La clé Titan de Google s'adapte à l'USB-C

Mickaël Bazoge |

Google a travaillé avec son partenaire Yubico pour créer une clé Titan équipée d'un connecteur USB-C. Ces clés font figure de deuxième facteur d'authentification, après le mot de passe. Google en a débuté la commercialisation cet été en France, avec deux modèles : une clé USB-A et une clé Bluetooth (le duo est vendu 55 €).

La nouvelle clé USB-C, dont le firmware est en lecture seule au sein d'une enclave sécurisée, reprend les mêmes fonctions que les deux versions précédentes, l'identification répondant au standard FIDO. Celle-ci est compatible Android, Chrome OS, Windows et macOS. Pour iOS ― l'iPad Pro 2018 est équipé de l'USB-C ―, il faut toujours s'en remettre à la version Bluetooth, avec installation de l'application Smart Lock de Google.

Yubico a lancé fin août une clé USB-C doté en plus d'un connecteur Lightning. La nouvelle clé Titan de Google se contente de l'USB-C tout court. Elle sera commercialisée au prix de 40 $ (pas de prix en euros pour le moment). Les deux autres clés restent au catalogue, Google les proposant même à l'unité : 25 $ pour l'USB-A, 35 $ pour le modèle Bluetooth.

Tags
avatar broketschnok | 

MDR. Google qui se lance dans la sécurité privée 😂😂😂

avatar ancampolo | 

@broketschnok

Je confirme ce que tu dis 🤣🤣🤣🤣🤣

avatar byte_order | 

@broketschnok, @ancampolo
Merci d'indiquer vos sources montrant des fuites massives de données privées gérées par Google durant les 10-15 dernières années.

avatar Crunch Crunch | 

@byte_order

Google EST le barrage
Rien ne sort -> Tout rest chez eux, pour en faire leur business !

avatar pat3 | 

@byte_order

"Merci d'indiquer vos sources montrant des fuites massives de données privées gérées par Google durant les 10-15 dernières années"

https://www.clementbriend.com/nouvelle-fuite-de-donnees-chez-google/

avatar SartMatt | 

"Google affirme qu’il n’existe aucune preuve d’une quelconque fuite"

avatar pat3 | 

@SartMatt

😇

avatar Sgt. Pepper | 

@broketschnok

Justement les données privées sont de l’Or pour Google.
Il font le maximum pour garder tout cela, bien sécurisé, rien que pour leur propre business.😄

avatar mat 1696 | 

Hors-sujet mais suis-je le seul à ne plus pouvoir cliquer sur les liens hypertexte des réponses (@pseudo) sur l’app mobile? Au lieu de me diriger vers le commentaire en question, ça m’ouvre Safari sur une page blanche...

avatar Mickaël Bazoge | 
Pas de souci ici, mais il y a un bug qui traine pour nos commentaires aujourd'hui…
avatar karl59 | 

J’y réfléchis depuis un moment.
Quelqu’un arrive à utiliser la clé via un adapteur sur macOS ou sur iPad Pro ?

Merci

avatar alexis83 | 

Je ne serai pas acheteur tant qu’il n’y aura pas de clef usb c (adaptateur usb a au besoin) + Bluetooth + nfc ; autant avoir une clef permettant de gérer tous les supports matériels !

avatar byte_order | 

@alexis

Il me semble que le bundle a 55 euros contient:
- une clé USB (C ou A), un adaptateur (C vers A ou A vers C, respectivement) qui est également NFC
- une clé de secours BlueTooth.

Y'a pas de clé faisant tout, ce qui de toute façon sera impossible tant qu'Apple limitera l'accès à la techno NFC à des tiers.

avatar alexis83 | 

@byte_order

Je trouverai ça plus pratique une clef faisant tout pour pouvoir s’en servir sur tous les appareils. Mais merci des précisions

avatar iPod1 | 

Il existe une clef universelle (USB + BT) et française en plus! : la clé biométrique KeoPass https://keopass.com

avatar alexis83 | 

@iPod1

Je regarde ça, merci

avatar SartMatt | 

Bon déjà, elle a pas l'air disponible (pas de prix indiqué, rien pour l'acheter, juste un formulaire de contact).

Ensuite, ça n'est visiblement pas une clé d'authentification FIDO, telle qu'elle est présentée ça a juste l'air d'être une clé qui génère des mots de passe et simule leur saisie (en se faisant passer pour un clavier USB/BT). Donc niveau sécurité, c'est très loin de ce qu'offre une clé FIDO.

