Ledger Hello : comment se connecter à Windows 10 avec une clé de sécurité Nano S

Ledger Hello : comment se connecter à Windows 10 avec une clé de sécurité Nano S

Une pénalité en BTC à chaque essai manqué ?

Avatar de l'auteur

David Legrand

Publié dansLogiciel

16/08/2017
23
Ledger Hello : comment se connecter à Windows 10 avec une clé de sécurité Nano S

Ledger est connue pour proposer des portefeuilles matériels pour crypto-monnaies. Mais la société offre à travers ses produits d'autres fonctionnalités, comme la connexion simplifiée à Windows 10. Nous l'avons testée sur un modèle Nano S.

Il y a quelques temps, nous avions détaillé comment utiliser une Yubikey pour vous connecter de manière sécurisée à votre machine sous macOS ou Windows 10. Dans le premier cas, un support natif était exploité. Dans le second, il fallait passer par une application tierce s'appuyant sur le Companion Device Framework de Microsoft (voir cette vidéo de Channel 9).

Yubico n'est plus seule sur ce terrain, les français de Ledger ayant décidé de proposer une fonction similaire sur certains de leurs produits. La société propose depuis quelques années des portefeuilles matériels pour crypto-monnaies. Mais elle a surtout l'avantage de travailler sur des solutions ouvertes et open source.

La sécurité au-delà des crypto-monnaies

De quoi permettre d'ajouter des fonctions avec le temps, qui exploitent les éléments de sécurité intégrés à ses produits. Ainsi, de nouvelles crypto-monnaies et plusieurs plateformes sont désormais supportées : Bitcoin Cash, Dash, Ethereum, Komodo, Litecoin, Posw, Ripple, Stratis, Zcash, etc. Le tout pouvant être géré à travers l'application Chrome Ledger Manager, mais aussi via des intégrations à BitGo, Copay, Electrum, GreenBits, Mycelium ou MyEtherWallets.

Depuis le départ, le standard FIDO U2F est aussi supporté, pour une sécurité de connexion renforcée à des services comme Dropbox, Facebook, GitHub, Google ou même des applications comme Dashlane.

Des modèles comme les Nano S (ST31H320 + STM32F042) et Blue (ST31G480 + STM32L476) ont intégré un écran pour des usages plus complets. Ainsi, plusieurs applications sont en développement et accessibles via une option spécifique : un gestionnaire de mot de passe, le support d'OpenPGP Card 3.0 ou encore un agent SSH/PGP.

Plus récemment, une autre solution est apparue dans la liste des outils finalisés : Hello. 

Ledger Manager

Comment ça marche ?

Celle-ci n'a pas été officiellement annoncée, mais on en trouve une trace dans la base de connaissance du site. Pour faire simple, il s'agit comme pour les Yubikey, d'utiliser la clé comme un élément de sécurité facilitant la connexion à Windows, en connectant un élément matériel.

Vous n'aurez pas de mot de passe ou de code PIN à taper, pour peu que la clé soit connectée à votre machine. Attention, cela ne sera actif qu'une fois la machine verrouillée, notamment après une période de veille. Pour un premier démarrage ou une reconnexion, vous ne pourrez pas utiliser la clé, un peu à la manière de Touch ID chez Apple.

  • Disposer des outils nécessaires et d'un code PIN

Pour voir ce qu'il en est plus en détail, nous avons utilisé une clé Ledger Nano S et une machine sous Windows 10 (build 15063). Selon l'équipe, le système fonctionne dès la build 14393 mais il reste recommandé d'être à jour. Seuls deux de ses modèles sont concernés : le Nano S (firmware 1.3.1 ou supérieur) et le Blue.

Première étape : installer l'application Hello sur votre clé via Ledger Manager. Vous devez donc la connecter à votre machine et entrer le code PIN permettant de la déverrouiller. Installez ensuite l'application (gratuite) Ledger Hello sur votre machine depuis le Windows Store.

