U2F : la double authentification par clef USB se répand et débarque dans Dropbox

U2F : la double authentification par clef USB se répand et débarque dans Dropbox

Les banques s'y mettront d'ici 2035

Avatar de l'auteur
David Legrand

Publié dans

Logiciel

13/08/2015 5 minutes
43

U2F : la double authentification par clef USB se répand et débarque dans Dropbox

Dropbox vient d'annoncer qu'il proposait lui aussi un support de clefs USB pour faciliter la double authentification de ses utilisateurs. Elles devront être compatibles avec le standard U2F de la FIDO Alliance, mais comme toujours, cela ne sera proposé qu'en complément.

Si la double authentification se fait de plus en plus courante dans les options de sécurité des services en ligne, sa mise en place peut se faire de différentes manières. Les deux plus courantes sont de passer par un code envoyé par SMS ou généré par une application, qui sera à taper une fois votre login et votre mot de passe validés.

Ce code n'étant valable que pour 30 secondes ou quelques minutes en général, il rajoute une couche de sécurité supplémentaire qui évite le piratage de tous vos comptes en cas de phishing réussi et de récupération de votre mot de passe, tout en restant simple à mettre en œuvre. C'est aussi une manière d'éviter d'avoir à manipuler de trop nombreux mots de passe pour différents services (même si cela reste conseillé pour les plus sensibles).

U2F : le standard pour renforcer la double authentification

Mais depuis quelques temps, une autre solution existe. Connue sous le petit nom d'U2F (pour Universal 2nd Factor), il s'agit d'un standard initié par Google, Yubico et NXP, qui est désormais géré par la FIDO (Fast IDentity Online) Alliance. Finalisé à la fin de l'année dernière, il assure un fonctionnement simple, tant du point de vue de l'utilisateur que de l'implémentation, mais se base sur un composant indépendant de votre smartphone.

Dans la pratique, il suffit en effet de brancher une clef USB à votre ordinateur, et éventuellement de presser un bouton pour générer un code pouvant être vérifié par un service tiers compatible. Vous devez simplement avoir lié une ou plusieurs clefs USB à votre compte pour que cela fonctionne. Un site de démonstration est disponible ici, les développeurs pourront trouver une documentation assez complète par là.

Une clef USB qui coûte entre quelques euros et 60 euros

Ce genre de clef ne coûte d'ailleurs pas très cher. Une version ultra basique coûte moins de 10 euros. Mais c'est sans doute la société Yubico qui propose la plus grande panoplie de produits avec ses Yubikey. Le modèle de base propose un espace tactile pour environ 17 euros, contre un peu plus de 30 euros pour le modèle Edge qui supporte OATH, l'intégration à Lastpass ou les mots de passe à usage uniques exploités par des services comme SalesForce ou même Keepass (voir ce guide). La version la plus complète sera la Neo, compatible PIV, OpenPGP (voir ce guide) et qui gère le NFC. Le tout pour un peu moins de 60 euros. Elle existe aussi en version ultra-compacte (sans NFC), la Neo-n.

Si n'importe quel site ou service peut exploiter l'U2F, seuls certains ont pour le moment sauté le pas. C'est notamment le cas de Google qui le propose comme une des multiples solutions de validation en deux étapes supportées. Il y a bien entendu l'application Authenticator, le SMS envoyé sur votre smartphone, mais aussi des codes à usage unique que vous pouvez vouloir utiliser en dernier recours.

Un nombre croissant d'acteurs, mais quid des sociétés telles que les banques ?

Microsoft a de son côté annoncé qu'il supporterait l'U2F au sein de Windows 10, mais à travers la version 2.0 du standard. On voit ainsi un nombre croissant de sociétés proposer un tel support, mais certaines font l'impasse. C'est notamment le cas des banques qui semblent pour le moment préférer un bon vieux mot de passe composé, le plus souvent, de quelques chiffres.

