Cela avait été annoncé en septembre, c'est désormais possible : vous pouvez utiliser une Yubikey pour vous connecter simplement à votre session sous Windows 10. Malheureusement, cela semble plus impliquer de sacrifices pour votre niveau de sécurité que d'avantages.

Il est possible depuis la rentrée de se connecter sur macOS de manière simplifiée avec une clef de sécurité Yubikey (voir notre guide pratique). Pour rappel, il s'agit d'un produit proposé par Yubico qui gère de nombreux standard de la génération de mots passe à usage unique, à la double authentification (U2F de la FIDO alliance).

Notre dossier clés de sécurité et connexion :

• Yubikey et Windows 10 : comment se connecter simplement à travers Windows Hello
• Ledger Hello : comment se connecter à Windows 10 avec une clé de sécurité Nano S
• Apple Watch et Yubikey : comment simplifier votre connexion sur macOS Sierra
• PQI My Lockey : un lecteur d'empreintes digitales Windows Hello à moins de 35 euros

Windows Hello enfin accessible plus largement

Elle permet ainsi déjà de faire office de Smartcard, de stocker une clef via GPG, de renforcer la sécurité de vos comptes Dashlane, Dropbox, GitHub, Google, etc. Mais en marge de l'annonce Apple, une autre avait été faite concernant Windows 10 : Yubico travaille sur le support de Windows Hello.

Pour rappel, ce terme regroupe un ensemble de solutions destinées à renforcer la connexion au compte utilisateur, notamment en proposant des procédures simplifiées mais efficaces, exploitables par les développeurs (voir notre analyse). L'exemple le plus connu, outre la gestion des empreintes digitales, est celui de l'intégration d'un dispositif de reconnaissance faciale, notamment utilisable avec les produits de la gamme Surface (et mis en avant à travers quelques publicités ridicules).

Ce dernier cas est rendu possible par l'utilisation d'une webcam « 3D » capable de gérer l'analyse de la profondeur tels que les modèles équipés par RealSense d'Intel. Malheureusement, ce dispositif est encore assez peu présent sur le marché, et il n'existe que peu de webcams tierces compatibles, comme la Stargazer de Razer (à près de 170 euros) ou la BlasterX Senze 3D de Créative (à près de 200 euros).

On attendait donc avec impatience de nouvelles possibilités, notamment l'utilisation de clefs de sécurité. D'autant plus que Microsoft gère les smartcards depuis des années. Malheureusement, aucune solution simple et propre n'était disponible, seulement de les utiliser qu'avec une machine reliée à un domaine (voir cette vidéo de Yubico).

Certains ont vu une lueur d'espoir lorsque Microsoft a annoncé la gestion de FIDO 2.0 par Windows 10 en février dernier. Mais depuis, rien n'a vraiment bougé pour le grand public : rien pour la connexion à l'OS ou même à Onedrive ou Outlook. La page de statut du navigateur Edge indique de son côté qu'aucune implémentation n'est prévue. Espérons que cela bougera rapidement, notamment suite aux annonces faites par le W3C sur la question.

Yubico tient sa promesse, une application est disponible sur le Windows Store

En fait, la seule annonce concrète était celle de Yubico de proposer un dispositif de connexion compatible avec Windows Hello. Plus précisément, elle exploite le Companion Device Framework (voir cette vidéo de Channel 9) proposé par Microsoft pour la connexion via des objets connectés, quand Hello ne peut pas être mis en œuvre à travers une solution biométrique.

Mais l'application promise n'avait pas vu le jour... jusqu'à hier. En effet, le compte Twitter de Yubico a officialisé que le Windows Store permettait désormais de télécharger (même si vous utilisez un compte local) une application permettant de se connecter de manière simplifiée si vous disposez d'une Yubikey :

• Télécharger Yubikey for Windows Hello

Comme souvent dans ce genre de cas, il y a quelques limitations. Ainsi, il faut disposer d'un Windows 10 à jour (version 1607 build 14393.21 au minimum). Vous pouvez le vérifier en lançant « winver » depuis le menu Démarrer.

Les Yubikey compatibles sont les Neo, Neo-n, 4 et 4 Nano. Pour rappel, ces deux dernières se distinguent de par une certification FIPS 140 et le support de RSA 4096 / ECC p384. Cela leur permet notamment d'être supportées par Docker, ce qui n'est pas le cas des modèles inférieurs. Notez que le modèle Neo reste le seul à gérer le NFC (notamment utile avec les smartphones Android) comme le détaille ce comparatif.

Le guide pratique mis en ligne par la société indique aussi que le mode CCID doit être activé sur la clef (ce qui est le cas par défaut depuis un moment maintenant). En cas de problème, vous retrouverez plus de détails par ici.

