Connexion
Abonnez-vous

U2F : la double authentification par clef USB se répand et débarque dans Dropbox

Les banques s'y mettront d'ici 2035

U2F : la double authentification par clef USB se répand et débarque dans Dropbox

Le 13 août 2015 à 14h50

Dropbox vient d'annoncer qu'il proposait lui aussi un support de clefs USB pour faciliter la double authentification de ses utilisateurs. Elles devront être compatibles avec le standard U2F de la FIDO Alliance, mais comme toujours, cela ne sera proposé qu'en complément.

Si la double authentification se fait de plus en plus courante dans les options de sécurité des services en ligne, sa mise en place peut se faire de différentes manières. Les deux plus courantes sont de passer par un code envoyé par SMS ou généré par une application, qui sera à taper une fois votre login et votre mot de passe validés.

Ce code n'étant valable que pour 30 secondes ou quelques minutes en général, il rajoute une couche de sécurité supplémentaire qui évite le piratage de tous vos comptes en cas de phishing réussi et de récupération de votre mot de passe, tout en restant simple à mettre en œuvre. C'est aussi une manière d'éviter d'avoir à manipuler de trop nombreux mots de passe pour différents services (même si cela reste conseillé pour les plus sensibles).

U2F : le standard pour renforcer la double authentification

Mais depuis quelques temps, une autre solution existe. Connue sous le petit nom d'U2F (pour Universal 2nd Factor), il s'agit d'un standard initié par Google, Yubico et NXP, qui est désormais géré par la FIDO (Fast IDentity Online) Alliance. Finalisé à la fin de l'année dernière, il assure un fonctionnement simple, tant du point de vue de l'utilisateur que de l'implémentation, mais se base sur un composant indépendant de votre smartphone.

Dans la pratique, il suffit en effet de brancher une clef USB à votre ordinateur, et éventuellement de presser un bouton pour générer un code pouvant être vérifié par un service tiers compatible. Vous devez simplement avoir lié une ou plusieurs clefs USB à votre compte pour que cela fonctionne. Un site de démonstration est disponible ici, les développeurs pourront trouver une documentation assez complète par là.

Une clef USB qui coûte entre quelques euros et 60 euros

Ce genre de clef ne coûte d'ailleurs pas très cher. Une version ultra basique coûte moins de 10 euros. Mais c'est sans doute la société Yubico qui propose la plus grande panoplie de produits avec ses Yubikey. Le modèle de base propose un espace tactile pour environ 17 euros, contre un peu plus de 30 euros pour le modèle Edge qui supporte OATH, l'intégration à Lastpass ou les mots de passe à usage uniques exploités par des services comme SalesForce ou même Keepass (voir ce guide). La version la plus complète sera la Neo, compatible PIV, OpenPGP (voir ce guide) et qui gère le NFC. Le tout pour un peu moins de 60 euros. Elle existe aussi en version ultra-compacte (sans NFC), la Neo-n.

Si n'importe quel site ou service peut exploiter l'U2F, seuls certains ont pour le moment sauté le pas. C'est notamment le cas de Google qui le propose comme une des multiples solutions de validation en deux étapes supportées. Il y a bien entendu l'application Authenticator, le SMS envoyé sur votre smartphone, mais aussi des codes à usage unique que vous pouvez vouloir utiliser en dernier recours.

Un nombre croissant d'acteurs, mais quid des sociétés telles que les banques ?

Microsoft a de son côté annoncé qu'il supporterait l'U2F au sein de Windows 10, mais à travers la version 2.0 du standard. On voit ainsi un nombre croissant de sociétés proposer un tel support, mais certaines font l'impasse. C'est notamment le cas des banques qui semblent pour le moment préférer un bon vieux mot de passe composé, le plus souvent, de quelques chiffres.