Aujourd'hui, c'est au tour de Dropbox de sauter le pas. Dans un billet de blog, le service indique en effet qu'il est désormais possible d'utiliser cette méthode de double authentification sous Chrome (les autres navigateur ne la supportant pas encore). Attention néanmoins, elle ne pourra être que complémentaire. Il faut ainsi avoir déjà activé la 2FA avec votre smartphone ou une application afin de pouvoir ensuite rajouter des clefs de sécurité comme vous pourrez le voir dans cette vidéo :

U2F : un complément pour faciliter, mais pas encore une alternative indépendante

C'est d'ailleurs l'un des regrets que l'on peut avoir sur le sujet. La double authentification via une clef U2F est un complément qui est toujours proposé pour simplifier cette procédure ou la déporter sur un produit qui ne nécessite pas de batterie pour fonctionner. Mais le smartphone est encore presque toujours requis par les services afin de pouvoir vous identifier en dernier recours, via une application ou un SMS.

Ainsi, ces clefs peuvent vous apporter une aide, mais en aucun cas être vues comme une réelle alternative indépendante pour le moment. Espérons que cela changera avec le temps.

43

Écrit par David Legrand

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

U2F : le standard pour renforcer la double authentification

Une clef USB qui coûte entre quelques euros et 60 euros

Un nombre croissant d'acteurs, mais quid des sociétés telles que les banques ?

U2F : un complément pour faciliter, mais pas encore une alternative indépendante

Commentaires (43)


Les banques proposent la double authentification en general….mais ces charognards facturent le service bien cher.

 

 Le gros soucis des clef yuibico c’est qu’ils ne proposent pas de clef avec le cabre autour du connecteur… J’aime pas du tout (choix personnel).

 

 Je verrais bien en plus un lecteur d’empreinte sur la clef pour au cas où on se fait voler la clef ^^ (moi parano?)


Les banques font un brin de double authentification, pour payer en ligne avec ma banque, je dois absolument connaître une chose et en posséder une autre.


Ce n’est pas l’accès web qui est facturé ? 

 Perso (crédit agricole et ING) pas de surfacturation. 

 

 Pour les banques, un client qui trouve une procédure compliquée = un client pas satisfait qui change de banque. elles n’ont pas intérêt pour l’instant a rendre les choses compliquées. En fait tant que le piratage de compte coûte moins cher que de perdre des clients ça se poursuivra. 

Lorsque la fraude sera massive, elles finieront par changer. 








XalG a écrit :



Les banques font un brin de double authentification, pour payer en ligne avec ma banque, je dois absolument connaître une chose et en posséder une autre.







Ouip, souvent un code est envoyé par mail/sms (même si je préfère la seconde solution).



Après évidement, ça pose tout un tas de soucis dans le cas où tu as accès à l’un mais pas à l’autre (vol, perte, etc) ; mais dans l’absolu ça t’évite tout problème en cas de vol de CB, ce qui est le plus courant.



C’est assez rare (sur toutes les banques auxquelles j’ai eu accès récemment, ce n’était pas proposé). Quelles banques de ton côté ?


C’est 3D Secure ça, c’est encore autre chose et uniquement pour le paiement ;)


La double authentification avec un élément matériel proposé au client (pas le simple SMS) existe aussi mais est facturée cher.

 

 







David_L a écrit :



C’est

assez rare (sur toutes les banques auxquelles j’ai eu accès récemment,

ce n’était pas proposé). Quelles banques de ton côté ?







 J’ai eu bossé pour la banque populaire a une epoque et ils proposaient ce genre de service (mais peut être que pour les pros). Il me semble que c’était un genre de calculette, le service web te donné un numéro a tapper sur ta calculette,et la calculette te donnait un numéro valable quelque seconde a utiliser pour se connecter.









philanthropos a écrit :



Ouip, souvent un code est envoyé par mail/sms (même si je préfère la seconde solution).



