Firefox et double authentification : le support des clés de sécurité (U2F) enfin natif
Coucou Edge !
Le 19 septembre 2017 à 06h22
4 min
Logiciel
Logiciel
Cela fait des années que certains l'attendent, ce sera bientôt une réalité : Firefox va intégrer le standard U2F de la FIDO Alliance. De quoi permettre l'utilisation de clé de sécurité au sein du navigateur, et inciter un nombre croissant de services à l'utiliser.
Alors que les fuites de données se font de plus en plus courantes, se pose la question de la protection de l'accès à nos comptes en ligne. Si aucune solution parfaite n'a été trouvée, il existe une manière simple de renforcer votre niveau de sécurité sans (trop) ajouter de complexité : la double authentification.
Adoptée de manière quasi systématique par les services en ligne désormais, celle-ci consiste à compléter votre identifiant et votre mot de passe par une troisième variable qui a deux caractéristiques : elle est aléatoire et vous êtes le seul à pouvoir vous la procurer. Elle prend la forme d'un code qui vous est transmis de manière plus ou moins sûre : par SMS, à travers une application spécifique ou encore une clé de sécurité.
U2F : un standard méconnu mais en pleine expansion
Ces dernières répondent à un standard défini par la FIDO (Fast IDentity Online) Alliance : U2F. Finalisé fin 2014, il est adopté par un nombre croissant de services, de Facebook à GitHub en passant par Google, Dropbox ou encore Dashlane. Il permet de disposer d'une galaxie de solutions qui répondent aux mêmes exigences de sécurité, à des tarifs accessibles.
Ainsi, on le retrouve aussi bien dans des clés à moins de 10 euros comme dans des modèles plus complets avec zone tactile comme les Yubikey, vendues entre 20 et 60 euros selon les modèles (voir leurs caractéristiques).
Chrome joue le jeu, Edge, Firefox et Safari à la traîne
Mais il reste un problème de taille : l'adoption par les navigateurs. En effet, l'U2F est pour le moment supporté seulement par Chrome et ses dérivés. Si Microsoft l'a évoqué il y a un moment, ce n'était pas vraiment pour son intégration dans Edge, qui ne semble toujours pas de la partie, même avec la Fall Creators Update. Pour Safari il faut compter sur une extension développée par un tiers.
Le cas de Firefox était le plus étonnant, car les standards et les questions de sécurité sont en général des sujets dont la fondation Mozilla est friande. Mais là... rien, excepté une extension développée par un tiers. Un problème alors qu'ID.me, qui peut être utilisé pour se connecter à des services gouvernementaux outre-Atlantique, vient d'annoncer au Federal Identity Forum (FedID) l'intégration de l'U2F.
L'U2F natif déjà fonctionnel dans la version Nightly
Il y a trois ans pourtant, une implémentation avait été demandée. S'en est suivie une longue discussion qui a tourné en rond... jusqu'au début de l'année. On apprenait ainsi que le support de l'U2F était prévu pour le troisième trimestre, avec une intégration finalisée attendue pour Firefox 58 qui doit arriver dans quatre mois.
Mais cela pourrait arriver plus vite que prévu. Car ce week-end, de premiers utilisateurs commençaient à évoquer un dispositif fonctionnel au sein de la version Nightly de Firefox (branche 57) comme l'a repéré @Sphinx_Twitt. Nous avons pour notre part pu confirmer que tout fonctionnait bien avec une clé U2F de base et un modèle Yubikey 4, aussi bien sous Linux (Debian Stretch) que Windows 10 (Creators Update).
Pour en profiter, trois paramètres sont à activer dans la section about:config
(à taper dans la barre d'adresse) :
security.webauth.u2f > true
security.webauth.webauthn > true
security.webauth.webauthn_enable_usbtoken > true
Une fois ceci fait, il vous suffit de vous rendre sur la page de test de l'U2F proposée par Yubico afin de simuler la création d'un compte avec protection par double authentification. Votre clé devrait être reconnue, même sans extension.