Il faudra alors préparer votre compte Windows. En effet, comme avec la Yubikey, il est nécessaire d'ajouter un code PIN à votre compte utilisateur, ce qui revient à mettre en place Microsoft Passport. Cela nécessite au passage l'ajout d'un mot de passe. Tout se déroule dans les Paramètres (Windows + i) puis dans la section Compte et Options de connexion :

Yubikey Windows 10 Hello

Le code PIN peut être assez long, veillez donc à ne pas en utiliser un trop simple, car il permettra de se connecter à votre machine. Cela reviendrait à remplacer votre mot de passe complexe par une alternative bien plus facile à trouver (celle-ci étant déjà limitée par défaut à des caractères numériques).

  • Enregistrer votre clé Ledger

Une fois le code PIN en place, vous pourrez lancer l'application Ledger Hello sur votre machine. Votre clé devrait automatiquement être reconnue. Il faudra lui choisir un petit nom, plusieurs pouvant être utilisées pour déverrouiller une même machine (cinq maximum).

Une confirmation, prenant la forme d'un appui sur l'un des boutons de la clé, sera demandée. Il faudra aussi entrer le code PIN de la machine pour finaliser l'enregistrement. L'interface présentera alors la liste des appareils autorisés à simplifier la connexion, avec la possibilité d'en ajouter ou d'en supprimer.

Pour tester le fonctionnement de votre clé, tapez Windows + L. Cela verrouillera la machine. Vous serez invités à choisir entre taper votre mot de passe, votre code PIN ou connecter votre clé Ledger. Il suffit alors d'y lancer l'application Hello afin que la procédure soit initiée. Par défaut, une confirmation vous sera demandée via un appui sur l'un des boutons de la clé afin de finaliser la connexion.

  • Régler quelques paramètres utiles

Dans les paramètres de l'application de la clé (Settings), deux options utiles sont proposées : le déverrouillage automatique (Auto Unlock) et le verrouillage à la déconnexion (Unplug to lock). 

Dans le premier cas, il s'agit de ne pas demander de confirmation pour finaliser la connexion. Dans le second, il s'agit de verrouiller automatiquement la machine dès que la clé est déconnectée. Pratique pour ceux qui auraient tendance à oublier de le faire dès qu'ils s'éloignent un peu trop de leur machine (il faudra tout de même penser à déconnecter la clé).

Une fonction intéressante, limitée par les choix de Microsoft

Au final, on retrouve donc un fonctionnement presque similaire à celui d'une Yubikey avec son application compagnon. Les avantages et inconvénients découlent pour la plupart des choix de Microsoft en la matière.

Le fait de passer par le Companion Device Framework impose d'utiliser un code PIN en complément d'un mot de passe, ce qui multiplie les options de connexion et donc les fuites potentielles. On apprécierait plutôt un support natif des smartcards et des certificats comme sous macOS, sans avoir à en passer par un domaine.

La mise en place par une clef Ledger apporte néanmoins un point de sécurité complémentaire par rapport à ce que propose Yubico : la protection par un code PIN géré matériellement. Pour certains, ce sera un avantage de pouvoir ainsi déporter cette étape sur un composant tiers. Pour d'autres, ce sera une contrainte puisqu'il faudra le taper à chaque fois que la clé sera à nouveau insérée ou en veille.

Là aussi, on aimerait un support natif de la part de Microsoft. On apprécierait par exemple de pouvoir utiliser un lecteur de smartcard à clavier physique avec une clef OpenPGP par exemple.

Ledger doit continuer de regarder au-delà des crypto-monnaies

Ledger montre que ses produits peuvent servir à un peu plus que la gestion de portefeuilles de crypto-monnaies, ce qui en fait des outils qui peuvent se montrer assez complet. Il faut dire qu'à près de 70 euros la Nano S, on peut s'attendre à ce qu'elle multiplie les fonctionnalités.

On regrettera néanmoins que cet aspect ne soit pas plus développé. On aimerait ainsi que le support d'OpenPGP sorte de la zone réservée aux développeurs et que le gestionnaire de mots de passe gagne en fonctions, voire que des liens soient là aussi noués avec des outils tiers pour qu'ils exploitent les possibilités de la clé via des plugins par exemple. 