Après évidement, ça pose tout un tas de soucis dans le cas où tu as accès à l’un mais pas à l’autre (vol, perte, etc) ; mais dans l’absolu ça t’évite tout problème en cas de vol de CB, ce qui est le plus courant.







Plus compliqué :

À la banque populaire, tu peux faire un achat sur le net et au lieu de rentrer le code 3d secure envoyé par SMS, tu as une sorte de calculatrice dans laquelle tu mets ta carte, où tu tape ton code et en échange tu as droit à un autre code à 8 chiffres à rentrer sur le net.

Ça c’est de la grosse authentification !



Edit : c’est le pass cyberplus :



http://www.loirelyonnais.banquepopulaire.fr/portailinternet/Editorial/BanqueEnLi…



Ahh, il y en a qui utilisent toujours alors. Quel bordel c’était parfois niveau développement ^^.

 

 C’est elle non?http://pvtistes.net/forum/attachments/les-demarches-administratives-avant-le-dep…


Oui ça s’appelle le Pass Cyberplus.

 EDIT : grilled


Oui, c’est exactement ça.

C’est en place sur mes comptes perso et ceux de ma boîte.

Du coup, je laisse le bidule au boulot.



Même si Madame y est et que c’est elle qui la carte du boulot…








mickaelb a écrit :



Plus compliqué :

À la banque populaire, tu peux faire un achat sur le net et au lieu de rentrer le code 3d secure envoyé par SMS, tu as une sorte de calculatrice dans laquelle tu mets ta carte, où tu tape ton code et en échange tu as droit à un autre code à 8 chiffres à rentrer sur le net.

Ça c’est de la grosse authentification !



Edit : c’est le pass cyberplus :



http://www.loirelyonnais.banquepopulaire.fr/portailinternet/Editorial/BanqueEnLi…





Le Crédit Coopératif le fait aussi avec “Le Sésame



David, tu omets de préciser que cela ne fonctionne qu’avec le navigateur Google Chrome.

Les autres n’ont pas encore implémenté U2F, c’est balot.



Le détail qui tue… <img data-src=" />


La BNP te demande ta date de naissance… Un tour sur Facebook et tout le monde a l’info <img data-src=" />


Boarf, tu sais, pour accéder à mon espace perso bancaire (avec tous mes contrats, mes soldes, etc), j’ai un mot de passe que j’ai pas choisi (et qui est hyper, mais hyper simple), que je ne peux pas changer, et qui est le même depuis… 9 ans… Tout va bien (jusqu’ici) <img data-src=" />


Oui pareil pour moi (mot de passe de 6 chiffres).

&nbsp;

Mais ce n’est pas parce qu’on ne s’est jamais fait hacké son compte qu’il est inviolable <img data-src=" />

&nbsp;

&nbsp;Et mettre de la double authentification pour que la seconde soit aussi perméable… Autant ne rien mettre, ou n’en mettre qu’une seule bien sécurisée au lieu de deux toutes pourrites.








David_L a écrit :



C’est 3D Secure ça, c’est encore autre chose et uniquement pour le paiement ;)









Je dois (avec ou sans paiement 3D Secure) générer une carte virtuelle à chaque paiement, pour les virements je reçois un SMS pour valider. Quand je vois la banque de ma compagne, il faut un code à 6? chiffres pour se connecter au service en ligne et la date de naissance pour le 3D Secure <img data-src=" />



Donc oui, il reste pas mal de travail.



Ma banque c’est CMB (comme ma ….),Crédit Mutuel de Bretagne.



Si vous vous plaignez d’un mot de passe trop simple vous avez pas compris grand chose. Un mot de passe simple n’est fragile que si on peut le bruteforcer, dans le bancaire on a droit en général qu’a 3 essai max donc pour la bruteforce c’est pas la peine. Du coup le mot de passe doit être récupérer d’une autre façon et qu’il soit simple ou compliqué ne change pas grand chose.