Reste maintenant à modifier l'implémentation à travers les services. Car si GitHub reconnait par exemple parfaitement notre clé, ce n'est pas le cas de Dropbox ou Facebook qui ont décidé de tout simplement... limiter leur implémentation à Chrome. Tout autre navigateur sera ainsi bloqué :
Il faut donc désormais attendre que cette fonctionnalité rejoigne le canal bêta puis stable, et que les éditeurs mettent leur site à jour afin de pouvoir en profiter, mais tout est désormais en bonne voie. Espérons donc que Microsoft verra à son tour enfin la lumière concernant l'U2F.
Notez que pour contourner la limitation du support de l'U2F à Chrome, il vous suffit d'utiliser une extension permettant de changer l'User-Agent comme User-Agent Switcher.
Le 19 septembre 2017 à 06h22
Firefox et double authentification : le support des clés de sécurité (U2F) enfin natif
-
U2F : un standard méconnu mais en pleine expansion
-
Chrome joue le jeu, Edge, Firefox et Safari à la traîne
-
L'U2F natif déjà fonctionnel dans la version Nightly
Commentaires (42)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 19/09/2017 à 07h26
#1
Car si GitHub reconnait par exemple parfaitement notre clé, ce n’est pas le cas de Dropbox ou Facebook qui ont décidé de tout simplement… limiter leur implémentation à Chrome.
" />
Je me laisserai bien tenter, mais il n’y a pas de service que j’utilise compatible. A moins que ce soit facilement déployable sur des services perso (mail, blog, NextCloud) ?
Le 19/09/2017 à 07h31
#2
c’est pas dommage!
par contre le support dans Chrome Mobile est assez aléatoire (en NFC). ça a jamais fonctionné sur mon android.
Le 19/09/2017 à 07h33
#3
Notez que pour contourner la limitation du support de l’U2F à Chrome, il vous suffit d’utiliser une extension permettant de changer l’User-Agent comme User-Agent Switcher.
En fait, le standard du web c’est google/chrome…
… et tous les autres navigateurs doivent être compatibles google/chrome.
#SabButTrue
Le 19/09/2017 à 07h33
#4
c’est pas super dur à implémenter, j’avais codé un petit truc en php avec les exemple proposé par Yubico sur leur site de dev pour la page d’administration de mon site.
y’a surement des plugins pour les CMS courants.
Le 19/09/2017 à 07h41
#5
Et quels sont les exemples d’utilisation concret de ce truc?
Quid de la navigation en mode caché?
Quid de l’utilisation des données ???
Le 19/09/2017 à 07h46
#6
Le 19/09/2017 à 08h02
#7
Je crois que tu as loupé un truc dans le concept même de la clé de sécurité " />
Le 19/09/2017 à 08h09
#8
moi non plus (pluxml) mais en prenant un des exemples de yubico, je l’ai ajouté au formulaire de connexion déjà existant et c’était pas spécialement dur à mettre en place (après, ça fait quelques années, donc je me rappelle plus comment j’avais fait précisément)
Le 19/09/2017 à 08h15
#9
Le 19/09/2017 à 08h33
#10
Tiens, une raison de plus de ne pas utiliser Facebook
Le 19/09/2017 à 09h01
#11
Je pense que tu n’as pas fait les bons liens.
L’U2F est un protocole de double authentification qui se base sur un périphérique (genre une clé usb). Concrètement ça peut ressembler au SMS que ta banque t’envoie pour confirmer un achat.
La nuance, c’est qu’ici c’est pour sécuriser ton identification sur des sites (ceux qui le permettent) : tu auras donc ton identifiant, ton mot de passe et ta clé U2F. Il sera alors beaucoup plus compliqué de pirater ton compte, en tout cas pas avec identifiant+mot de passe.
La navigation en mode privée (ou cachée comme tu dis) n’a rien à voir. Il s’agit juste de ne pas stocker d’historique + cookies sur ton PC. C’est une protection de ta vie privée en local sur ton PC.
Si j’ai bien expliqué tu verras que tu étais hors sujet ;)
Le 19/09/2017 à 09h19
#12
Le 19/09/2017 à 09h21
#13
j’ai rippé, chef ! " />
Le 19/09/2017 à 09h24
#14
Si j’ai bien compris le truc est standardisé et il n’y a pas de licence proprio dessus, j’ai bon ??