Yubico a presque réussi à faire de ses produits un standard dans le secteur, du fait de leurs multiples possibilités et de leur bonne intégration. En se focalisant sur les crypto-monnaies, Ledger a réussi à trouver un angle d'attaque lui permettant de faire la différence. Mais pour réussir à convaincre plus largement, il faudra aller plus loin concernant les autres aspects de ses produits. Espérons donc que de bonnes surprises nous attendent en la matière dans les mois qui viennent.

23
Avatar de l'auteur

Écrit par David Legrand

Tiens, en parlant de ça :

Windows en 2024 : beaucoup d’IA, mais pas forcément un « 12 »

Technique contre marketing

17:36 Soft 6
Einstein avec des qubits en arrière plan

Informatique quantique, qubits : avez-vous les bases ?

Q-Doliprane sur demande

16:10 HardScience 6
Notifications iPhone

Surveillance des notifications : un sénateur américain demande la fin du secret

De qui ? Quand ? Comment ?

12:00 DroitSécu 13

Sommaire de l'article

Introduction

La sécurité au-delà des crypto-monnaies

Comment ça marche ?

Une fonction intéressante, limitée par les choix de Microsoft

Ledger doit continuer de regarder au-delà des crypto-monnaies

Windows en 2024 : beaucoup d’IA, mais pas forcément un « 12 »

Soft 6
Einstein avec des qubits en arrière plan

Informatique quantique, qubits : avez-vous les bases ?

HardScience 6
Notifications iPhone

Surveillance des notifications : un sénateur américain demande la fin du secret

DroitSécu 13

En ligne, les promos foireuses restent d’actualité

DroitWeb 16

#LeBrief : modalité des amendes RGPD, cyberattaque agricole, hallucinations d’Amazon Q, 25 ans d’ISS

Logo Twitch

Citant des « coûts prohibitifs », Twitch quitte la Corée du Sud

ÉcoWeb 26
Formation aux cryptomonnaies par Binance à Pôle Emploi

Binance fait son marketing pendant des formations sur la blockchain destinées aux chômeurs

Éco 8
Consommation électrique du CERN

L’empreinte écologique CERN en 2022 : 1 215 GWh, 184 173 teqCO₂, 3 234 Ml…

Science 6
station électrique pour voitures

Voitures électriques : dans la jungle, terrible jungle, des bornes de recharge publiques

Société 71

#LeBrief : intelligence artificielle à tous les étages, fichier biométrique EURODAC

KDE Plasma 6

KDE Plasma 6 a sa première bêta, le tour des nouveautés

Soft 13
Un homme noir regarde la caméra. Sur son visage, des traits blancs suggèrent un traitement algorithmique.

AI Act et reconnaissance faciale : la France interpelée par 45 eurodéputés

DroitSociété 4
Api

La CNIL préconise l’utilisation des API pour le partage de données personnelles entre organismes

SécuSociété 3
Fouet de l’Arcep avec de la fibre

Orange sanctionnée sur la fibre : l’argumentaire de l’opérateur démonté par l’Arcep

DroitWeb 22
Bombes

Israël – Hamas : comment l’IA intensifie les attaques contre Gaza

IA 22

#LeBrief : bande-annonce GTA VI, guerre électronique, Spotify licencie massivement

Poing Dev

Le poing Dev – Round 7

Next 99
Logo de Gaia-X sour la forme d’un arbre, avec la légende : infrastructure de données en forme de réseau

Gaia-X « vit toujours » et « arrive à des étapes très concrètes »

WebSécu 6

Trois consoles portables en quelques semaines

Hard 37
Une tasse estampillée "Keep calm and carry on teaching"

Cyberrésilience : les compromis (provisoires) du trilogue européen

DroitSécu 3

#LeBrief : fuite de tests ADN 23andMe, le milliard pour Android Messages, il y a 30 ans Hubble voyait clair

#Flock a sa propre vision de l’inclusion

Flock 25
Un Sébastien transformé en lapin par Flock pour imiter le Quoi de neuf Docteur des Looney Tunes

Quoi de neuf à la rédac’ #10 : nous contacter et résumé de la semaine

44
Le brief de ce matin n'est pas encore là

Partez acheter vos croissants
Et faites chauffer votre bouilloire,
Le brief arrive dans un instant,
Tout frais du matin, gardez espoir.

