes de la connaissance du mot de passe + hack du TouchID (donc juste avoir le téléphone à voler) contre Connaissance du mot de passe + récupération de la Yubikey.



Pour le commun des mortels avec des infos inintéressantes, pas vraiment l’intérêt, vu les moyens à mettre en place (cherche de 0Day sur le touchID pour récupération du téléphone et éventuellement mot de passe sur LastPass par exemple). Pour d’autres avec des accès plus critiques, ça peux présenter une couche de sécurité supplémentaire, même si tu perds effectivement beaucoup le côté pratique.








ToMMyBoaY a écrit :



Clairement, Apple reste poussif sur le sujet alors qu’ils fanfaronnent tout le temps sur la protection des données. Ces standards sont une vraie solution à la problématique des mots de passe et des incidents liés. On verra si Apple sort quelque chose de son chapeau dans iOS 12…







A mon avis, le problème est qu’ils n’ont pas encore réussi a sécuriser assez bien l’écriture NFC pour le laisser a dispo des éditeurs tiers.

D’un certain coté, je trouve ça rassurant…









KP2 a écrit :



A mon avis, le problème est qu’ils n’ont pas encore réussi a sécuriser assez bien l’écriture NFC pour le laisser a dispo des éditeurs tiers.

D’un certain coté, je trouve ça rassurant…





Il y a une différence entre communiquer et écrire.

Yubi voudrait pouvoir communiquer avec leur clef, et pas se contenter de lire un code jetable cyclique. Pas écrire sur la puce NFC.









patos a écrit :



Il y a une différence entre communiquer et écrire.

Yubi voudrait pouvoir communiquer avec leur clef, et pas se contenter de lire un code jetable cyclique. Pas écrire sur la puce NFC.







Je me suis peut-être mal exprimé… Ce que je voulais dire est qu’il y a peut-être un sens de communication qui est difficilement sécurisable. Après, effectivement, je sais pas si c’est de “l’écriture” ou autre chose. En tout cas, ça reste des données qui vont d’un appareil externe inconnu vers un iPhone… et je pense que c’est ça qui coince pour Apple.

Ca serait ballot qu’ils se cassent le trogon a sécuriser leur bordel pour se faire bananer par une faille dans une puce NFC à la con.



Techniquement il n’y a pas des masses de différences. Dans les deux cas c’est le téléphone qui envoie des données au dispositif NFC, après que celui-ci les stocke ou pas ne change rien pour le téléphone.



Je suppose qu’Apple bloque cette possibilité actuellement pour réduire les possibilités d’exfiltration de données via la NFC, et franchement c’est pas forcément une mauvaise chose.








KP2 a écrit :



A mon avis, le problème est qu’ils n’ont pas encore réussi a sécuriser assez bien l’écriture NFC pour le laisser a dispo des éditeurs tiers.

D’un certain coté, je trouve ça rassurant…





Qui donc ? Il y a un standard, FIDO2, qui définit le mode opératoire ainsi que les protocoles. Apple doit simplement l’implémenter. S’il y a des problèmes de sécurité lié à FIDO2, d’une part ce n’est pas le problème d’Apple (qui a autre chose à faire de toute façon) et d’autre part ils auraient tout intérêt à l’annoncer. Bref, Apple est juste à la masse sur le sujet.









Freeben666 a écrit :



Je suppose qu’Apple bloque cette possibilité actuellement pour réduire

les possibilités d’exfiltration de données via la NFC, et franchement

c’est pas forcément une mauvaise chose.





Apple ne la bloque pas puisque Yubikit fonctionne sans hack. Apple est parfaitement capable de contrôler les usages de la NFC (et c’est ce qu’ils font avec les autres fonctions iOS).

 









ToMMyBoaY a écrit :



Qui donc ? Il y a un standard, FIDO2, qui définit le mode opératoire ainsi que les protocoles. Apple doit simplement l’implémenter. S’il y a des problèmes de sécurité lié à FIDO2, d’une part ce n’est pas le problème d’Apple (qui a autre chose à faire de toute façon) et d’autre part ils auraient tout intérêt à l’annoncer. Bref, Apple est juste à la masse sur le sujet.







Au delà des protocoles, y’a des problèmes qui s’appellent des bugs qui peuvent mener à des failles. Et des bugs, y’en a partout : dans la conception des protocoles, dans leur implémentation, dans la conception des puces, dans l’implémentation des puces, etc etc etc



Et au delà des failles, un iPhone authentifie fortement les appareils avec lesquels il communique. Difficile d’atteindre le même niveau de garantie avec un équipement tiers.

Regarde déjà ce que peuvent faire les services de police avec le port lightning et un appareil spécialisé… A mon avis, ils ont pas spécialement envie qu’on puisse faire la même chose ou pire sans-fil…









Kazer2.0 a écrit :



Le TouchID a déjà été trompé, une yubikey c’est une dispositif physique séparé du téléphone. Tu passes de la connaissance du mot de passe + hack du TouchID (donc juste avoir le téléphone à voler) contre Connaissance du mot de passe + récupération de la Yubikey.



Pour le commun des mortels avec des infos inintéressantes, pas vraiment l’intérêt, vu les moyens à mettre en place (cherche de 0Day sur le touchID pour récupération du téléphone et éventuellement mot de passe sur LastPass par exemple). Pour d’autres avec des accès plus critiques, ça peux présenter une couche de sécurité supplémentaire, même si tu perds effectivement beaucoup le côté pratique.





Le TouchID peut être trompé mais, cela nécessite du temps et beaucoup de moyens, temps suffisant pour bloquer à distance l’iPhone ou la session LastPass.