Aujourd'hui, c'est au tour de Dropbox de sauter le pas. Dans un billet de blog, le service indique en effet qu'il est désormais possible d'utiliser cette méthode de double authentification sous Chrome (les autres navigateur ne la supportant pas encore). Attention néanmoins, elle ne pourra être que complémentaire. Il faut ainsi avoir déjà activé la 2FA avec votre smartphone ou une application afin de pouvoir ensuite rajouter des clefs de sécurité comme vous pourrez le voir dans cette vidéo :

U2F : un complément pour faciliter, mais pas encore une alternative indépendante

C'est d'ailleurs l'un des regrets que l'on peut avoir sur le sujet. La double authentification via une clef U2F est un complément qui est toujours proposé pour simplifier cette procédure ou la déporter sur un produit qui ne nécessite pas de batterie pour fonctionner. Mais le smartphone est encore presque toujours requis par les services afin de pouvoir vous identifier en dernier recours, via une application ou un SMS.

Ainsi, ces clefs peuvent vous apporter une aide, mais en aucun cas être vues comme une réelle alternative indépendante pour le moment. Espérons que cela changera avec le temps.

Commentaires (43)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

La double authentification avec un élément matériel proposé au client (pas le simple SMS) existe aussi mais est facturée cher.

 

 







David_L a écrit :



C’est

assez rare (sur toutes les banques auxquelles j’ai eu accès récemment,

ce n’était pas proposé). Quelles banques de ton côté ?







 J’ai eu bossé pour la banque populaire a une epoque et ils proposaient ce genre de service (mais peut être que pour les pros). Il me semble que c’était un genre de calculette, le service web te donné un numéro a tapper sur ta calculette,et la calculette te donnait un numéro valable quelque seconde a utiliser pour se connecter.


votre avatar







philanthropos a écrit :



Ouip, souvent un code est envoyé par mail/sms (même si je préfère la seconde solution).



Après évidement, ça pose tout un tas de soucis dans le cas où tu as accès à l’un mais pas à l’autre (vol, perte, etc) ; mais dans l’absolu ça t’évite tout problème en cas de vol de CB, ce qui est le plus courant.







Plus compliqué :

À la banque populaire, tu peux faire un achat sur le net et au lieu de rentrer le code 3d secure envoyé par SMS, tu as une sorte de calculatrice dans laquelle tu mets ta carte, où tu tape ton code et en échange tu as droit à un autre code à 8 chiffres à rentrer sur le net.

Ça c’est de la grosse authentification !



Edit : c’est le pass cyberplus :



http://www.loirelyonnais.banquepopulaire.fr/portailinternet/Editorial/BanqueEnLi…


votre avatar

Ahh, il y en a qui utilisent toujours alors. Quel bordel c’était parfois niveau développement ^^.

 

 C’est elle non?http://pvtistes.net/forum/attachments/les-demarches-administratives-avant-le-dep…

votre avatar

Oui ça s’appelle le Pass Cyberplus.

 EDIT : grilled

votre avatar

Oui, c’est exactement ça.

C’est en place sur mes comptes perso et ceux de ma boîte.

Du coup, je laisse le bidule au boulot.



Même si Madame y est et que c’est elle qui la carte du boulot…

votre avatar







mickaelb a écrit :



Plus compliqué :

À la banque populaire, tu peux faire un achat sur le net et au lieu de rentrer le code 3d secure envoyé par SMS, tu as une sorte de calculatrice dans laquelle tu mets ta carte, où tu tape ton code et en échange tu as droit à un autre code à 8 chiffres à rentrer sur le net.

Ça c’est de la grosse authentification !



Edit : c’est le pass cyberplus :



http://www.loirelyonnais.banquepopulaire.fr/portailinternet/Editorial/BanqueEnLi…





Le Crédit Coopératif le fait aussi avec “Le Sésame


votre avatar

David, tu omets de préciser que cela ne fonctionne qu’avec le navigateur Google Chrome.

Les autres n’ont pas encore implémenté U2F, c’est balot.



Le détail qui tue… <img data-src=" />

votre avatar

La BNP te demande ta date de naissance… Un tour sur Facebook et tout le monde a l’info <img data-src=" />

votre avatar

Boarf, tu sais, pour accéder à mon espace perso bancaire (avec tous mes contrats, mes soldes, etc), j’ai un mot de passe que j’ai pas choisi (et qui est hyper, mais hyper simple), que je ne peux pas changer, et qui est le même depuis… 9 ans… Tout va bien (jusqu’ici) <img data-src=" />

votre avatar

Oui pareil pour moi (mot de passe de 6 chiffres).

