2FA : Nouvelle clé Titan en USB-C et NFC chez Google

Mickaël Bazoge |

Google a rafraîchi sa gamme Titan de clés de deuxième authentification (2FA), avec un nouveau modèle équipé d'un connecteur USB-C et du support de la NFC. Il remplace l'ancienne version USB-C disponible par chez nous depuis février 2020. Cette clé Titan rejoint la version USB-A et NFC, toujours au catalogue ; en revanche, l'ancienne clé Bluetooth avec son port micro-USB cacochyme prend sa retraite.

À l'image des clés 2FA de Yubico, les modèles de Google font office de deuxième identifiant après le mot de passe, pour s'identifier dans les services en ligne compatibles. Il suffit de brancher la clé ou tout simplement de la positionner juste à côté de l'appareil en NFC pour déverrouiller l'accès.

Si on possède un iPad équipé d'un port Lightning, Google recommande d'acheter la version USB-A de sa clé, à laquelle on joindra un adaptateur Lightning d'Apple (35 €). Sinon, le modèle USB-C suffira pour l'iPad Air 4 et l'iPad Pro. Le prix en euros de la nouvelle clé n'est pas connu (elle revient à 35 $ aux US), mais la précédente était facturée 45 €.

Test de la Yubikey 5ci, une clé de sécurité pour Mac et iPhone

Test de la Yubikey 5ci, une clé de sécurité pour Mac et iPhone


Tags
avatar lmouillart | 

Beaucoup trop gros. C'est dommage car ce type de clé est plutôt efficace.
Les HYPERFIDO Pro mini (USB-A) ou Yubikey 5C Nano (USB-C) sont quand même plus petites et pratique à garder connecté sur une machine.
Dommage aussi que peu de sites/services en tirent parti.

avatar r e m y | 

Je ne suis pas sûr que garder ces clés connectées à une machine de façon permanente soit la meilleure idée en matière de sécurité... l'idée est plutôt de les garder sur soi pour les brancher quand on doit s'authentifier et uniquement à ce moment là. Sinon on perd l'intérêt du deuxième facteur d'authentification.

De ce point de vue, les clés nfc semblent plus pratiques (il suffit de l'approcher).

avatar lll | 

J'aime l'idée d'une clé du genre mais j'ai du mal à faire confiance à Google pour la sécurité de mes données. Est-ce que ces modèles sont régulièrement testés, voire basés sur une architecture ouverte et auscultable ?

avatar 0MiguelAnge0 | 

@lll

Moi je ne suis pas à ce niveau mais un cran en dessous: vu que c’est clefs se connectent à Google, c’est une manière assez efficace pour tracer les activités. Sinon pourquoi ils ont dépensé de l’energie dans sa conception?!

avatar r e m y | 

Ces clés ne se "connectent" pas à Google! Google propose de sécuriser ses comptes Google ou GMail avec ces clés, mais si vous vous authentifiez sur un autre service compatible avec ces clés, Google n'a aucune info de votre utilisation.

avatar Sometime | 

@0MiguelAnge0

Les clés de sécurité implémentent des protocoles qui ne nécessitent pas nécessairement de se connecter a Google. Enfin il faut peut-être prendre un peu de recul: Google a tout a fait intérêt a un web sur. Ces clés permettent un web plus sur, ils ont donc intérêt a les développer.

avatar Sometime | 

@lll

Je pense qu’il faut dissocier Google la société qui utilise vos données pour se faire son beurre, de Google et ses mécanismes de sécurité. Je ne sais pas spécialement ce que Google a fait avec sa clé, mais la plupart des mécanismes 2FA sont open-source ou standards et utilisé par de nombreuses sociétés. Ensuite quoi que l’on puisse penser de la société en elle-même, ils sont loin d’être a la ramasse en sécurité, et peut-être même en avance sur Apple.

avatar thierry37 | 

Sur quels services en ligne vous utilisez ces clés 2FA?

Sur votre boîte mail de tous les jours ?
À chaque fois avec double authentification ?

Ou seulement un truc bien spécifique qui doit être mieux sécurisé ?

Je suis curieux. Je ne vois pas où ça pourrait s'appliquer chez moi... (peut être que je ne suis pas la cible)

avatar Oliviou | 

@thierry37

Oui, moi aussi je me demande où ça sert. J’utilise l’authentification à deux facteurs partout où c’est possible, je n’ai pas le souvenir que les sites m’aient proposé cette solution.

avatar Gwynpl@ine | 

@thierry37

Si j'ai bien compris l'iPhone fera office de double authentification avec iOS 15 ? Donc plus besoin de ces clés ?

avatar fylg | 

@thierry37

Je l’utilise pour tous les services sensibles comme gmail, accès extérieur au Nas Synology, comptes de réseau sociaux, Dropbox, Amazon. Sauf sur mon ordi principal qui est appareil de confiance pour ces services. Si je tente de m’y connecter depuis un autre appareil, le 2FA est nécessaire. J’utilise pour cela principalement l’application Authy sur smartphone ou sur l’Apple Watch, ce qui me semble une sécurité suffisante.