Le 19/09/2017 à 09h25
#15
Ah bonne nouvelle mais ça fait encore très longtemps à attendre pour une intégration à l’ESR et surtout que ça soit mis à jour au boulot " />
Le 19/09/2017 à 09h28
#16
C’est exactement ça. Et surtout vu que tu trouves des clés à absolument tous les prix, c’était quand même une belle hérésie de pas implémenter ça rapidement sur des navigateurs comme Firefox…
Le 19/09/2017 à 09h49
#17
C’est un miracle !!!
ça me faisait mal d’utiliser ma yubikey sur un google chrome
Le 19/09/2017 à 09h59
#18
Ok en gros la plupart des gens qui utilisent ce truc sont quoi ?
En fait de créer un certificat (avec une solution logicielle dédiée) du PC utilisateur est certes moins itinérant mais revient quasiment au même. On sait que les utilisateurs seront à un moment ou à un autre “flemmard” et oublieront de débrancher. Je reconnais volontiers que cela complique les choses pour les pirates mais le problème est encore un peu le même. L’utilisateur.
Le 19/09/2017 à 10h39
#19
Le 19/09/2017 à 10h57
#20
Quelqu’un a une référence de clé U2F qui soit utilisable sur mobile (Android, probablement avec du BLE) ? Pas trop cher ? Merci.
Le 19/09/2017 à 11h00
#21
Tu entends quoi par utilisable sur mobile ? Certaines Yubikey disposent du NFC, mais c’est uniquement pour des applications spécifiques (notamment openkeychain de mémoire)
Le 19/09/2017 à 11h14
#22
Je l’ai implémenté sur mon NextCloud maison. C’est juste une extension à installer et configurer la clé via l’admin de Nextcloud.
Le 19/09/2017 à 11h20
#23
Enfin une bonne nouvelle pour firefox. Parce que pour l’instant, il y avait bien une extension, mais celle-ci avait tendance à se faire dégommer un peu trop facilement par les antivirus.
Et en plus, avec la refonte des extensions, elle n’aurait plus fonctionné. Comme bon nombre d’extensions qui protège notre vie privée qui seront désactivé avec la version 57 qui doit bientôt arriver (à moins que ce ne soit la 58, je suis plus trop sur là).
Le 19/09/2017 à 11h25
#24
J’ai jeté un coup d’œil sur la page de l’U2F de Google :
https://support.google.com/accounts/answer/6103523?co=GENIE.Platform%3DAndroid&a…
Ils préconisent du BLE pour pouvoir utiliser l’U2F sur téléphone.
J’utilise beaucoup les services Google (patapé) et beaucoup sur Android, il faut donc que je puisse relier les deux.
Le 19/09/2017 à 11h31
#25
comme dit plus haut, la Yubikey Neo (en NFC) ne semble pas fonctionner directement sur chrome mobile sur Android 7.
Le 19/09/2017 à 11h36
#26
Il est souvent conseillé d’avoir deux clés, dont une de backup.
Et généralement les sites ont une procédure pour désactiver l’U2F en cas de clé perdue/cassée.
Tout le monde ne voudra (ou ne pourra) pas suivre mon exemple mais j’ai deux YubiKey 4 (une USB-C, une USB), elles se partagent les clés TOTP (codes qui varient en fonction de l’heure, que j’utilise en méthode de double authentification alternative à l’U2F) et à chaque fois j’enregistre les deux clés dans les sites qui gèrent l’U2F.
J’utilise celle en USB-C sur mon mobile pour le TOTP via le Yubico Authenticator, mais à ma connaissance l’U2F n’est pas implémenté sur mobile.
En ce qui concerne Firefox, pour être en CC du “bug” depuis longtemps (puisque j’ai voté pour) je suis content de voir que ça bouge enfin.
Dommage que ça ne bouge qu’après que la MoFo ait fait perdre toute envie d’utiliser Firefox à beaucoup de power users, moi inclus.
Le 19/09/2017 à 11h41
#27
Bah typiquement, utilise la clé en mode TOTP avec un adaptateur USB->MicroUSB ou USB-C direct (en fonction du connecteur de la clé et de celui du téléphone).
L’application Yubico Authenticator va sortir les codes TOTP (être sûr d’avoir un téléphone à l’heure exacte !), et propose à droite de chaque code un bouton pour copier le code… il suffit alors de coller le code dans le délai imparti dans le browser ou l’application qui le demande.