&nbsp;

Mais ce n’est pas parce qu’on ne s’est jamais fait hacké son compte qu’il est inviolable <img data-src=" />

&nbsp;

&nbsp;Et mettre de la double authentification pour que la seconde soit aussi perméable… Autant ne rien mettre, ou n’en mettre qu’une seule bien sécurisée au lieu de deux toutes pourrites.

votre avatar







David_L a écrit :



C’est 3D Secure ça, c’est encore autre chose et uniquement pour le paiement ;)









Je dois (avec ou sans paiement 3D Secure) générer une carte virtuelle à chaque paiement, pour les virements je reçois un SMS pour valider. Quand je vois la banque de ma compagne, il faut un code à 6? chiffres pour se connecter au service en ligne et la date de naissance pour le 3D Secure <img data-src=" />



Donc oui, il reste pas mal de travail.



Ma banque c’est CMB (comme ma ….),Crédit Mutuel de Bretagne.


votre avatar

Si vous vous plaignez d’un mot de passe trop simple vous avez pas compris grand chose. Un mot de passe simple n’est fragile que si on peut le bruteforcer, dans le bancaire on a droit en général qu’a 3 essai max donc pour la bruteforce c’est pas la peine. Du coup le mot de passe doit être récupérer d’une autre façon et qu’il soit simple ou compliqué ne change pas grand chose.

votre avatar

J’ai payé mes clé 5 € pièce et elles fonctionnent parfaitement.

votre avatar







nobugging a écrit :



David, tu omets de préciser que cela ne fonctionne qu’avec le navigateur Google Chrome.

Les autres n’ont pas encore implémenté U2F, c’est balot.



Le détail qui tue… <img data-src=" />





Ouais bon, on ne va pas faire de news pour les quelques pourcents qui n’utilisent pas Chrome hein… :P


votre avatar

L’intégration OpenPGP est intéressante, mais tant que Thunderbird n’a pas intégré U2F pour faire la liaison…

votre avatar

Intéressant. Je sais pas si j’aurais le courage de systématiquement brancher une clef USB sur mon ordi pour accéder à mes mails and co mais bon <img data-src=" />

votre avatar

Les banques proposent la double authentification en general….mais ces charognards facturent le service bien cher.

&nbsp;

&nbsp;Le gros soucis des clef yuibico c’est qu’ils ne proposent pas de clef avec le cabre autour du connecteur… J’aime pas du tout (choix personnel).

&nbsp;

&nbsp;Je verrais bien en plus un lecteur d’empreinte sur la clef pour au cas où on se fait voler la clef ^^ (moi parano?)

votre avatar

Les banques font un brin de double authentification, pour payer en ligne avec ma banque, je dois absolument connaître une chose et en posséder une autre.

votre avatar

Ce n’est pas l’accès web qui est facturé ?&nbsp;

&nbsp;Perso (crédit agricole et ING) pas de surfacturation.&nbsp;

&nbsp;

&nbsp;Pour les banques, un client qui trouve une procédure compliquée = un client pas satisfait qui change de banque. elles n’ont pas intérêt pour l’instant a rendre les choses compliquées. En fait tant que le piratage de compte coûte moins cher que de perdre des clients ça se poursuivra.&nbsp;

Lorsque la fraude sera massive, elles finieront par changer.&nbsp;

votre avatar







XalG a écrit :



Les banques font un brin de double authentification, pour payer en ligne avec ma banque, je dois absolument connaître une chose et en posséder une autre.







Ouip, souvent un code est envoyé par mail/sms (même si je préfère la seconde solution).