Yubikey et Windows 10 : code PIN obligatoire, mais pas de la bonne manière

Passons maintenant à la pratique. Pour cela nous avons utilisé une machine à jour, sous Windows 10, avec un simple compte local sans mot de passe et une Yubikey 4.

Petit rappel utile : mettre en place un mot de passe de session ou utiliser un dispositif compatible avec Windows Hello ne protège pas vos données. Elle implique juste de nécessiter des éléments pour se connecter à votre session. Pour autant, si vos données ne sont pas chiffrées, elles peuvent être lues par n'importe quelle personne disposant d'un accès physique à votre machine ou votre disque dur / SSD.

Une fois l'application Yubikey lancée, une première action nous est demandée : celle d'ajouter un code PIN à notre compte utilisateur, ce qui revient à mettre en place Microsoft Passport. Cela nécessite au passage l'ajout d'un mot de passe. Tout se déroule dans les Paramètres (Windows + i) puis dans la section Compte et Options de connexion :

Le code PIN peut être assez long, veillez donc à ne pas en utiliser un trop simple, car il permettra de se connecter à votre machine. Cela reviendrait à remplacer votre mot de passe complexe par une alternative bien plus facile à trouver (celle-ci étant déjà limitée à des caractères numériques).

Trois façons de vous connecter, sinon rien

On regrettera ainsi que cette étape soit nécessaire, d'autant plus que ce n'était pas le cas avec un dispositif de type smartcard ou sous macOS par exemple. Dans ces deux cas, un code PIN vient compléter la présence de la clef. Ici, ce sera l'un, ou l'autre.

Une fois la procédure terminée, il suffit de relancer l'appication Yubikey qui n'affiche alors plus de message d'erreur. Elle vous invite plutôt à enregistrer une clef. Cliquez alors sur « Register » et suivez la procédure.

Celle-ci consiste à insérer la clef dans un port USB. Si c'est la première fois, veillez à attendre quelques secondes que Windows reconnaisse correctement la Yubikey. Vous devrez alors lui choisir un nom, ce qui a l'avantage de permettre d'en utiliser plusieurs.  

Car même si ces produits sont résistants, ils peuvent casser ou même se perdre. Ainsi, certains disposent d'une seconde clef de secours au cas où, ou alors d'une sur leur trousseau de clef, l'autre stockée à un endroit différent, etc. 

Enfin, Windows vous demandera votre code PIN afin de vérifier que vous êtes bien un utilisateur autorisé à créer une telle association. Vous verrez alors votre clef apparaître dans l'application Yubikey. Elle ne sera par contre pas référencée dans la section dédiée à Windows Hello des Paramètres.

Une fois déconnecté, vous aurez trois possibilités : votre mot de passe, votre code PIN ou un « dispositif complémentaire », ici, votre Yubikey. Il vous suffira de l'insérer et de presser sur son bouton pour que la connexion s'établisse. Comme dit précédemment, contrairement à un fonctionnement de type smartcard, aucun code PIN ne vous sera demandé en complément.

Notez que comme pour la connexion par Apple Watch sous macOS, il ne sera pas possible d'utiliser votre Yubikey en cas de redémarrage de la machine. Votre session devra tout d'abord être initialisée une première fois à travers votre mot de passe ou votre code PIN.

Microsoft et les fonctionnalités de sécurité : il y a encore du travail

L'ensemble est donc bien pratique et fonctionnel. Mais on regrettera tout de même plusieurs choses qui semblent plutôt tenir à des choix de Microsoft : le fait de devoir passer par une application plutôt que par une implémentation dans les paramètres de Windows Hello tout d'abord. Mais surtout de devoir mettre en place un triple moyen de connexion pour pouvoir utiliser la Yubikey.

Ainsi, on aurait préféré que le code PIN puisse être utilisé conjointement à la clef pour venir le renforcer plutôt qu'en alternative. Un utilisateur qui choisit un mot de passe complexe n'appréciera sans doute pas de devoir se limiter à des caractères numériques ou au fait de permettre un accès via une clef de sécurité sans aucune vérification complémentaire.

Reste à voir si le dispositif s'améliore avec le temps et si Microsoft va revoir un peu les choses et sa manière de gérer des produits du genre et autres standards tels sur FIDO/U2F.

La société a déjà fait le choix étrange de continuer de limiter sa fonctionnalité de chiffrement Bitlocker à la seule version professionnelle de son système d'exploitation, alors que tous ses concurrents proposent cela de manière systématique depuis un moment maintenant. Ici, on voit que la belle promesse derrière Hello est dans la pratique assez limitée.

Comme Intel qui a tendance à réserver des outils comme Authenticate à ses solutions vPro, Microsoft semble avoir encore du mal à concevoir qu'un utilisateur non professionnel veut aussi assurer la sécurité de ses données, et que son système d'exploitation doit l'y aider. Et ce, sans se limiter à des démonstrations « kikoo » avec des « whooah ! » dans des vidéos promotionnelles.