Twitter explique comment il a généralisé les clefs de sécurité à ses 5 500 employés
Le 29 octobre 2021 à 08h39
3 min
Logiciel
Logiciel
À l'occasion du #CybersecurityAwarenessMonth, Twitter explique comment ses équipes ont « intensifié nos efforts pour accroître l'utilisation des clés de sécurité afin d'empêcher les attaques de phishing », et même « réussi à migrer 100 % des comptes des employés des anciennes méthodes 2FA à l'utilisation obligatoire des clés de sécurité en moins de trois mois ». Et ce, en mode télétravail, du fait du Covid-19, auprès de ses 5 500 salariés répartis dans le monde.
L'entreprise rappelle que ces clés de sécurité « utilisent les normes de sécurité FIDO et WebAuthn pour fournir une authentification à deux facteurs résistante au phishing (2FA) ». Et qu'elles peuvent en outre « différencier les sites légitimes des sites malveillants et bloquer les tentatives de phishing que SMS 2FA ou les codes de vérification à mot de passe à usage unique (OTP) ne feraient pas ».
De plus, et « heureusement, un nombre croissant d'appareils incluent des "clés de sécurité" intégrées qui exploitent le protocole WebAuthn pour offrir les mêmes avantages de résistance au phishing ». Ces authentificateurs de plate-forme incluent FaceID/TouchID d'Apple, Windows Hello et la clé de sécurité intégrée d'Android.
« En autorisant, mais sans exiger », les appareils WebAuthn pour 2FA, les employés ont pu inscrire leurs clés de sécurité au fur et à mesure qu'ils les recevaient « sans perdre l'accès aux systèmes avant la date de basculement, qui a été partagée avec l'ensemble de l'entreprise un mois à l'avance ». Twitter a atteint « environ 90 % d'inscriptions de clés de sécurité à la date limite et avons pu atteindre 100 % dans le mois qui a suivi la coupure, alors que les gens revenaient de vacances ou de congés ».
Pour encourager une utilisation encore plus large, Twitter avait « clairement indiqué que les employés seraient autorisés à conserver leurs clés de sécurité même après avoir quitté l'entreprise ». Ce qui a permis d'encourager les employés à utiliser leurs clés de sécurité pour protéger leurs comptes personnels lorsqu'ils sont pris en charge.
Le service relève en outre que le remplacement d'une clé de sécurité est « un défi d'utilisation important, obligeant les utilisateurs à garder une trace de chaque service avec lequel ils ont enregistré une clé de sécurité et à visiter individuellement chaque service, à supprimer l'ancienne clé et à ajouter la nouvelle clé ».
Ce pour quoi Twitter a remis à tous les employés deux clés de démarrage, une principale et une de sauvegarde (cela garantit une option de secours en cas de perte de la clé primaire) et également utilisé l'authentification unique pour minimiser le nombre de systèmes sur lesquels un utilisateur doit enregistrer ses clés.
Le 29 octobre 2021 à 08h39
Commentaires (21)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 29/10/2021 à 08h57
On passe donc d’un problème d’oubli de mot de passe à un problème de perte de clé, avec un risque accru d’enfermement à l’extérieur sans moyen de s’authentifier (ie prouver son identité) pour la récupération.
Risques d’interruption d’accès et d’impossibilité de recouvrement accrus.
Par ailleurs, afin de minimiser le nombre de systèmes sur lesquels gérer des clés, on promeut des mécanismes d’authentification uniques.
Torpillage de vie privée par facilitation du traçage en règle et création de SPoF.
On remarquera aussi que l’entreprise ne voit pas de problème, et encourage même, ses employés à protéger l’accès à leurs comptes personnels avec la clé de l’entreprise, ce qui permet de bien les identifier.
Quand votre employeur s’intéresse à votre vie privée, cela devrait vous inquiéter.
Quand la sécurité prime, encore une fois, sur la confidentialité/la vie privée, donc les libertés.
C’est beau, la modernité, quand c’est bien pensé/fait.
Le 29/10/2021 à 09h18
Je ne comprends pas d’où vous tirez toutes ces conclusions.