À noter que le paramètre “Stockage OTG” (Paramètres/Système/Avancé) doit être actif sur Android pour pouvoir utiliser un périphérique USB dessus, que ce soit une Yubikey ou une souris.
Le 19/09/2017 à 11h42
#28
Au sujet de Facebook : l’un de membres de l’équipe qui implémente la double authentification chez Facebook, suit le bug U2F de Mozilla, et vient d’annoncer qu’ils vont faire des tests, et si c’est concluant, enlever la restriction pour Firefox.
Bref, la reconnaissance pour Firefox peut aller très vite sur les gros site.
Le 19/09/2017 à 11h44
#29
Le 19/09/2017 à 11h45
#30
Comment se déroule la procédure de “désactivation” d’une clé sur un site ? Ont-il tous le même processus?
Le 19/09/2017 à 11h51
#31
c’est généralement la même que pour supprimer toute connexion à double facteur (que ce soit sms, U2F ou mail) et n’est pas forcément la même suivant les sites.
pour info, sur mobile, tout ce qui est compatible avec Google Authenticator peut être potentiellement compatible avec Yubico Authenticator et donc une yubikey.
Le 19/09/2017 à 11h56
#32
J’ai dû le faire à l’époque où mon unique Yubikey est morte… j’aurais dû en acheter une autre en backup, mais maintenant j’ai retenu la leçon.
En gros, ça dépend des sites.
Kickstarter demande des informations complémentaires (IP utilisées pour se connecter avec succès, exemples de projets soutenus, …).
Gandi appelle carrément au téléphone pour vérifier des informations du compte (lister des noms de domaine possédés, date et lieu de naissance, adresse renseignée, …).
D’autres envoient un SMS avec un code de vérification.
Mais ça pose surtout problème pour les sites sur lesquels on n’avait pas de session ouverte, car souvent dès qu’une session est ouverte il est assez facile de désactiver la double authentification dans les paramètres, souvent en retapant le mot de passe pour s’assurer que c’est bien l’utilisateur qui fait la demande (voire là aussi une vérification par code SMS).
Le 19/09/2017 à 12h00
#33
Le 19/09/2017 à 12h19
#34
Le 19/09/2017 à 12h33
#35
Une YubiKey NEO.
Le 19/09/2017 à 12h45
#36
Il faut bien placer quelque part la ligne entre “l’utilisateur ne pourra pas retrouver son compte mais un pirate ne le pourra pas non plus” et “l’utilisateur pourra retrouver facilement son compte, et un pirate déterminé aussi”, et chaque site la place comme il l’entend.
Mais malgré tout, selon moi ça reste plus sécurisé que la “simple authentification” (y compris à mot de passe unique pour chaque site par gestionnaire de mot de passe) ou la double authentification par code SMS.
Je me souviens d’avoir lu un cas où un pirate avait appelé l’opérateur de sa cible en se faisant passer pour sa cible, pour recevoir une autre SIM et l’utiliser pour débloquer un service utilisant les codes SMS.
Tant que j’y pense, la base du 2FA est que le mot de passe et la vérification sont deux choses séparées, ainsi par exemple stocker ses clés de génération TOTP et ses mots de passe dans le même trousseau KeePass/LastPass/… (voire dans deux trousseaux avec la même clé maître) serait un contresens assez dangereux.
Le 19/09/2017 à 13h40
#37
Le 19/09/2017 à 15h09
#38
Ha ba enfin !
Mais bon le U2F c’est est trop contraignant.
Entre les browser pas compatibles, les OS pas comptabibles, narche pas avec un mobile (ba oui pas de port USB sur un smartphone).
Le second facteur le moins contraignant pour mou est le PUSH.
Le 19/09/2017 à 15h11
#39
Le 19/09/2017 à 21h19
#40
L’interface Android NFC pour l’U2F semble être une implémentation propre à Yubico, du moins c’est l’impression que j’en ai. J’aurais préféré quelquechose de plus natif à Android, mais ça ne semble pas exister ou être pratique.
Le 20/09/2017 à 12h48
#41
En même temps on sait déjà bien faire de la 2FA depuis un mobile hein " />
Le 20/09/2017 à 15h20
#42