Commentaires (23)


127.0.0.1
Hier à 11h38

hum… pour résumer:





  1. installer l’application Hello … et entrer le code PIN.


    1. Il faudra alors préparer votre compte Windows… il est nécessaire d’ajouter un code PIN.

    2. Une fois le code PIN en place .. Il faudra lui choisir un petit nom.

      Cela ne sera actif qu’une fois la machine verrouillée, notamment après une période de veille.
      Pour un premier démarrage ou une reconnexion, vous ne pourrez pas utiliser la clé.


      C’est encore léger en MAF (Michu Acceptance Factor). <img data-src=" />



Morveus Abonné
Hier à 11h39






127.0.0.1 a écrit :

C’est encore léger en MAF (Michu Acceptance Factor). <img data-src=" />



Globalement la crypto c’est pas super Michu-compliant, notre support client commence à le sentir <img data-src=" />



David_L Abonné
Hier à 11h48

Oui et non, le système de PIN est “poussé” par défaut par MS, un peu comme avec les appareils mobiles. Le but c’est de proposer une alternative simple et spécifique à la machine en complément du compte MS. Après si tu fais du compte local au départ, ça fait doublon et dans tous les cas c’est un peu usine à gaz.

Donc forcer à passer par ça pour utiliser le framework c’est un peu lourdingue en soi. Mais plus du fait de MS que des éditeurs tiers pour le coup, comme on le voit avec Apple qui gère nativement les certificats et qui du coup peu fonctionner avec une clef et un PIN bien plus simplement.

Mais chez MS c’est possible uniquement s’il y a un domaine, comme dit dans le précédent papier, pour MS il y a encore bien trop la mauvaise habitude du Sécurité = Pro.


TGViYXJidTgy Abonné
Hier à 11h59

Je crois surtout que Mme Michu à +80€ la clé Nano S, comment dire <img data-src=" />

C’est le prix de [insérer un truc…ici] et la sécurité de son PC/Mac, comment dire <img data-src=" />


127.0.0.1
Hier à 12h01

Ah mais je ne dis pas que c’est la faute de Ledger (ou celle de Microsoft).
Je note juste que la solution globale est à la fois complexe et restrictive.

Pour moi, c’est du même acabit que mettre en place le chiffrement des emails .

Effectivement, il serait temps que MS propose quelque chose de simple et activé par défaut pour les ordinateurs domestiques (et si possible avec un protocole ouvert/extensible).


jb18v
Hier à 12h17

(il faudra tout de même penser à déconnecter la clé).

&gt; suffit de se l’attacher au poignet, avec un fil d’un bon mètre, et quand on part on met le pc par terre on débranche la clé <img data-src=" /><img data-src=" />


127.0.0.1
Hier à 12h26






David_L a écrit :





Quelques questions supplémentaires (je vais aller regarder le site Ledger pour comprendre):


Pour tester le fonctionnement de votre clé, tapez Windows + L. Cela verrouillera la machine.
Vous serez invités à choisir entre taper votre mot de passe, votre code PIN ou connecter votre clé Ledger.
Il suffit alors d’y lancer l’application Hello afin que la procédure soit initiée.


Ca signifie qu’une application se lance alors que la station est toujours officiellement verrouillée ?


Dans les paramètres de l’application de la clé (Settings), deux options utiles sont proposées : le déverrouillage automatique (Auto Unlock) et le verrouillage à la déconnexion (Unplug to lock).


Heu… donc ce n’est plus du U2F (2nd Factor) mais une “login key” (enfin une “unlock key”)



Patch Abonné
Hier à 12h32






Morveus a écrit :

Globalement la crypto c’est pas super Michu-compliant, notre support client commence à le sentir <img data-src=" />

Tu peux même élargir à la sécurité en général… Beaucoup de gens ne voient pas d’intérêt réel à la sécurité (surtout informatique/électronique), et s’en foutent complètement.



jb18v
Hier à 12h40






Patch a écrit :

Tu peux même élargir à la sécurité en général… Beaucoup de gens ne voient pas d’intérêt réel à la sécurité (surtout informatique/électronique), et s’en foutent complètement.


