Yubikey et Windows 10 : comment se connecter simplement à travers  Windows Hello

Yubikey et Windows 10 : comment se connecter simplement à travers  Windows Hello

C'est (presque) une bonne nouvelle !

Avatar de l'auteur
David Legrand

Publié dans

Logiciel

24/12/2016 9 minutes
29

Yubikey et Windows 10 : comment se connecter simplement à travers  Windows Hello

Cela avait été annoncé en septembre, c'est désormais possible : vous pouvez utiliser une Yubikey pour vous connecter simplement à votre session sous Windows 10. Malheureusement, cela semble plus impliquer de sacrifices pour votre niveau de sécurité que d'avantages.

Il est possible depuis la rentrée de se connecter sur macOS de manière simplifiée avec une clef de sécurité Yubikey (voir notre guide pratique). Pour rappel, il s'agit d'un produit proposé par Yubico qui gère de nombreux standard de la génération de mots passe à usage unique, à la double authentification (U2F de la FIDO alliance).

Notre dossier clés de sécurité et connexion :

Windows Hello enfin accessible plus largement

Elle permet ainsi déjà de faire office de Smartcard, de stocker une clef via GPG, de renforcer la sécurité de vos comptes Dashlane, Dropbox, GitHub, Google, etc. Mais en marge de l'annonce Apple, une autre avait été faite concernant Windows 10 : Yubico travaille sur le support de Windows Hello.

Pour rappel, ce terme regroupe un ensemble de solutions destinées à renforcer la connexion au compte utilisateur, notamment en proposant des procédures simplifiées mais efficaces, exploitables par les développeurs (voir notre analyse). L'exemple le plus connu, outre la gestion des empreintes digitales, est celui de l'intégration d'un dispositif de reconnaissance faciale, notamment utilisable avec les produits de la gamme Surface (et mis en avant à travers quelques publicités ridicules).

Ce dernier cas est rendu possible par l'utilisation d'une webcam « 3D » capable de gérer l'analyse de la profondeur tels que les modèles équipés par RealSense d'Intel. Malheureusement, ce dispositif est encore assez peu présent sur le marché, et il n'existe que peu de webcams tierces compatibles, comme la Stargazer de Razer (à près de 170 euros) ou la BlasterX Senze 3D de Créative (à près de 200 euros).

On attendait donc avec impatience de nouvelles possibilités, notamment l'utilisation de clefs de sécurité. D'autant plus que Microsoft gère les smartcards depuis des années. Malheureusement, aucune solution simple et propre n'était disponible, seulement de les utiliser qu'avec une machine reliée à un domaine (voir cette vidéo de Yubico).

Certains ont vu une lueur d'espoir lorsque Microsoft a annoncé la gestion de FIDO 2.0 par Windows 10 en février dernier. Mais depuis, rien n'a vraiment bougé pour le grand public : rien pour la connexion à l'OS ou même à Onedrive ou Outlook. La page de statut du navigateur Edge indique de son côté qu'aucune implémentation n'est prévue. Espérons que cela bougera rapidement, notamment suite aux annonces faites par le W3C sur la question.

Yubico tient sa promesse, une application est disponible sur le Windows Store

En fait, la seule annonce concrète était celle de Yubico de proposer un dispositif de connexion compatible avec Windows Hello. Plus précisément, elle exploite le Companion Device Framework (voir cette vidéo de Channel 9) proposé par Microsoft pour la connexion via des objets connectés, quand Hello ne peut pas être mis en œuvre à travers une solution biométrique.

Windows Hello Companion Device FrameworkWindows Hello Companion Device Framework

Mais l'application promise n'avait pas vu le jour... jusqu'à hier. En effet, le compte Twitter de Yubico a officialisé que le Windows Store permettait désormais de télécharger (même si vous utilisez un compte local) une application permettant de se connecter de manière simplifiée si vous disposez d'une Yubikey :

Comme souvent dans ce genre de cas, il y a quelques limitations. Ainsi, il faut disposer d'un Windows 10 à jour (version 1607 build 14393.21 au minimum). Vous pouvez le vérifier en lançant « winver » depuis le menu Démarrer.