avatar scanmb (non vérifié) | 

@fylg

Pareil (+iPad)

avatar scanmb (non vérifié) | 

Je me sers de « authy twilio »; quelqu’un pourrait expliquer les + et - de ce matériel versus « authy twilio », svp ?
Belle journée

avatar Sometime | 

@scanmb

Disons que ces clés de sécurité peuvent représenter un moyen d’authentification plus sur dans certains cas. Par exemple quelqu’un qui vous hameçonne ou intercepte votre traffic aura vraisemblablement peu de mal a compromettre un compte: vous entrerez le code que le malandrin répercutera sur le service officiel. Ces clés la peuvent utiliser des mécanismes et protocoles qui peuvent limiter ce genre d’attaque.

avatar scanmb (non vérifié) | 

@Sometime
Merci pour la clarification
🙏🏽

avatar scanmb (non vérifié) | 

@Sometime

Question: qui nous « hameçonnerais », ne pourrais utiliser le code que durant 30 secondes environ ? ( comme ce sont des codes « tournant », juste le temps qu’ils changent ?)
Une clef n’a pas ce risque , également ?

avatar scanmb (non vérifié) | 

@scanmb

« Quelqu’un qui nous …. » ( mes excuses, svp)

avatar Sometime | 

@scanmb

Cela depend encore une fois du protocol utilisé. Mais les clés peuvent utiliser des mécanismes qui rendent certaines attaques caduques. En gros dans le cas du hameçonnage, qqn vous redirige vers une fausse page. Mais ce que la clé lui envoie ne sera pas valable pour s’authentifier auprès du vrai service, donc non-réutilisable et invalide pour le vrai site.
Alors qu’un code reste un code, donc tant qu’il est valide il peut-être utiliser ailleurs (c’est d’ailleurs souvent plus de 30s même s’il change toutes les 30s, pour prendre en compte les décalages d’horloges.
Enfin c’est tres grossièrement expliqué.

avatar scanmb (non vérifié) | 

@Sometime

Merci beaucoup pour cette explication très claire; et merci pour le temps accordé
🙋🏽‍♂️👍🏽

avatar Sometime | 

@scanmb

Pas de soucis, vous êtes bien aimable.
c’était un peu trop rapide et probablement trop lacunaire!

Regardez du côté des protocoles webauthn, ou u2f pour plus d’éclaircissement.
Et je crois que j’ai surtout décrit des cas un peu particuliers. Même pas sur que cela soit encore bien déployé!

Mais dans l’idée c’est:

Un code c’est un code quelque soit le site. Alors qu’une clé - qui peut aussi être utilisée comme un pseudo-générateur de code (et donc même problème) - peut aussi agir comme « répondant » a une question bien spécifique. (Challenge-response).

Pour illustrer le propose mettons que le vrai site soit: vrai.site. Vous avez un malandrin qui arrive par tout un tas de technique a vous hameçonner sur faux.site. Avec un code classique, pas trop de soucis, le faux site vous présente une fausse fenêtre, vous mettez le code, et il est utilisé par le malandrin sur le vrai site et le tour est joué.

Avec les clés, l’idée c’est que le challenge dépende de la connection (donc du site par exemple). Donc même hameçonné, votre clé va répondre a des challenges émis par faux.site. Alors que vrai.site va émettre ses propre challenges, et attendre la réponse pour authentification. Donc le malandrin a beau présenter vos réponses qu’il a capté sur faux.site, vrai.site les rejette.

Tout ca avec une bonne dose de cryptographie asymétrique qui assure qu’on ne puisse pas aisément transformer un challenge de faux.site en un challenge de vrai.site.

Bref l’idée c’est qu’au lieu d’avoir un « code » qui ne dépend pas de grand chose si ce n’est du setup initial, vous avez un « challenge-response » qui est construit sur la connexion.

Merci de me lire.

avatar scanmb (non vérifié) | 

@Sometime

Merci beaucoup pour votre explication très claire

avatar fylg | 

A quel point est ce plus sécurisé qu’un double authentification par clef tournante comme Authy ou Google authenticate par exemple? Ou est ce seulement plus facile?

avatar Sometime | 

@fylg

J’ai répondu plus haut, mais avec certaines attaques, un code peut ne pas vous protéger tant que ça: quelqu’un qui vous hameçonne ou intercepte votre traffic va tout simplement intercepter le code et le relayer vers le service qu’il cherche a authentifier.

avatar fylg | 

@Sometime

Merci c’est très clair, je n’avais pas cu votre première reponse

avatar Sometime | 

@fylg

Pas de soucis, j’ai répondu au colleague scanmb un peu plus précisément. Mais tout ceci reste une présentation assez grossière de mécanismes pas forcément déployés partout, donc bon.

A prendre avec de grosses pincettes!

CONNEXION UTILISATEUR