ou la sauvegarde..<img data-src=" />



David_L Abonné
Hier à 12h52

  1. Tu lances l’app sur la clef pour qu’elle puisse être reconnue par ta machine pour le login


    1. Le login Windows utilise un dispositif spécifique. Mais la clef permet aussi de gérer U2F, c’est juste une app différente, tu peux passe d’une app à une autre assez simplement sur la clé :)



David_L Abonné
Hier à 12h53

Jusqu’à l’incendie/innondation/whatever <img data-src=" />


127.0.0.1
Hier à 13h04

ah… gnavé pas kompri que c’était l’application java sur la clé… <img data-src=" />


Stel
Hier à 13h32

Il existe pas un équivalent sur PC au déblocage de l’iphone ( par empreinte digitale ) ?
J’aimerais bien un truc simple avec le disque dur chiffré, et le pc qui démarre windows avec un déblocage par empreinte, par exemple avec une clef usb et le lecture d’empreinte sur la clef.

Parce que là, leur histoire de mot de passe et de code pin à la con, c’est tout sauf intuitif…… <img data-src=" />


David_L Abonné
Hier à 13h40

Si, via Windows Hello :) On en reparle très bientôt ;)


WereWindle
Hier à 14h08






David_L a écrit :

Si, via Windows Hello :) On en reparle très bientôt ;)


ce teasing encore plus balaise que ceux des keynote Apple <img data-src=" />



tubezleb
Hier à 18h34

Sinon oublier pas de dire que Legder c’est Français quand même<img data-src=" />


127.0.0.1
Hier à 18h37

A noter l’outil résident “USB Raptor” (open-source) qui permet de locker/delocker son PC windows par la détection d’une banale clé usb contenant un keyfile.

https://sourceforge.net/projects/usbraptor


WereWindle
Hier à 07h26






tubezleb a écrit :

Sinon oublier pas de dire que Legder c’est Français quand même<img data-src=" />


tout à fait… oubli tellement grand qu’il n’apparait que dans le deuxième paragraphe alors qu’il aurait fallu l’écrire tous les 2 mots…



127.0.0.1 a écrit :

A noter l’outil résident “USB Raptor” (open-source) qui permet de locker/delocker son PC windows par la détection d’une banale clé usb contenant un keyfile.

https://sourceforge.net/projects/usbraptor


[mode Dr Grant] Vous avez créé des raptors ??! [/mode]



David_L Abonné
Hier à 08h58

Sinon il y a le verrouillage dynamique dans Windows 10 hein <img data-src=" />


127.0.0.1
Hier à 09h06

Tu as audité le code du verrouillage dynamique de Windows 10 ? Pas moi. <img data-src=" />


suomii
Hier à 20h39

Bon du coup soit je ne comprends pas le principe soir c’est un truc de fénéant (je pense plutôt pour l’hypothèse 1 mais bon)
Si je comprends bien afin de ne pas avoir à se taper un mot de passe à chaque login / verrouillage, on peut utiliser cette clef. Mais son utilisation necessite de dégrader la sécurité du compte en mettant en place un code pin numerique en lieu et place d’un code alphanumérique plus complexe … ?!? Quel est donc l’interet ?


David_L Abonné
Hier à 06h09

Comme dit, dans l’esprit de MS, le PIN est complémentaire au compte en ligne qui est identique sur toutes les machines. Du coup, le PIN est un code spécifique à l’appareil, un peu comme on peut l’avoir pour un smartphone (où on s’offusque moins d’avoir un code numérique, surtout que là au moins ça sert le plus souvent de base au chiffrement de l’appareil au moins).&nbsp;

Après, la clef ou tout autre moyen permet surtout d’ajouter une couche physique, avec la possibilité d’avoir un mot de passe de base et un PIN complexes, mais une clef qui vient compléter l’ensemble avec un élément qui ne dépend pas de frappes aux clavier.&nbsp;


suomii
Hier à 21h13

Sauf que sur un smartphone on ne peut pas s’autentifier pas sur le compte Google ou apple au démarrage alors que sur un PC c’est justement le cas. Que le compte soit local ou en ligne, sans login / mot de passe pas d’accès à la machine - je ne vois donc pas où est la sécurité supplémentaire surtout si le code pin est plus faible