Les Yubikey compatibles sont les Neo, Neo-n, 4 et 4 Nano. Pour rappel, ces deux dernières se distinguent de par une certification FIPS 140 et le support de RSA 4096 / ECC p384. Cela leur permet notamment d'être supportées par Docker, ce qui n'est pas le cas des modèles inférieurs. Notez que le modèle Neo reste le seul à gérer le NFC (notamment utile avec les smartphones Android) comme le détaille ce comparatif.

Le guide pratique mis en ligne par la société indique aussi que le mode CCID doit être activé sur la clef (ce qui est le cas par défaut depuis un moment maintenant). En cas de problème, vous retrouverez plus de détails par ici.

Yubikey et Windows 10 : code PIN obligatoire, mais pas de la bonne manière

Passons maintenant à la pratique. Pour cela nous avons utilisé une machine à jour, sous Windows 10, avec un simple compte local sans mot de passe et une Yubikey 4.

Petit rappel utile : mettre en place un mot de passe de session ou utiliser un dispositif compatible avec Windows Hello ne protège pas vos données. Elle implique juste de nécessiter des éléments pour se connecter à votre session. Pour autant, si vos données ne sont pas chiffrées, elles peuvent être lues par n'importe quelle personne disposant d'un accès physique à votre machine ou votre disque dur / SSD.

Une fois l'application Yubikey lancée, une première action nous est demandée : celle d'ajouter un code PIN à notre compte utilisateur, ce qui revient à mettre en place Microsoft Passport. Cela nécessite au passage l'ajout d'un mot de passe. Tout se déroule dans les Paramètres (Windows + i) puis dans la section Compte et Options de connexion :

Yubikey Windows 10 HelloYubikey Windows 10 Hello

Le code PIN peut être assez long, veillez donc à ne pas en utiliser un trop simple, car il permettra de se connecter à votre machine. Cela reviendrait à remplacer votre mot de passe complexe par une alternative bien plus facile à trouver (celle-ci étant déjà limitée à des caractères numériques).

Trois façons de vous connecter, sinon rien

On regrettera ainsi que cette étape soit nécessaire, d'autant plus que ce n'était pas le cas avec un dispositif de type smartcard ou sous macOS par exemple. Dans ces deux cas, un code PIN vient compléter la présence de la clef. Ici, ce sera l'un, ou l'autre.

Une fois la procédure terminée, il suffit de relancer l'appication Yubikey qui n'affiche alors plus de message d'erreur. Elle vous invite plutôt à enregistrer une clef. Cliquez alors sur « Register » et suivez la procédure.

Celle-ci consiste à insérer la clef dans un port USB. Si c'est la première fois, veillez à attendre quelques secondes que Windows reconnaisse correctement la Yubikey. Vous devrez alors lui choisir un nom, ce qui a l'avantage de permettre d'en utiliser plusieurs.  

Car même si ces produits sont résistants, ils peuvent casser ou même se perdre. Ainsi, certains disposent d'une seconde clef de secours au cas où, ou alors d'une sur leur trousseau de clef, l'autre stockée à un endroit différent, etc. 

Yubikey Windows 10 HelloYubikey Windows 10 HelloYubikey Windows 10 HelloYubikey Windows 10 Hello

Enfin, Windows vous demandera votre code PIN afin de vérifier que vous êtes bien un utilisateur autorisé à créer une telle association. Vous verrez alors votre clef apparaître dans l'application Yubikey. Elle ne sera par contre pas référencée dans la section dédiée à Windows Hello des Paramètres.

Une fois déconnecté, vous aurez trois possibilités : votre mot de passe, votre code PIN ou un « dispositif complémentaire », ici, votre Yubikey. Il vous suffira de l'insérer et de presser sur son bouton pour que la connexion s'établisse. Comme dit précédemment, contrairement à un fonctionnement de type smartcard, aucun code PIN ne vous sera demandé en complément.

Notez que comme pour la connexion par Apple Watch sous macOS, il ne sera pas possible d'utiliser votre Yubikey en cas de redémarrage de la machine. Votre session devra tout d'abord être initialisée une première fois à travers votre mot de passe ou votre code PIN.

Microsoft et les fonctionnalités de sécurité : il y a encore du travail

L'ensemble est donc bien pratique et fonctionnel. Mais on regrettera tout de même plusieurs choses qui semblent plutôt tenir à des choix de Microsoft : le fait de devoir passer par une application plutôt que par une implémentation dans les paramètres de Windows Hello tout d'abord. Mais surtout de devoir mettre en place un triple moyen de connexion pour pouvoir utiliser la Yubikey.

