Votre compte Facebook protégé par une clef USB

Florian Innocente |

Facebook prend maintenant en charge les clefs USB d'identification pour les utilisateurs ou entreprises qui veulent sécuriser davantage l'accès à leur compte utilisateur.

Jusqu'à présent, après avoir entré son mot de passe pour s'identifier, on recevait un code par SMS à taper dans son navigateur ou dans l'app, pour finaliser l'identification. La méthode la plus courante pour l'identification par double facteur. Mais il peut arriver que l'on ne reçoive pas le SMS, qu'on ait pas de réseau sur le moment, que l'on soit victime d'une tentative de phishing, etc.

Cliquer pour agrandir

Cette deuxième étape du SMS peut être remplacée par l'insertion d'une clef USB comportant un bouton que l'on touchera pour valider l'opération. Dans le cas d'une identification sur un smartphone, s'il est équipé en NFC, on peut le mettre en contact avec une clef USB/NFC. On peut avoir plusieurs clef en sa possession et celles-ci marchent avec d'autres services comme Dropbox, Google, SalesForce, GitHub (et tous ceux qui rejoignent la FIDO Alliance). C'est également un moyen de compenser la capacité qu'ont certaines personnes à toujours oublier leurs mots de passe.

Keep Your Facebook Account Safe with YubiKey from Yubico on Vimeo.

Ces clefs ne sont pas onéreuses, celles de Yubico conseillées par Facebook coûtent de 20 € à 55 € sur Amazon. Cela dépend de leur taille ou de leur compatibilité avec la NFC.

Il y a toutefois quelques obstacles qui demeurent. Par exemple, l'absence de compatibilité avec les iPhone. Ensuite, l'app Facebook ne sait pas encore s'en servir. Le site mobile oui, mais il lui faut un smartphone Android NFC, Chrome et Google Authenticator. S'agissant de l'iPhone, il est surprenant que Facebook n'utilise toujours pas Touch ID comme le font pas mal d'applications, des banques ou tout simplement Dropbox.

Côté navigateur sur les Mac et PC, le chemin est un peu plus direct mais il faut tout de même utiliser Chrome ou bien Opera pour enregistrer sa ou ses clef(s) dans les réglages de sécurité de son compte Facebook.

Cliquer pour agrandir

Toujours au chapitre des questions de sécurité, Facebook a revu la section Privacy Basics de son site qui donne des conseils pour limiter l'accès à ses informations personnelles et vérifier leur statut. Ces contenus sont maintenant plus facilement lisibles depuis des navigateurs mobiles.

avatar deltiox | 

Sécuriser son accès à quelquechose de totalement opposé au principe même de la sécurité des données

Cet objet est un oxymore

avatar C1rc3@0rc | 

@deltiox

C'est incomprehensible ce que tu affirmes.

Mais bon de toute façon Facebook ne fait que certifier l'identité de l'utilisateur dans son interet de validité des ecoutes et de profilage.

Le systeme de l'identification en 2 etapes ne permet pas plus de securiser un accés, mais uniquement de certifier l'idendité d'un utilisateur en exploitant son numero de telephone pour en tirer les informations legales exploitables.

« S'agissant de l'iPhone, il est surprenant que Facebook n'utilise toujours pas Touch ID comme le font pas mal d'applications, des banques ou tout simplement Dropbox.»
Peut etre parce que Apple ne donne justement pas acces a une information exploitable pour du renseigement en protegeant (un peu) ses clients et (beaucoup) ses interets.

Le fait est que les clients/victimes qui vont utiliser ces clefs sont des cibles prioritaires qui se signalent pour le renseignement!
Parce que ces gens sont deja dans un protocole de securité et sont donc moins accessibles que le quidam qui file son numero de telephone a Facebook: ils ont un interet plus important pour le renseigement economique et industriel (ou scientifique).

avatar deltiox | 

@C1rc3@0rc

Securite pour Facebook
=> oxymore

Trait d'esprit, tout ça tout ça
Ironie
Second degré
Un bon mot placé

Voila voila 😔

avatar Ali Ibn Bachir Le Gros | 

Lorsque le professeur parle, on le l'interromps pas. Et il ignore l'humour :-)

avatar C1rc3@0rc | 

@deltiox
J'ai bien compris que tu faisais une tentative d'humour et que tu tapais sur Facebook mais la phrase est incomprehensible.