Le 29/10/2021 à 09h51
Alors oui mais non,
Pas plus bloqué qu’en perdant son mot de passe. Sauf la facilité de “crée” un nouveau moyen d’authentification.
Le SSO (Single Sign On/Authentification Unique) c’est quand même vachement plus pratique pour gérer 1 système d’authentification unique et donc de pouvoir investir plus dessus pour le sécuriser et le rendre plus résilient, que de devoir gérer 1 système d’auth pour tous les services auxquels les employés ont besoins d’accéder et donc diviser tes ressources dessus. Et en plus dans ces services devoir faire les liens entre tes différentes identités pour pouvoir les faire fonctionner ensemble si besoins.
Et pour ton histoire de traçage, si tu te renseignais sur comment ça fonctionne tu aurais pu voir que si c’est correctement implémenter, les clé cryptographique sont unique par site et par compte! Voir ici pour la version simple et la pour la partie technique. Pour la partie technique je t’invite à regarder la partie 6.1 qui montre la création de credentials et 6.2 qui explique la partie autorisation du credentials.
Et a chaque fois dans les algorithmes il y a bien la notion qu’en fonction du site appelant (le “RpId” “RpIdentity”) et du user, la clé utilisé pour l’authentification est différente.
Donc tant que le protocole est correctement implémenter, il est impossible pour plusieurs site de relier les comptes d’une même personne juste en se basant sur les système d’authentification type FIDO/WebAuthn, et aussi pour un seul site de relier les comptes d’une même personne si il en a plusieurs.
C’est qui triste, c’est quand c’est vraiment bien fait, mais que les gens se remettent pas en question et du coup disent que c’est que de la merde. Derrière quelqu’un de pas bien renseigner va lire le dénigrement et va prendre ça pour argent comptant et propager une infox (m’est d’avis que c’est comme ça que ce commentaire est venu au monde).
C’est pas les technologie de SSO/clé FIDO qui est problématique, c’est les système qu’il y a derrière qui font tout pour contourner les sécurité que les techno mettent en place.
PS: NextInpact est entrain de se faire attaquer !
Le 29/10/2021 à 10h14
Sérieusement, tu ne vois pas de différence entre un mot de passe qui est dans ta mémoire, et pour lequel tu peux bien perdre ou brûler le papier qui te le donnait à l’origine, et une clef de sécurité, objet physique que tu peux perdre dans la vraie vie ?
Soit tu ranges cette clef dans le tiroir de ton bureau, et tu n’as rien gagné niveau sécurité ; soit tu l’as toujours sur toi, mais il y a le risque de la perdre.
Sans compter que, l’avoir toujours sur soi est une contrainte. Il suffit de voir comment ça gueule comme des gorets ici quand il s’agit d’avoir toujours un simple QR code sur soi…
Le 29/10/2021 à 10h39
C’est pour du 2FA, normalement tu as toujours le mot de passe en plus (donc la sécurité n’est pas plus faible).
Je pense que tu peux ajouter plusieurs clés. Comme ça si tu en perds une tu as la 2 eme pour ne pas être bloqué (mais bon, du coup il faut que celle de remplacement soit en lieu sur)
Pour la porter sur soi, elle se met facilement au porte clef (il parait que c’est solide), et normalement elle ne contient aucune donnée personnelle, donc pas de soucis comme pour le QR code.
Le 29/10/2021 à 10h52
Moi je vois très bien la différence entre conserver un objet physique sur moi tout le temps et conserver un mot de passe dans ma tête :
J’oublie tout le temps mes mots de passe alors que j’ ai jamais pas perdu mon portefeuille une fois ces 20 dernières années.
Le 29/10/2021 à 11h25
Nope, les mots de passe ça peut s’oublier, j’ai plus souvent perdu/oublier mon mot de passe que mon porte clé. Ça arrive un peu moins depuis que j’utilise un gestionnaire de mot de passe par contre. Mais que ça soit un mot de passe oublié, ou une clé perdu, le résultat est plus ou moins le même, tu peux pas t’authentifier. Par contre oui c’est plus simple de refaire un mot de passe qu’une clé (et ça coute moins cher).