Ainsi, on aurait préféré que le code PIN puisse être utilisé conjointement à la clef pour venir le renforcer plutôt qu'en alternative. Un utilisateur qui choisit un mot de passe complexe n'appréciera sans doute pas de devoir se limiter à des caractères numériques ou au fait de permettre un accès via une clef de sécurité sans aucune vérification complémentaire.

Yubikey Connexion Windows 10

Reste à voir si le dispositif s'améliore avec le temps et si Microsoft va revoir un peu les choses et sa manière de gérer des produits du genre et autres standards tels sur FIDO/U2F.

La société a déjà fait le choix étrange de continuer de limiter sa fonctionnalité de chiffrement Bitlocker à la seule version professionnelle de son système d'exploitation, alors que tous ses concurrents proposent cela de manière systématique depuis un moment maintenant. Ici, on voit que la belle promesse derrière Hello est dans la pratique assez limitée.

Comme Intel qui a tendance à réserver des outils comme Authenticate à ses solutions vPro, Microsoft semble avoir encore du mal à concevoir qu'un utilisateur non professionnel veut aussi assurer la sécurité de ses données, et que son système d'exploitation doit l'y aider. Et ce, sans se limiter à des démonstrations « kikoo » avec des « whooah ! » dans des vidéos promotionnelles.

29

Écrit par David Legrand

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Windows Hello enfin accessible plus largement

Yubico tient sa promesse, une application est disponible sur le Windows Store

Yubikey et Windows 10 : code PIN obligatoire, mais pas de la bonne manière

Trois façons de vous connecter, sinon rien

Microsoft et les fonctionnalités de sécurité : il y a encore du travail

Commentaires (29)


Bien sympathique comme article, ça fait un moment que je lorgne sur ce type de matériel. J’ai cru comprendre que NXi préparait quelque chose sur le sujet <img data-src=" />


INtéressant ça.


Mouai ça reste un truc qui sent les pieds à 2 km cette histoire…

Et même si l’implémentation avec apple semble meilleure, vu qu’ils viennent d’introduire le lecteur d’empreinte digitale sur le bouton power (MBPs) je ne suis pas convaincu que beaucoup de personnes aillent plus loin que ça.


Pas faux mais il faut lui laisser un peu de temps, je pense.

Sur mon Z5, je me suis aperçu, il y a peu, que le bouton power avait un capteur d’empreintes digitales, alors j’ai fais l’essai et ça fonctionne mais franchement, vu les étapes qui précèdent, je suis resté sur le bon vieux système de schéma.


J’ai jamais utilisé le schema. Trop facile de le voir sur le téléphone de quelqu’un d’autre.

L’empreinte digitale reste un moyen facile et rapide de dévérouiller son téléphone. Un voleur ne pourra pas juste voir ton pin, mot de passe ou schema.

Après y’a d’autres soucis de sécurité, mais dans un environment juste où tu veux éviter tes amis ou un pickpocket de te picker ton téléphone, l’empreinte digitale reste la meilleure protection. Je l’utilise sur mon 6P et mon Nexus 6 avant lui. Jamais eu aucun soucis.



Puis laisser le temps c’est bien beau, mais Android et Apple ne vont pas juste se contenter d’attendre gentiment :/


Oui beaucoup d’utilisateurs ne regardent pas plus loin que le bout de leur nez, ce n’est pas une raison pour ne pas leur proposer autre chose et ne pas leur faire découvrir des solutions intéressantes ;)



Par contre l’implémentation choisie par MS est vraiment regrettable alors que l’OS gère plutôt bien les smartcards (mais comme dit, c’est comme Bitlocker, les entreprises focalisent toute l’attention).


Certes ce n’est pas ce que je voulais sous-entendre.

Mais la plupart des gens n’ont pas besoin d’autre chose que l’encryption de leur disque et le lecteur d’empreinte digitale de leur MBP flambant neuf non plus.

Ceci étant dit, je vais regarder à nouveau cette histoire de Yubikey, j’en avais déjà entendu parler mais sans approfondir plus que cela.


Je ne dis pas que ce n’est pas un super moyen de protéger son smartphone, juste que l’étape de mise en place, enfin sur mon Sony, est chiante.

Il doit scanner plusieurs fois le doigt qui va servir sous différents angles afin de valider le process.