De plus, les clés Yubikey sont des solutions d’authentification et non de déchiffrement. Autrement dit, elles ne protègent en rien le coffre contenant les mots de passe, mais simplement sa synchronisation avec les serveurs LastPass.



Ensuite je suppose que le mec assez parano pour utiliser une Yubikey sur son iPhone n’utilise tout simplement pas LastPass mais plutôt une solution à base de Keepass.



Attention, c’est très bien que l’on puisse utiliser une Yubikey sur iOS, je dis juste que je ne vois pas, à l’heure actuelle d’usage pratique, mais je ne suis pas le meilleur visionnaire que cette planète aie connu :)









KP2 a écrit :



Au delà des protocoles, y’a des problèmes qui s’appellent des bugs qui peuvent mener à des failles. Et des bugs, y’en a partout : dans la conception des protocoles, dans leur implémentation, dans la conception des puces, dans l’implémentation des puces, etc etc etc



Et au delà des failles, un iPhone authentifie fortement les appareils avec lesquels il communique. Difficile d’atteindre le même niveau de garantie avec un équipement tiers.

Regarde déjà ce que peut faire les services de police avec le port lightning et un appareil spécialisé… A mon avis, ils ont pas spécialement envie qu’on puisse faire la même chose ou pire sans-fil…







Mais la NFC est là ! Les failles comme les bugs ne sont pas contenus par une limitation software de l’usage de cette interface ! Une démarche sécurité aurait été de ne pas mettre une interface, qui plus est active, dont on ne fait rien. Quant à la garantie de l’appareil tiers, c’est une fois de plus pas la responsabilité d’Apple mais celle du vendeur et de l’utilisateur.









ToMMyBoaY a écrit :



Mais la NFC est là ! Les failles comme les bugs ne sont pas contenus par une limitation software de l’usage de cette interface ! Une démarche sécurité aurait été de ne pas mettre une interface, qui plus est active, dont on ne fait rien.







Ils en font qqch puisqu’elle est utilisée pour Apple Pay.

Y’a que les constructeurs Android qui ajoutent des trucs dans leurs téléphones juste pour allonger la fiche technique sans avoir aucune idée d’a quoi ca peut servir… <img data-src=" />







ToMMyBoaY a écrit :



Quant à la garantie de l’appareil tiers, c’est une fois de plus pas la responsabilité d’Apple mais celle du vendeur et de l’utilisateur.







Ah mais bien sur mais c’est trop facile de dire ça quand même…

Quand tu vois que la moindre chiasse faite un utilisateur quelconque peut génerer un buzz mondial avec des gros “Apple ceci” ou “l’iPhone cela”.



Y’a qu’à voir les buzz hallucinants sur les soit-disantsiPhone explosifs alors que les gens en question utilisaient des cables et chargeurs chinois non homologués ou les appareils avaient reçus des chocs graves.



Une chose est certaine : si demain, un accessoire tiers quelconque peut servir de porte d’entrée pour pirater un iPhone, ce n’est surement pas le constructeur de l’accessoire qui sera mis en cause mais forcément Apple. C’est une évidence. Et quand Apple dit “c’est pas de notre faute”, que ce soit vrai ou pas le buzz se transforme immédiatement en “Apple ne reconnait pas ses torts”.



Donc, pour moi, rien d’étonnant pour Apple d’être sur la réserve si ils ont le moindre doute…









KP2 a écrit :



Ils en font qqch puisqu’elle est utilisée pour Apple Pay.

Y’a que les constructeurs Android qui ajoutent des trucs dans leurs téléphones juste pour allonger la fiche technique sans avoir aucune idée d’a quoi ca peut servir… <img data-src=" />







Ah mais bien sur mais c’est trop facile de dire ça quand même…

Quand tu vois que la moindre chiasse faite un utilisateur quelconque peut génerer un buzz mondial avec des gros “Apple ceci” ou “l’iPhone cela”.



Y’a qu’à voir les buzz hallucinants sur les soit-disantsiPhone explosifs alors que les gens en question utilisaient des cables et chargeurs chinois non homologués ou les appareils avaient reçus des chocs graves.



Une chose est certaine : si demain, un accessoire tiers quelconque peut servir de porte d’entrée pour pirater un iPhone, ce n’est surement pas le constructeur de l’accessoire qui sera mis en cause mais forcément Apple. C’est une évidence. Et quand Apple dit “c’est pas de notre faute”, que ce soit vrai ou pas le buzz se transforme immédiatement en “Apple ne reconnait pas ses torts”.



Donc, pour moi, rien d’étonnant pour Apple d’être sur la réserve si ils ont le moindre doute…





Si les problèmes de sécurité d’iOS faisaient autant de bruit, ça se saurait. C’est pas comme si iOS se tapait plusieurs centaines de CVE (Il a même failli égaler Flash player c’est pour dire) par an. De manière plus pragmatique, la NFC est là et active dès aujourd’hui. Donc le risque lié à son exploitation de manière malicieuse existe et l’interopérabilité n’a absolument rien à voir là dedans. Et non, si on est capable de détourner une Yubikey ce sera pas le problème d’Apple sous prétexte d’interopérabilité. Ce serait comme reprocher à Microsoft que sa sécurité est nulle du fait que l’utilisateur a mis un mot de passe de merde.



Bref, l’approche d’Apple n’est en rien justifiée par le doute ou la sécurité d’IOS, elle est purement lié à la mise en avant de ses propres services.



Oui après comme je l’ai dit, ça n’a aucun intérêt pour la plupart des Michus en l’état.



Après effectivement le combo avec Keepass pour protéger le coffre a déjà plus d’intérêt.