Authentification à deux facteurs : Soft U2F émule les YubiKey sur Mac

Stéphane Moussie |

La plupart des principaux services en ligne proposent aujourd’hui à leurs utilisateurs d’activer l’authentification à deux facteurs pour mieux sécuriser leur compte : quand ils se connectent depuis un nouvel appareil, en plus de leur mot de passe habituel, un second code est demandé.

Ce second code n’est pas proposé de la même façon selon les services. Certains l’envoient par SMS, d’autres via leur application, ou bien directement par le biais du système d’exploitation dans le cas d’Apple. Des applications spécialisées (Google Authenticator, Authy, 1Password…) savent aussi générer des codes temporaires.

Enfin, il y a les clés USB qui servent de second facteur : au lieu de saisir un second code, on branche une clé à son ordinateur. La plus connue est la YubiKey (à partir de 20 €), mais d’autres peuvent faire l’affaire, pourvu qu’elles soient compatibles avec le standard U2F de la FIDO Alliance.

YubiKey

Il y a quelques jours, GitHub a rendu disponible Soft U2F, un logiciel qui émule les YubiKey : plus besoin de clé USB pour remplir le rôle de second facteur, c’est ce logiciel qui s’en charge avec l’aide du Trousseau d’accès de macOS.

Concrètement, voici comment cela fonctionne avec Dropbox — cela marche en théorie avec les autres services prenant en charge l’U2F, dont Google et GitHub. En préambule, il faut savoir que seuls Chrome et Opera supportent U2F nativement. Autrement, il existe une extension pour Safari et une autre pour Firefox.

Après avoir installé Soft U2F et l’extension navigateur le cas échéant, dans vos réglages de sécurité Dropbox, cliquez sur Ajouter une clé de sécurité. Après avoir entré votre mot de passe, cliquez sur Commencer la configuration, puis Clé insérée. Vous devriez alors voir une notification Security Key Request : cliquez sur le bouton Approve pour valider l’ajout de la clé de sécurité (qui n’en est donc pas vraiment une). À noter que si vous avez un MacBook Pro Touch Bar, c’est une boîte de dialogue Touch ID qui apparaîtra, et pas la notification.

Cliquer pour agrandir

Déconnectez-vous du site de Dropbox, puis reconnectez-vous : après avoir saisi votre mot de passe, le service vous demandera d’insérer votre clé de sécurité, mais grâce à Soft U2F, vous n’aurez en fait qu’à cliquer sur le bouton Approve de la notification qui sera apparue (ou à poser un doigt sur le bouton Touch ID de votre MacBook Pro).

Cliquer pour agrandir

Soft U2F permet donc de profiter de l’authentification à deux facteurs U2F sans clé physique. Cette commodité est aussi un défaut : en confiant à l’ordinateur la gestion du second facteur, on augmente le risque de compromission (la clé USB, que l’on branche uniquement lors de la connexion, est moins susceptible d’être victime d’un logiciel malveillant).

Par ailleurs, la solution de GitHub ne fonctionne que sur un seul ordinateur, alors que l’on peut emmener la YubiKey partout avec soi et l’utiliser sur d’autres machines sans installer de logiciel supplémentaire. Si vous utilisez Soft U2F sur votre Mac, il faut donc activer au moins une autre option d’authentification à deux facteurs pour vous connecter sur d’autres appareils.

avatar whocancatchme | 

Ca n'a rien à voir mais en changeant le pays de l'app store pour les US, j'ai l'application "TV" qui est apparu ? C'est une feature aux US ? Jamais vu de News... je suis pas au taquet tout le temps aussi

avatar Ali Ibn Bachir Le Gros | 

Ah, ah. Et c'est marrant, j'ai l'impression que l'emballage des pâtes Panzani a légèrement changé. Rien à voir avec l'article non plus, mais ça m'a surpris.

avatar A884126 | 

@whocancatchme

Oui exclusivement pour les US. Elle est en fait à l'origine sur l'ATV.

avatar stephane69 | 
avatar Jeckill13 | 

"un logiciel qui émule les YubiKey : plus besoin de clé USB pour remplir le rôle de second facteur…"

euh c'est moi ou justement le but de ces clés est de ne pas être sur la machine pour mieux sécuriser l'accès ? Donc quel intérêt de vouloir avoir une validation à deux facteurs physique pour finalement éliminer le deuxième facteur ?

avatar C1rc3@0rc | 

@Jeckill13

Ben l'authentification a deux facteurs, telles qu'appliquée en general est une grosse foutaise pour ne pas evoquer l'usage de la vaseline...

Pour rappelle c'est quoi l'authentification a 2 facteurs: un protocole d'identification d'acces a un service confidentiel qui repose sur 2 cle d'identifications utilisant deux canaux distincts...
Le but est de renforcer la probabilité que la personne qui se connecte a un service confidentiel soit bien celle qui est legitime.

Ça implique 3 choses pour fonctionner:
- le service est confidentiel (donc chiffré de bout en bout)
- la personne est la seule a avoir acces aux deux canaux en meme temps
- les canaux sont réellement distincts et sous le controle de la personne legitime

En consequence, il faut que les canaux de communications ne soient pas:
- sur la meme machine
- sur le meme reseau
- sur un reseau ou une machine que l'on sait piratable
- que la communication sur le reseau soit chiffrée
- que les données stockées soient chiffrées

Ce qui veut dire que pour l'authentifiaction a 2 facteurs il faut:
- que la seconde identification se fasse depuis un second appareil sur un autre reseau. Donc si l'identification initiale se fait sur un Mac, faut utiliser un iPhone en 3G ou un boitier RF specifique
- que la seconde identification ne se fasse pas par email ou SMS: ils ne sont pas securisés et les piratages de ces protocoles sont averés.

Donc on peut dire que quasi toutes les formes actuelles d'authentifications a 2 facteurs sont deficientes et exposent l'utilisateur. Le pire c'est que l'utilisateur est obligé de donner sont numero de telephone, ce qui l'expose inutilement et qui ne garantie strictement rien en terme de securité.

Finalement, pour faire du positif, il faudrait que l'utilisteur soit dans un des 2 cas suivants:
- dispose d'un boitier RF specifique
- utilise une application d'authentification sur son second appareil et n'utilise pas un protocole passoire comme le SMS ou l'email.

Que l'on utilise un cle USB dediée ou une application d'authentification ne change rien a l'efficacité du systeme.

En resumé, l'authentification en deux facteurs n'est quasi jamais une mesure de securité mais juste un moyen de recuperer le nº de tel de l'utilisateur.

Le meilleur moyen reste un mot de passe robuste (16 carateres melangeant casse, symbols, chiffres que l'on change souvent).

avatar DeluxePainter | 

Je me suis dit la même chose que Jeckill.

CONNEXION UTILISATEUR