Après, rien à dire sur l’efficacité.



Pour le schéma, j’évite déjà qu’on voit le tracé mais je reconnais que ça reste faible si je me fais piquer mon tel.



Pour le temps, comme tu dis, Google et Apple ne vont pas attendre et donc mettre en place leur propre système…

Et ça va faire comme avec le paiement via smartphone, chacun de son côté au lieu d’harmoniser tout ça.


C’est plus par habitude mais je ne suis pas contre autre chose.

Après, pour l’empreinte, sur les Sony c’est chiant alors que l’iPhone, c’est beaucoup plus facile.


Les deux sont complémentaires, ici le but étant surtout d’assurer une connexion simple mais qui nécessite des éléments qui ne sont pas essentiellement un mot de passe. Après dans l’implémentation Windows ça ajoute plus de soucis que ça en résout, et ça fait surtout “gadget connexion facile” plutôt qu’un bon complément sécurité. Mais bon, il y a d’autres possibilités, notamment dans le cas des YK <img data-src=" />


Un petit bémol cependant : Hello est désactivé sur les versions 1607 “fresh install” connectées à un domaine.

Si vous êtes hors domaine, ou si votre version 1607 vient d’un upgrade 1511, ça fonctionne si la techno Hello a été activée auparavant.

Donc, si vous comptez vous la procurer pour vous éviter de rentrer le mot2PazzLongKomL38ra5 sur votre PC du boulot, pas la peine d’investir (ou alors beaucoup Lecture en anglais sur le sujet).








David_L a écrit :



Par contre l’implémentation choisie par MS est vraiment regrettable alors que l’OS gère plutôt bien les smartcards (mais comme dit, c’est comme Bitlocker, les entreprises focalisent toute l’attention).



Si je peux me permettre, je pense que c’est la Yubikey qui ne demande pas de code pin pour la débloquer, contrairement à la smartcard.



Personnellement, je trouve que c’est un dispositif d’insécurité plus qu’autre chose.



me tapé&nbsp; pas j’ai lue en diagonal mais :

Pourquoi ont peut faire la même chose avec une simple clef USB ?


En même temps si tu es connecté à un domaine, tu peux l’utiliser en mode smartcard, ça sera sans doute pas plus mal <img data-src=" />


Non, c’est juste que le dispositif utilisé ici et proposé par MS pour la connexion via des objets tierces adopte ce fonctionnement (et tu ne peux pas utiliser en smartcard hors d’un domaine).

&nbsp;





lain a écrit :



me tapé&nbsp; pas j’ai lue en diagonal mais :

Pourquoi ont peut faire la même chose avec une simple clef USB ?





C’est tout l’intérêt des smartcard que de reposer sur une composante hardware sécurisée ;) Après, le framework proposé par MS est assez large au niveau de ses usages et de son mode de fonctionnement, on verra quels seront les produits qui l’adopteront.









patos a écrit :



Si je peux me permettre, je pense que c’est la Yubikey qui ne demande pas de code pin pour la débloquer, contrairement à la smartcard.



Personnellement, je trouve que c’est un dispositif d’insécurité plus qu’autre chose.





Je suis du même avis. Beaucoup considère que l’empreinte digitale est l’équivalent à un mot de passe alors qu’il faudrait le considérer comme un identifiant ( oui elle est plus ou moins unique mais il est aussi publique: on la laisse partout). On a beau dire le moyen le plus sécurisé est la carte contenant les clés publiques et privés le tout déverrouillé par code pin sur un pinpad.



Dans le cas de Passport/Hello, c’est ça puisque les éléments biométriques ou même le PIN servent à débloquer l’accès à un composant d’identification (qui est stocké via TPM ou soft selon les cas).&nbsp;


Un code pin sur un pinpad est tout sauf secure. C’est secure seulement si tu peux être assuré que tu es le seul à pouvoir voir le pinpad.

L’empreinte digitale a des inconvénients certains. Mais je vois pas mes collègues récupérer mon empreinte digitale sur un verre, trouver un moyen de la reproduire et de fourvoyer le lecteur pour la reconnaitre. Alors que voir mon pin sur un pinpad, c’est à la portée de n’importe quel enfant.