Après évidement, ça pose tout un tas de soucis dans le cas où tu as accès à l’un mais pas à l’autre (vol, perte, etc) ; mais dans l’absolu ça t’évite tout problème en cas de vol de CB, ce qui est le plus courant.


votre avatar

C’est assez rare (sur toutes les banques auxquelles j’ai eu accès récemment, ce n’était pas proposé). Quelles banques de ton côté ?

votre avatar

C’est 3D Secure ça, c’est encore autre chose et uniquement pour le paiement ;)

votre avatar

Oui c’est le même souci pour FF&nbsp;<img data-src=" />

votre avatar

Chez HSBC il”oblige” la double authentification via un petit boitier nom securekey.&nbsp;

&nbsp;&nbsp;

Le dit boitier pouvant être remplacé par uneapplication.

&nbsp;

Je peux vous dire que c’est très très chiant au départpuis comme tout on prend l’habitude.

Il est possible de consulter ces comptes sans leboitier, mais certaines actions sont alors interdites&nbsp;

votre avatar







mickaelb a écrit :



Plus compliqué :

À la banque populaire, tu peux faire un achat sur le net et au lieu de rentrer le code 3d secure envoyé par SMS, tu as une sorte de calculatrice dans laquelle tu mets ta carte, où tu tape ton code et en échange tu as droit à un autre code à 8 chiffres à rentrer sur le net.

Ça c’est de la grosse authentification !



Edit : c’est le pass cyberplus :



http://www.loirelyonnais.banquepopulaire.fr/portailinternet/Editorial/BanqueEnLi…





ça existe pour toutes les banques (ou presque) et pas besoin de machine, ça s’appelle l’e-carte bleue à numéro unique chez un seul marchand à la fois. Quand il s’agit d’un abonnement chez un marchand celui-ci ne peut pas dépasser 12 mois avant renouvellement

&nbsp;la banque fournit un petit logiciel qu’il suffit de lancer pour avoir le numéro


votre avatar

C’est mieux (niveau protection) qu’une clef secureID (RSA) ?

votre avatar

Cette calculette existe toujours. Elle m’a été fournie gratuitement. Pour chaque opération en ligne, elle te fourni un code valable une seule fois.

votre avatar

Quand j’y pense, l’authentification par clé SSH a fait ses preuves, non? Pourquoi aucune banque ne propose ça pour une authentification facile? Après tout, celui qui arrive à générer une clé par lui-même est un super-utilisateur sous linux (y a pas ssh nativement sous windows) qui sait ce qu’il fait. Il sait donc sécuriser sa propre machine.

votre avatar

hum, même avec 3 essais c’est facile de brute forcer un mots de passe !

&nbsp;

&nbsp;le méchant hacker ne se focalise pas sur ton compte a toi mais sur l’ensemble des compte, avec 2 essai par jour sur l’ensemble des comptes, au vue du code a 5 chiffres imposé par les banques -&gt; forte chance de tomber sur un compte qui fonctionne

&nbsp;

&nbsp;2 essai par jour, tu laisse le troisième au propriétaire du compte :), tu recommence le lendemain … , d’ailleurs les outils comme snort detecte les tentatives d’intrusion lente.

&nbsp;

&nbsp;Patience et longueur de temps vaut plus que force ni que rage

votre avatar

Ici en Suisse, d’après ce que j’en sais, dès qu’on a un accès “e-banking”, automatiquement on a une double authentification. Dans certaines banques, c’est via un token matériel (petit appareil avec un écran qui affiche le code), dans d’autres banques moins à jour (comme la mienne), c’est une carte cartonnée contenant un certain nombre de codes générés à l’avance. Lorsqu’on se connecte, il faut le login (numéro qu’on ne choisit pas), le mot de passe (pas de restrictions dans les caractères, mais limite de 15 caractères…) et la carte, car le site demande un de ces codes, au hasard. C’est basique, mais ça fait son office. Bien sûr, j’aurais préféré quelque chose de plus “moderne”, mais bon…



Ah et il n’y a que trois essais possibles, après le compte est bloqué… La brute force est grandement compromise ainsi.

votre avatar

Je confirme, au crédit Coopératif, c’est la même calculette en rouge.