Et accessoirement, je vois pas comment cette clé peut générer plusieurs mots de passe différents : dans la mesure où elle fonctionne sans pilote, elle ne peut pas recevoir de l'ordinateur l'identifiant du site ou de l'appli sur lequel on veut de connecter, et sur la clé elle même je ne vois pas de bouton ou d'écran permettant de choisir. Donc à priori, c'est un mot de passe unique, basé sur l'empreinte (donc non changeable !) et utilisé partout. Bref, tout sauf une solution sécurisé...

Après, je me trompe peut-être, mais l'absence totale d'informations détaillées sur le site me donne vraiment pas confiance et me conforte dans cette idée...

Si c'est pour de la saisie de mots de passe classique, et non de mots de passe jetables, une solution comme le Mooltipass (français également) me parait bien plus crédible et éprouvée : https://www.themooltipass.com/

EDIT : j'ai creusé un peu, et c'est à peine mieux que ce que je craignais... La clé génère bien un mot de passe unique sur la base de l'empreinte digitale, mot de passe qui est donc "définitif" (le jour où il est compromis pour une raison ou pour une autre, on peut jeter la clé, elle ne sert plus à rien, puisqu'on devra utiliser un mot de passe différent, que la clé ne saura pas générer et saisir automatiquement...). Le seul mieux par rapport à ce que je pensais, c'est qu'elle ne gère pas que un mot de passe, mais 10 mots de passe, un par doigt... Ce qui reste bien maigre...

Voir cet article : https://www.letelegramme.fr/soir/cybersecurite-keopass-ou-la-clef-biomet... "Afin de sécuriser sa clef, Hervé le Dévéhat a recours à la biométrie. Il faut donc enregistrer une fois pour toutes les empreintes de ses dix doigts via une interface web. À chaque doigt correspond un code que la clef se charge de composer elle-même. Ensuite, lors de l’utilisation d’un ordinateur, d’une tablette ou d’un smartphone, il suffit de poser son doigt sur la clef."

EDIT2 : et cet autre article parle d'un prix de 75€, ce qui est vraiment cher pour un produit aussi limité... https://www.ouest-france.fr/high-tech/une-cle-pour-securiser-les-mots-de...

Bref, le seul point fort, c'est le fait que ça fonctionne sans driver sur n'importe quelle machine acceptant les clavier Bluetooth ou USB. Mais la Mooltipass offre quasiment autant de compatibilité (pas de Bluetooth, mais la saisie de mots de passe [et de login, vu qu'elle gère les deux] marche partout où l'USB marche et l'enregistrement de mots de passe peut se faire avec n'importe quel ordinateur sous Windows, macOS ou Linux), tandis que les clés FIDO offrent un niveau de sécurité incomparable avec ça (mais au prix d'une compatibilité plus restreinte : très large compatibilité au niveau des hôtes, puisque ça marche à peu près partout où il y a de l'USB, du BT ou du NFC et un OS pas trop ancien, mais par contre il y a encore peu de services qui supportent ce mode d'authentification).

EDIT3 : pardon, la Mooltipass n'est pas française, elle est Suisse.

avatar iPod1 | 

Pour l'avoir testée, la clé KeoPass n'est en effet pas une clé FIDO, en revanche elle intègre un capteur d'empreintes digitales (ce que ne possède pas la clé Titan, ni Mooltipass) et génère un mot de passe complexe différent pour chaque doigt.
Les mots de passe générés par la clé KeoPass sont facilement renouvelables en cliquant sur un petit bouton.
C'est tout de même mieux qu'un Mooltipass qui n'a pas de capteur biométrique, ni de BT et coûte 71€.

avatar SartMatt | 

On est donc limité à la gestion de dix mots de passe à la fois. À l'heure où le nombre de services auxquels ont est amené à se connecter se compte en dizaines, n'avoir que dix mots de passe différents, c'est tout sauf de la sécurité.

Et la biométrie n'est pas non plus un miracle en termes de sécurité. Un code PIN pour verrouiller l'accès aux mots de passe, c'est déjà très bien si on prend la peine de ne pas en choisir un trop facile (pas de date de naissance...) et si le dispositif est protégé contre le bruteforce du code PIN (c'est le cas ici, blocage définitif de la carte au bout de 3 essais, comme pour une CB, et remplacer la carte ne coûte pas grand chose, 10$ les 10 cartes pour les cartes "officielles" sur la boutique, 30$ les 100 et même 30$ les 1000 (oui oui, même prix, chez deux fournisseurs différents) chez Alibaba).