Depuis 2009 mon PC s’ouvre avec ma présence sur la webcam. .. Jusqu’au passage à Windows 10 où le logiciel n’est pas pris en compte comme logiciel autorisé ^^








Xaelias a écrit :



Un code pin sur un pinpad est tout sauf secure. C’est secure seulement si tu peux être assuré que tu es le seul à pouvoir voir le pinpad.

L’empreinte digitale a des inconvénients certains. Mais je vois pas mes collègues récupérer mon empreinte digitale sur un verre, trouver un moyen de la reproduire et de fourvoyer le lecteur pour la reconnaitre. Alors que voir mon pin sur un pinpad, c’est à la portée de n’importe quel enfant.



Oui en même temps si tu laisse ton mot de passe sur un postit collé sur ton écran on peut plus faire grand chose…



C’est pas du tout ce que j’ai dit mais ok…

Si tu crois que quand t’es dans la rue ou dans les transports en commun, ou au travail, ou…, personne, jamais, n’a l’occasion de voir ton mot de passe, ton schema, on ton pin sur ton tel. Excuse-moi du peu mais c’est moi qui peut plus rien faire pour toi.

N’importe quel mec un peu doué peut me suivre dans la rue, chopper mon pin et me chourrer mon tel. Avec l’empreinte digitale excuse-moi du peu mais il peut me chourrer mon tel et ne rien faire avec…


Moi je ne parle pas du code pin du téléphone mais un pinpad (un boîtier externe). Le but c’est de limiter le piratage à distance avec la corruption de ton ordinateur/téléphone. Après effectivement tu as plus de sécurité envers un quidam avec un un lecteur d’empreinte, par contre sur quelqu’un qui veut vraiment piquer tes données, pinpad + card + pin, c’est une valeur sûr.








Dyblast a écrit :



Oui en même temps si tu laisse ton mot de passe sur un postit collé sur ton écran on peut plus faire grand chose…






Je bosse pour le moment dans une PME Japonaise... tout le monde a accès aux mots de passe de tout le monde (mails inclus)... impossible de changer ça puisque ça a l'air culturellement ancré.      

De mon côté je fais de la sécurité par l'oubli pour l'instant : "ah j'ai oublié de mettre à dispo de tout le monde le mot de passe root du serveur oui, j'y penserai plus tard".

Avec ça je ne m'étonne plus des hacks du type Sony.



&nbsp;



&nbsp;      





Car même si ces produits sont résistants, ils peuvent casser ou même se perdre. Ainsi, certains disposent d’une seconde clef de secours au cas où, ou alors d’une sur leur trousseau de clef, l’autre stockée à un endroit différent, etc.



  &nbsp;      

Ma YubiKey Neo ne marche plus en USB mais fonctionne toujours en NFC, et évidemment ça a déconné peu après la fin de la garantie d'un an... sans maltraitance particulière.

Moi qui voulais tester ça sur le long terme avant de pousser à une généralisation du système une fois rentré dans ma boîte en France, ça ne m'inspire pas du tout confiance : si je dois prendre en compte le risque de racheter &gt;100 clefs chaque année ça ne serait neutre ni sur le budget ni sur la perte de temps engendrée.

Et puis quand les gus de Yubico mettront-ils enfin à jour le modèle Neo avec les fonctionnalités des YubiKey 4 ?


Moi j’ai testé l’openpgp card pour cela. L’avantage c’est que ça reste assez standard c’est juste chiant de se balader avec son lecteur pinpad :) Après j’ai le backup de mes clés dans un containeur veracrypt au cas ou je perds ma carte


Que tu utilises pour le login ou juste pour les usages habituels de GPG ?








Xaelias a écrit :



Mais la plupart des gens n’ont pas besoin d’autre chose que –l’encryption– de leur disque





Ouille…

Le chiffrement :-)

<img data-src=" />



Ouais c’est pas comme si Surface 4 et Surface Book gérait nativement Windows Hello depuis six mois. Mais çà ne compte probablement pas…&nbsp;<img data-src=" />


Un peu de GPG mais surtout la clé SSH.








OlivierJ a écrit :



Ouille…

Le chiffrement :-)

<img data-src=" />





Je suis aux US depuis 4 ans, pardon :-(







RoughBoy05 a écrit :



Ouais c’est pas comme si Surface 4 et Surface Book gérait nativement Windows Hello depuis six mois. Mais çà ne compte probablement pas… <img data-src=" />





Je suis peut-être pas assez réveillé mais il dit qu’il voit pas le rapport…