&nbsp;

mais elle ne sert pas de double authentification, elle permet juste de se logger avec un mot de passe temporaire à 8 chiffres et de confirmer certaines opérations

votre avatar

&nbsp;Pour qu’une identification par clé SSH soit sécurisé, il faut partir d’un postulat de base tout à fait délirant : que le poste de l’utilisateur n’est pas compromis. La moindre faille (logicielle ou PEBKAC) qui permet d’acceder au système de fichier, et pouf tout tombe à l’eau.

&nbsp;



&nbsp;Autant dire que ce ne sera jamais viable pour le grand public.

votre avatar

Juste pour info : j’avais regardé ça il y a quelques mois pour le boulot. C’est pas plutôt PayPal qui était moteur/initiateur ?



J’avais noté : Cette alliance a créée durant l’été 2012 par PayPal, Lenovo, Nok Nok Labs, Validity Sensors, Infineon, and Agnitio, mais sous l’impulsion directe de PayPal et de Validity Sensors.

votre avatar







Yangzebul a écrit :



Pour qu’une identification par clé SSH soit sécurisé, il faut partir d’un postulat de base tout à fait délirant : que le poste de l’utilisateur n’est pas compromis. La moindre faille (logicielle ou PEBKAC) qui permet d’acceder au système de fichier, et pouf tout tombe à l’eau.

 



 Autant dire que ce ne sera jamais viable pour le grand public.





C’est justement pour ça que j’ai précisé que le type qui est capable de générer une clé SSH n’est pas le premier M. Bidochon venu.


votre avatar

Au début, le boîtier “Sésame” servait pour l’authentification d’accès aux comptes en ligne, mais suite au mécontentement des clients (difficulté de se connecter à ses comptes hors de chez soi) et à l’incompatibilité avec l’application mobile (qui venait d’être développée), l’authentification est revenue à un simple mot de passe.



En revanche, le boîtier reste indispensable pour ajouter un nouveau bénéficiaire de virement (les virements se faisant sans authentification supplémentaire) et le boîtier sert à fournir le code 3D-Secure lors d’achats en ligne.

votre avatar

le système e-carte bleue repose sur un logiciel et fourni des numéros de carte bancaire aléatoires. Il n’y a pas de double authentification (double numéro) et il n’y a pas d’élément physique (une clé usb, un boîtier électronique, etc) en possession de l’acheteur en ligne au moment de l’achat. Ce n’est pas tout à fait la même chose, même si ça peut apparaître comme plus sécurisé qu’une carte bancaire internationale classique.

votre avatar

à quand la 2FA sur Paypal ! car à l’heure actuelle, ce n’est pas tellement sécurisé je trouve !

&nbsp;

hate de voir cette clé se répandre en tout cas

&nbsp;

votre avatar

J’ai travaillé sur cyberplus donc je connais un peu merci ;). Mais à l’époque ce n’était pas gratuit et/ou pour les particuliers :p

votre avatar

Générer une clef ssh, c’est 2 minutes de recherches sur google.

Même moi qui suit plutôt bon, je ne me considère pas suffisamment calé en sécurité pour pouvoir affirmer que ma machine est sécurisée.

votre avatar

C’est un peu le même principe que les clés certinomis (morpho / NIS) mais sans driver à installer (et sans le niveau de sécurité avec contrôle physique de l’identité).



C’est bien que ça se généralise pour le grand public, ça minitellise un peu plus internet mais sur certains services c’est utile.

votre avatar

moi non plus je n’affirme pas que ma machine est sécurisée.



Tu voulais peutt-être répondre à un autre commentaire, parce que je ne vois pas vraiment de rapport avec ce que j’ai écrit, erreur de fil de discussion ?

votre avatar

En effet, la citation a foiré…



Je répondais ànextinpact.com Next INpact

votre avatar

Quand ce sera supporté par FFX / Opéra / Edge / Safari et à d’autres services comme les banques ce sera certainement bien utile.

U2F : la double authentification par clef USB se répand et débarque dans Dropbox

  • U2F : le standard pour renforcer la double authentification

  • Une clef USB qui coûte entre quelques euros et 60 euros

  • Un nombre croissant d'acteurs, mais quid des sociétés telles que les banques ?

  • U2F : un complément pour faciliter, mais pas encore une alternative indépendante

Fermer