J’ai payé mes clé 5 € pièce et elles fonctionnent parfaitement.








nobugging a écrit :



David, tu omets de préciser que cela ne fonctionne qu’avec le navigateur Google Chrome.

Les autres n’ont pas encore implémenté U2F, c’est balot.



Le détail qui tue… <img data-src=" />





Ouais bon, on ne va pas faire de news pour les quelques pourcents qui n’utilisent pas Chrome hein… :P



L’intégration OpenPGP est intéressante, mais tant que Thunderbird n’a pas intégré U2F pour faire la liaison…


Intéressant. Je sais pas si j’aurais le courage de systématiquement brancher une clef USB sur mon ordi pour accéder à mes mails and co mais bon <img data-src=" />


Oui c’est le même souci pour FF&nbsp;<img data-src=" />


Chez HSBC il”oblige” la double authentification via un petit boitier nom securekey.&nbsp;

&nbsp;&nbsp;

Le dit boitier pouvant être remplacé par uneapplication.

&nbsp;

Je peux vous dire que c’est très très chiant au départpuis comme tout on prend l’habitude.

Il est possible de consulter ces comptes sans leboitier, mais certaines actions sont alors interdites&nbsp;








mickaelb a écrit :



Plus compliqué :

À la banque populaire, tu peux faire un achat sur le net et au lieu de rentrer le code 3d secure envoyé par SMS, tu as une sorte de calculatrice dans laquelle tu mets ta carte, où tu tape ton code et en échange tu as droit à un autre code à 8 chiffres à rentrer sur le net.

Ça c’est de la grosse authentification !



Edit : c’est le pass cyberplus :



http://www.loirelyonnais.banquepopulaire.fr/portailinternet/Editorial/BanqueEnLi…





ça existe pour toutes les banques (ou presque) et pas besoin de machine, ça s’appelle l’e-carte bleue à numéro unique chez un seul marchand à la fois. Quand il s’agit d’un abonnement chez un marchand celui-ci ne peut pas dépasser 12 mois avant renouvellement

&nbsp;la banque fournit un petit logiciel qu’il suffit de lancer pour avoir le numéro



C’est mieux (niveau protection) qu’une clef secureID (RSA) ?


Cette calculette existe toujours. Elle m’a été fournie gratuitement. Pour chaque opération en ligne, elle te fourni un code valable une seule fois.


Quand j’y pense, l’authentification par clé SSH a fait ses preuves, non? Pourquoi aucune banque ne propose ça pour une authentification facile? Après tout, celui qui arrive à générer une clé par lui-même est un super-utilisateur sous linux (y a pas ssh nativement sous windows) qui sait ce qu’il fait. Il sait donc sécuriser sa propre machine.


hum, même avec 3 essais c’est facile de brute forcer un mots de passe !

&nbsp;

&nbsp;le méchant hacker ne se focalise pas sur ton compte a toi mais sur l’ensemble des compte, avec 2 essai par jour sur l’ensemble des comptes, au vue du code a 5 chiffres imposé par les banques -&gt; forte chance de tomber sur un compte qui fonctionne

&nbsp;

&nbsp;2 essai par jour, tu laisse le troisième au propriétaire du compte :), tu recommence le lendemain … , d’ailleurs les outils comme snort detecte les tentatives d’intrusion lente.

&nbsp;

&nbsp;Patience et longueur de temps vaut plus que force ni que rage


Ici en Suisse, d’après ce que j’en sais, dès qu’on a un accès “e-banking”, automatiquement on a une double authentification. Dans certaines banques, c’est via un token matériel (petit appareil avec un écran qui affiche le code), dans d’autres banques moins à jour (comme la mienne), c’est une carte cartonnée contenant un certain nombre de codes générés à l’avance. Lorsqu’on se connecte, il faut le login (numéro qu’on ne choisit pas), le mot de passe (pas de restrictions dans les caractères, mais limite de 15 caractères…) et la carte, car le site demande un de ces codes, au hasard. C’est basique, mais ça fait son office. Bien sûr, j’aurais préféré quelque chose de plus “moderne”, mais bon…



Ah et il n’y a que trois essais possibles, après le compte est bloqué… La brute force est grandement compromise ainsi.