Bref, à choisir si je devais remplacer aujourd'hui mon couple Yubikey/gestionnaire de mots de passe logiciel, c'est clairement vers un couple FIDO/Mooltipass que je me tournerai, pas vers un truc presque aussi cher mais qui me permettrait même pas de gérer un dixième des mots de passe dont j'ai besoin... Rien que sur les différents services internes de mon employeur, j'ai déjà plus de dix mots de passe différents...

avatar iPod1 | 

Les mots de passe vraiment importants, on en compte rarement plus de dix, les autres on peut les enregistrer dans un navigateur ou dans un gestionnaire de mots de passe logiciel.
Cela n'a rien à voir avec la sécurité intrinsèque de la clé KeoPass, qui au passage est bien plus simple à utiliser qu'un Mooltipass ou une Yubikey. Pas besoin de rentrer un code PIN ou d'insérer une mini carte à puce (qu'on risque d'égarer), ni d'installer de plugin.
En plus elle fonctionne avec n'importe quel ordinateur, smartphone ou tablette sans avoir à brancher de câble.

avatar SartMatt | 

À ce compte là, je dirais aussi que pour ne retenir que dix mots de passe, on peut faire appel à sa mémoire...

"Cela n'a rien à voir avec la sécurité intrinsèque de la clé KeoPass"
Je ne conteste pas la sécurité de ce produit. Mais le fait de venir en faire la pub dans un sujet qui à la base parle de système offrant une sécurité beaucoup plus poussée (en apportant une grande robustesse face aux interception, via l'utilisation de jetons d'authentification à usage unique), c'est à minima une forme de publicité mensongère, au pire une totale mécompréhension des principes de sécurité qui se cachent derrière FIDO. Ce qui, quand on vend des solutions de sécurité, relève quasiment de la faute professionnelle.

Et pire, même si le produit en lui même est sécurisé, il pousse à des mauvaises pratiques non sûres : je suis prêt à parier que les acheteurs de ce produit vont avoir tendance à l'utiliser partout, et pas seulement pour les dix services les plus importants. Et donc, ils vont partager certains mots de passe entre de nombreux services.

"Pas besoin de rentrer un code PIN ou d'insérer une mini carte à puce (qu'on risque d'égarer), ni d'installer de plugin."
Oui bien sûr on risque d'égarer la carte à puce. Tout comme on risque d'égarer une clé FIDO ou son KeoPass. C'est d'ailleurs pour ça que tous les systèmes d'authentification basé sur FIDO prévoient une solution de secours en cas de perte de la clé. Ou que la Mooltipass est livrée avec deux cartes, pour en avoir une de rechange. Tiens d'ailleurs, que propose KeoPass en cas de perte de la clé ? Le site ne dit strictement rien à ce sujet...

Et concernant le plug-in pour Mooltipass, il n'est pas obligatoire. Le plug-in est juste là pour simplifier l'utilisation (sélection automatique du bon compte) et apporter une sécurité supplémentaire (quand le plug-in est utilisé pour remplir un formulaire de login dans le navigateur, ça ne se fait pas via une émulation de frappe au clavier, émulation qui est vulnérable aux keyloggers).

avatar iPod1 | 

Arriver à mémoriser 10 mots de passes complexes (aléatoires) comme ceux générés par cette clé, peu de gens y arrive...

En cas de perte, elle est inutilisable par un tiers puisque liée aux empreintes digitales de son propriétaire, il suffit simplement de réinitialiser ses mots de passe par les procédures habituelles.

avatar SartMatt | 

Un mot de passe complexe n'est pas nécessairement aléatoire : une phrase est bien plus complexe tout en étant bien plus facile à mémoriser.

"En cas de perte, elle est inutilisable par un tiers puisque liée aux empreintes digitales de son propriétaire, il suffit simplement de réinitialiser ses mots de passe par les procédures habituelles."
Tu conviendras quand même que c'est dommage de devoir se taper la réinitialisation des mots de passe partout en cas de perte de la clé... Surtout que dans certains cas, la procédure peut être lourde et lente, avec envoi d'un code par voie postale...

Fournir un moyen facile de sauvegarder la clé et la restaurer vers une autre (ou un moyen de login alternatif), ça devrait être une fonctionnalité de base de tout système de ce genre.

PS : au fait, quels sont tes liens avec KeoPass ?

avatar iPod1 | 

Le propriétaire peut aussi imprimer les mots de passe générés par sa clé et les mettre en lieu sûr.
PS: je suis un beta testeur de la clé KeoPass.

avatar SartMatt | 

Feitian, qui est le fournisseur de Google pour les Titan, propose des clé USB + Bluetooth + NFC : références K13 (même design que la Titan Bluetooth), K25 (la même en noir), K32 (port USB-C mâle au lieu de micro-USB femelle) et K41 (port USB-C femelle).

Je ne les aies pas encore vues dans le commerce, mais on peut espérer que ça ne tardera pas trop.

Pages

CONNEXION UTILISATEUR