U2F : la double authentification par clef USB se répand et débarque dans Dropbox

Les banques s'y mettront d'ici 2035 43
En bref
image dediée
Sécurité
David Legrand

Dropbox vient d'annoncer qu'il proposait lui aussi un support de clefs USB pour faciliter la double authentification de ses utilisateurs. Elles devront être compatibles avec le standard U2F de la FIDO Alliance, mais comme toujours, cela ne sera proposé qu'en complément.

Si la double authentification se fait de plus en plus courante dans les options de sécurité des services en ligne, sa mise en place peut se faire de différentes manières. Les deux plus courantes sont de passer par un code envoyé par SMS ou généré par une application, qui sera à taper une fois votre login et votre mot de passe validés.

Ce code n'étant valable que pour 30 secondes ou quelques minutes en général, il rajoute une couche de sécurité supplémentaire qui évite le piratage de tous vos comptes en cas de phishing réussi et de récupération de votre mot de passe, tout en restant simple à mettre en œuvre. C'est aussi une manière d'éviter d'avoir à manipuler de trop nombreux mots de passe pour différents services (même si cela reste conseillé pour les plus sensibles).

U2F : le standard pour renforcer la double authentification

Mais depuis quelques temps, une autre solution existe. Connue sous le petit nom d'U2F (pour Universal 2nd Factor), il s'agit d'un standard initié par Google, Yubico et NXP, qui est désormais géré par la FIDO (Fast IDentity Online) Alliance. Finalisé à la fin de l'année dernière, il assure un fonctionnement simple, tant du point de vue de l'utilisateur que de l'implémentation, mais se base sur un composant indépendant de votre smartphone.

Dans la pratique, il suffit en effet de brancher une clef USB à votre ordinateur, et éventuellement de presser un bouton pour générer un code pouvant être vérifié par un service tiers compatible. Vous devez simplement avoir lié une ou plusieurs clefs USB à votre compte pour que cela fonctionne. Un site de démonstration est disponible ici, les développeurs pourront trouver une documentation assez complète par là.

Une clef USB qui coûte entre quelques euros et 60 euros

Ce genre de clef ne coûte d'ailleurs pas très cher. Une version ultra basique coûte moins de 10 euros. Mais c'est sans doute la société Yubico qui propose la plus grande panoplie de produits avec ses Yubikey. Le modèle de base propose un espace tactile pour environ 17 euros, contre un peu plus de 30 euros pour le modèle Edge qui supporte OATH, l'intégration à Lastpass ou les mots de passe à usage uniques exploités par des services comme SalesForce ou même Keepass (voir ce guide). La version la plus complète sera la Neo, compatible PIV, OpenPGP (voir ce guide) et qui gère le NFC. Le tout pour un peu moins de 60 euros. Elle existe aussi en version ultra-compacte (sans NFC), la Neo-n.

Si n'importe quel site ou service peut exploiter l'U2F, seuls certains ont pour le moment sauté le pas. C'est notamment le cas de Google qui le propose comme une des multiples solutions de validation en deux étapes supportées. Il y a bien entendu l'application Authenticator, le SMS envoyé sur votre smartphone, mais aussi des codes à usage unique que vous pouvez vouloir utiliser en dernier recours.

Un nombre croissant d'acteurs, mais quid des sociétés telles que les banques ?

Microsoft a de son côté annoncé qu'il supporterait l'U2F au sein de Windows 10, mais à travers la version 2.0 du standard. On voit ainsi un nombre croissant de sociétés proposer un tel support, mais certaines font l'impasse. C'est notamment le cas des banques qui semblent pour le moment préférer un bon vieux mot de passe composé, le plus souvent, de quelques chiffres.

Aujourd'hui, c'est au tour de Dropbox de sauter le pas. Dans un billet de blog, le service indique en effet qu'il est désormais possible d'utiliser cette méthode de double authentification sous Chrome (les autres navigateur ne la supportant pas encore). Attention néanmoins, elle ne pourra être que complémentaire. Il faut ainsi avoir déjà activé la 2FA avec votre smartphone ou une application afin de pouvoir ensuite rajouter des clefs de sécurité comme vous pourrez le voir dans cette vidéo :

U2F : un complément pour faciliter, mais pas encore une alternative indépendante

C'est d'ailleurs l'un des regrets que l'on peut avoir sur le sujet. La double authentification via une clef U2F est un complément qui est toujours proposé pour simplifier cette procédure ou la déporter sur un produit qui ne nécessite pas de batterie pour fonctionner. Mais le smartphone est encore presque toujours requis par les services afin de pouvoir vous identifier en dernier recours, via une application ou un SMS.

Ainsi, ces clefs peuvent vous apporter une aide, mais en aucun cas être vues comme une réelle alternative indépendante pour le moment. Espérons que cela changera avec le temps.


chargement
Chargement des commentaires...