«Sécuriser son accès à quelquechose de totalement opposé au principe même de la sécurité des données»

J'ai beau le prendre dans tous les sens, ça n'en a pas. Il manque quelque chose.

avatar lll | 

C'est moins la sécurité des données (l'authentification en deux étapes fonctionne bien) que l'accessibilité de nos données pour Facebook et les États qui m'inquiète.

avatar byte_order | 

> Par exemple, l'absence de compatibilité avec les iPhone.
> Ensuite, l'app Facebook ne sait pas encore s'en servir

Les fonctions NFC ne sont pas accessibles aux développeurs d'application iOS, Apple considérant que cela relève de sa chasse gardée.

Il n'y a donc pas de "ensuite", puisque ces 2 constats sont dû à la même cause.

avatar EBLIS | 

J'ai quelques doutes quant à la sécurité du double facteur par SMS. Combien faut il de temps pour craquer une carte SIM et se faire envoyer les SMS d'authentification ou simplement les voir s'afficher sur l'écran quand la personne n'a pas désactivé les notifications et affichage des messages sur le Lockscreen out détourner le numéro ? Vraies questions :-) Outre les problèmes d'activation à distance qui restent à prouver, est ce qu'une solution comme la SIM intégrée d'Apple réglerait ces problèmes de sécurité ?

avatar C1rc3@0rc | 

Heu meme pas la peine d'aller chercher aussi loin, le protocle SMS a assez de backdoors et les operateurs sont contraints de conserver des logs de connexion et d'usages extensif pendant des durees de temps suffisantes pour tracer les habitudes et comportement des personnes. Donc les bases de donnees sont accessibles aux autorités et agences de renseignement, mais par consequent aussi a tous les hacker et cybercriminels qui s'en donnent la peine.

L'utilisation du SMS ne certifie qu'une seule chose, que le detenteur du numero de tel ou envoyer le SMS a acces a toutes les informations civiles legales de celui qui possede le telephone.

On le sait pas assez mais par exemple, pour un pirate qui dispose du nº de carte bancaire ( sans le code de securité) et du numero de tel d'une personne, il dispose de toutes les informations pour se faire passer pour cette personne et lui voler son identité. Et quand on sait que ces 2 informations sont la majorité du temps enregistrées dans un meme fichier de données peu, voire pas du tout, chiffré sur les seveurs des societés...

avatar naarin | 

Alors non cela ne permet pas à l'utilisateur qui a une tête de linotte de mieux s'en sortir, étant donné qu'il faut quand même taper son identifiant et mot de passe avant de passer à cette deuxième étape d'identification ^^
Et sinon, Yubico a un vrai site où ils vendent leurs Yubikeys, pas besoin d'Amazon, à moins d'être premium pour éviter les frais de port, j'imagine

avatar Dr. Kifelkloun | 

Donnez votre vie à Zuckerberg, et achetez du matos pour être bien certain qu'il ait l'exclusivité !
Est-ce-que Facebook fournit un tube de vaseline pour aider à bien insérer la clef ?
Notez aussi que les yubimachins à $40 seulement ne sont pas en USB-C
--> pensez à l'adapteur Elegance 2017 et repassez à la caisse dans 6 mois...

avatar iG | 

Y en a encore qui utilise Facebook??

avatar olrik53 | 

Dépenser de 20 à 50 € pour "sécuriser" son compte Facebook on croit rêver, les bras m'en tombent (Milo). Quand on a compris que Facebook ne sert à rien si ce n'est qu'à enrichir son boss, raconter sa vie et montrer des photos de soi qui normalement ne nous regardent pas. Bref réseau et pratiques à fuir.

avatar huexley | 

Moi ce qui me fait tomber les bras c'est de penser seulement que ce genre de clé ne sert qu'à protéger FB… Faut sortir un peu du monde Apple les gens, voir ce que les autres font…

avatar Eratic | 

Grâce à l'article, j'ai découvert que je pouvais utiliser Touch ID pour Dropbox! 😊
Direction les réglages et hop, merci MacG

CONNEXION UTILISATEUR