Je confirme, au crédit Coopératif, c’est la même calculette en rouge.

&nbsp;

mais elle ne sert pas de double authentification, elle permet juste de se logger avec un mot de passe temporaire à 8 chiffres et de confirmer certaines opérations


&nbsp;Pour qu’une identification par clé SSH soit sécurisé, il faut partir d’un postulat de base tout à fait délirant : que le poste de l’utilisateur n’est pas compromis. La moindre faille (logicielle ou PEBKAC) qui permet d’acceder au système de fichier, et pouf tout tombe à l’eau.

&nbsp;



&nbsp;Autant dire que ce ne sera jamais viable pour le grand public.


Juste pour info : j’avais regardé ça il y a quelques mois pour le boulot. C’est pas plutôt PayPal qui était moteur/initiateur ?



J’avais noté : Cette alliance a créée durant l’été 2012 par PayPal, Lenovo, Nok Nok Labs, Validity Sensors, Infineon, and Agnitio, mais sous l’impulsion directe de PayPal et de Validity Sensors.








Yangzebul a écrit :



Pour qu’une identification par clé SSH soit sécurisé, il faut partir d’un postulat de base tout à fait délirant : que le poste de l’utilisateur n’est pas compromis. La moindre faille (logicielle ou PEBKAC) qui permet d’acceder au système de fichier, et pouf tout tombe à l’eau.

 



 Autant dire que ce ne sera jamais viable pour le grand public.





C’est justement pour ça que j’ai précisé que le type qui est capable de générer une clé SSH n’est pas le premier M. Bidochon venu.



Au début, le boîtier “Sésame” servait pour l’authentification d’accès aux comptes en ligne, mais suite au mécontentement des clients (difficulté de se connecter à ses comptes hors de chez soi) et à l’incompatibilité avec l’application mobile (qui venait d’être développée), l’authentification est revenue à un simple mot de passe.



En revanche, le boîtier reste indispensable pour ajouter un nouveau bénéficiaire de virement (les virements se faisant sans authentification supplémentaire) et le boîtier sert à fournir le code 3D-Secure lors d’achats en ligne.


le système e-carte bleue repose sur un logiciel et fourni des numéros de carte bancaire aléatoires. Il n’y a pas de double authentification (double numéro) et il n’y a pas d’élément physique (une clé usb, un boîtier électronique, etc) en possession de l’acheteur en ligne au moment de l’achat. Ce n’est pas tout à fait la même chose, même si ça peut apparaître comme plus sécurisé qu’une carte bancaire internationale classique.


à quand la 2FA sur Paypal ! car à l’heure actuelle, ce n’est pas tellement sécurisé je trouve !

&nbsp;

hate de voir cette clé se répandre en tout cas

&nbsp;


J’ai travaillé sur cyberplus donc je connais un peu merci ;). Mais à l’époque ce n’était pas gratuit et/ou pour les particuliers :p


Générer une clef ssh, c’est 2 minutes de recherches sur google.

Même moi qui suit plutôt bon, je ne me considère pas suffisamment calé en sécurité pour pouvoir affirmer que ma machine est sécurisée.


C’est un peu le même principe que les clés certinomis (morpho / NIS) mais sans driver à installer (et sans le niveau de sécurité avec contrôle physique de l’identité).



C’est bien que ça se généralise pour le grand public, ça minitellise un peu plus internet mais sur certains services c’est utile.


moi non plus je n’affirme pas que ma machine est sécurisée.



Tu voulais peutt-être répondre à un autre commentaire, parce que je ne vois pas vraiment de rapport avec ce que j’ai écrit, erreur de fil de discussion ?


Quand ce sera supporté par FFX / Opéra / Edge / Safari et à d’autres services comme les banques ce sera certainement bien utile.