Google : la clef de sécurité Titan USB-C en vente en France et en Suisse
Google vend désormais en France sa clef de sécurité Titan dans sa version USB-C. Elle avait été dévoilée à l'automne aux États-Unis. Ce modèle est affiché chez nous à 45 €. Il y a la même disponibilité sur le Google Store d'autres pays : Suisse, Allemagne, Italie, Royaume-Uni, Espagne, Autriche, Canada et Japon.
Ces clefs, qui existent aussi en versions USB-A/NFC et Bluetooth/USB/NFC, servent de deuxième facteur d'identification lors d'une connexion à un service en ligne.
Plutôt que de compléter son mot de passe d'un code que l'on tape après l'avoir reçu par SMS, on branche cette clef et on s'identifie d'une pression sur un bouton. L'accessoire devra avoir été préalablement associé aux comptes que vous utilisez fréquemment.
Plusieurs services utilisent cette méthode qui repose sur le standard FIDO, on en trouvera une liste ici (colonne "Hardware token"). Google, Facebook, Dropbox, 1Password, Twitter, GitHub sont au rang des utilisateurs de ce système.
Apple a rendu Safari compatible avec ces clefs depuis la version 13 sur macOS et à partir d'iOS 13.3 sur iOS. Un pas supplémentaire a été fait ce mois-ci, avec l'adhésion officielle d'Apple à la FIDO Alliance. C'est elle qui définit les spécifications de ces systèmes d'authentification matérielle.
Vachement plus rapide de chercher sa clé, la sortie de sa poche, la connecter, attendre qu’elle apparaisse sur l’ordi, appuyer sur le bouton, plutôt que de taper un code ou un mot de passe? 🤔
@KimoMac
C’est plutôt au niveau sécurité que c’est meilleur
@maxetlu
Je ne sais pas car si on a ton mdp et la clé 🔑🤷♂️ alors que la il faut ton mdp et après ben il n’a pas le code
@KimoMac
C’est une clé de sécurité pas de rapidité.
Une deuxième authentification par un moyen biométriques, pourquoi pas.
Mais franchement je ne vois vraiment pas l’intérêt de ces clés surtout qu’elles restent tout de même bien chères.
Le principe d’une clef, dans le sens premier du terme, est assez universel. Cela peut sembler anachronique, par rapport à un mot de passe, mais pas plus que sur une voiture. Et c’est pas le fameux chimiste Newman qui aurait dit le contraire, lui qui a inventé le fameux système de blocage du volant par clef après s’être fait piquer son coupé sport ! (c’était du temps où les scientifiques étaient suffisamment reconnus par la société pour pouvoir se payer un coupé sport...)
@pim
Newman ou Neiman?
@pelipa91
Vous me mettez le doute. Cette histoire a été racontée par un de mes profs de chimie, oralement, voulait-il dire Neiman ? Ou alors c’est moi qui confonds.
@pim
C’est bien Neiman (Abram)
Invention du même nom en 1931
Et le jour où on la perd ? 😶
@666
Et oui, et si on la perd ?
En fait comment s’insère la clé dans le processus de sécurité et, peut-on avoir 2 clés, copie ou pas, etc …
Question bête :
Le fait que cette clé soit fabriquée par Google pose-t-il un problème de sécurité ou pas ?
En matière de sécurité, Google investit massivement. Il suffit de voir le nombre de failles de sécurité qui sont identifiées puis signalées à Apple par Google pour être corrigées, que ce soit sur iOS ou macOS. (A chaque mise à jour de sécurité,regardez le détail des failles listées. 8 fois sur 10 c'est Google qu en est crédité)
Sans l'équipe Project Zéro de Google, iOS et macOS seraient infiniment moins sécurisés qu'ils ne le sont aujourd'hui
@SyMich
D’un coté oui et de l’autre ils installent leurs malwares sur tous les ordinateurs du monde.
@SyMich
Je me suis mal exprimé, je pensais plus à la confidentialité...
@SyMich
Ok mais entre iOS et Android... niveau sécurité on sait qui est meilleur
@YuYu
+10000000
@YuYu
Question pas bête que je me pose aussi. MacG, un article et / un avis sur la question ?
@YuYu
Chez Google, la faille de sécurité c’est l’utilisateur pas le service lui même , car c’est l’utilisateur qui fournit ses propres données à Google.
Le business modèle de Google ce sont les données utilisateurs. Google a donc tout intérêt à protéger les données utilisateurs pour pouvoir les vendre/utiliser pour en tirer avantages et non pas se les faire piquer.
Google est tout aussi sûre qu’Apple, peut-être même plus. On peut leur faire confiance concernant les clés FIDO.
@BarbATruc
Niveau sécurité c’est plus apple vu toutes les affaires et les paramètres qu’il y’a dans l’os selon moi
Système connu dans les milieux professionnel, mais je ne connais que la clef avec un code aléatoire à taper lors de la connexion ou la carte avec piste type CB. Chez moi au taf la même carte ouvre les sessions et aussi à passer les portes avec lecteur de carte
@fskynet67
J’ai aussi ce système mais ce sont 2 choses séparées.
Ouverture de session : carte à puce stockant un certificat
Ouverture de porte : Tag NFC. (si tu as un iPhone récent tu peux lire le tag NFC avec, ou t’en servir dans raccourcis)
Perso je serai preneur de ce genre de solution du coté de chez Apple. J’ai la majorité de mes mots de passe (sites commerçants) qui est proposée et enregistrée par Safari/Apple. Résultat quand je sors de l'écosystème Apple (au boulot par exemple) je perds en praticité.
Une telle clé me permettrait de continuer à "surfer" sur mes sites préférés pdt ma pause dej ;)
Ce type de clé ne remplace pas la saisie du mot de passe. Elle fait office de 2e facteur de sécurité (au lieu de devoir taper, en plus du mot de passe, un code aléatoire reçu par sms, ou de saisir un code figurant, par exemple, en case E6 d'une carte que l'on a reçu à domicile)
@SyMich
Outch j’ai du lire en diagonale. 😅
Bon et bien il faut créer une telle clé alors. Une première activation donne accès à notre « webthèque »
@thefutureismylife
Ça ne sert pas à cela. La clé ne stocke pas tes identifiants. Elle sert de second facteur de sécurité.
Question ? On fait comment sur iOs ? La clé marche via un adaptateur où faut une connexion directe ? Perso je verrais pour des raisons de sécurité une connexion directe obligatoire du coup sur iOs c’est utilisable ?
Il existe deja des applications qui utilisent des générateurs de nombres pseudo-aléatoires avec un horodatage comme Authy, permettant une double authentification, supposée sécurisée.
SecurID de RSA proposait ça jusqu'à ce que leur algorithme de génération de code soit cracké et ne permette plus de garantir la moindre sécurité d'authentification
Non, ce n'est pas l'algorithme qui était en cause, mais il y a eu une attaque phising sur des adresse mail des employés, une faille adobe flash exploitée, utilsant Poison Ivy por accéder aux serveurs de RSA. après, il s'agit de sécurité interne à l'entreprise. Ce n'est pas l'algorithme en soi qui a été mis en cause. Les hackers ont eu accès au graines de génération des nombres pseudo aléatoires. L'algorithme étant connu, il suffit donc t'itérer suffisamment pour accéder au Token d'un utilisateur à un instant donné. Si les graines ne sont pas stockées de manière "sure", cryptées via une méthode assez "robuste" (une bonne courbe elliptique qui a fait ses preuves sur un bon corps fini par exemple), le système OTP n'offre pas de sécurité. Sa sécurité repose sur le cryptage des graines.
Exact!
Merci pour ce rappel détaillé et très précis 👍
Le but c'est dans les cas où tu perd ton téléphone et surtout si on pirate ta carte sim
Exemple de cas où les mecs (qui ont déjà récupéré vos données personnelles type boîte mall) passe en boutique et déclare une perte de carte sim en ce fessant passer pour vous et reparte avec une nouvelle carte sim.
https://www.cnetfrance.fr/news/arnaque-a-la-carte-sim-plus-personne-n-est-a-l-abri-et-oubliez-l-authentification-a-deux-facteurs-39883869.htm
On se sert de Yubico au travail pour enclencher les déploiements en production, et c’est pas mal du tout. L’avantage: il faut avoir accès à l clef physique pour se faire pirater...