Après si c’est bien fait, c’est pas forcément un “gros” problème de perdre la clé. Ma boite nous met à dispo un système de SSO pour les différents outils (Pc, mail, tous les sites de l’intranet etc) qui est assez pratique parce qu’il autorise plusieurs moyens d’authentification. (utilisateur + mot de passe + OTP ou SMS, soit via carte a puce + PIN). Si tu perds l’un, tu peux utiliser l’autre, mais ça reste 2 moyen relativement sécurisé en 2FA.
Pas entendu parler de ça, un problème de sur le fait que les entité était capable d’identifier les utilisateur entre eux grâce à leur compte Apple ?
ça m’arrive assez rarement, mais cette fois ci j’ai faillit perdre le commentaire a cause de ça
Le 29/10/2021 à 11h29
Pour avoir étudié, mise en place et exploité du 2FA basé sur des Yubikey pendant 4 ans pour environ 250 personnes dans la boite où je bossais, le constat est le suivant:
Pour l’oubli, je jouais avec des Yubikey “guest” préenregistré (clé AES) que j’attribues à l’ID de l’utilisateur au besoin. A minuit, un script de nétoyage qui dissocie toutes les Yubikey “guest”.
La Yubikey étant lié à l’utilisateur, et vu le tarif, quand un utilisateur quitte la boite, même pas besoin de lui demander la restitution, c’est cadeau.
Dans le cas de Tweeter de la news, avec le télétravail, il y a la clé de secours à la maison.
Et au final, j’étais beaucoup plus serein sachant que les 250 comptes était protégé par des Yubikey, plutôt que de me fier aux mots de passe des utilisateurs qui finissent tout le temps inscrits en clair dans l’application Note de leur iPhone…
Le 29/10/2021 à 10h17
Il y avait pas eu un problème sur ça entre Apple et une entité parce que les gens avaient utiliser le compte Apple pour l’authentification ?
?
Le 29/10/2021 à 10h25
Vu que je vois ce phénomène souvent, ça voudrait dire que nxi est souvent attaqué ?
Le 29/10/2021 à 10h41
Le principe du 2FA, c’est que si tu as seulement le mot de passe, ça ne marche pas. Donc il faut bien la clef, quand même.
Le 29/10/2021 à 10h46
Je pense qu’il voulait dire qu’il faut la clef+identifiant de compte + pin de la clef pour l’utiliser et que donc on peut laisser “trainer” la clef physique sans risque dans un tiroir sans risque qu’un intrus l’utilise.
Le 29/10/2021 à 11h40
En fait, des utilisateurs Apple avaient choisi le système SSO de la Pomme pour se connecter à une plateforme et à cause de quelque chose, les utilisateurs en question n’avaient plus accès à leur compte sur la plateforme parce qu’Apple SignIn avait été retiré.
Je me demande si c’est pas un truc liée à la guerre Epic <> Apple …
EDIT : https://www.iphonote.com/actu/162852/apple-desactive-sign-in-with-apple-sur-les-jeux-depic-games
Le 29/10/2021 à 12h52
Vu que personne ne connait ton mot de passe, la clé seule est inutile. Et si tu veux pas la laisser au bureau, tu peux la mettre après ton trousseau de clés, c’est un truc qu’on perd pas normalement.
Le 29/10/2021 à 13h26
La clef seule est inutile. Mais si la clef est à disposition, elle n’améliore en rien la sécurité par rapport au mot de passe seul, donc elle ne sert à rien.
Le 29/10/2021 à 13h40
Si dans un cas spécifique la clé n’améliore pas la sécurité, elle ne sert à rien.
Tu te rends compte que ton résonnement n’est pas logique ?
Le 29/10/2021 à 13h19
D’après la source de l’article , les clés recommandés par twitter sont des Yubikey 5 NFC et 5C NFC .
Il existe des concurrents avec les mêmes fonctions ?
Le 29/10/2021 à 13h45
https://fidoalliance.org/fido-certified-showcase/
A gauche de la page tu a une liste de filtre, et tu peut filtrer sur “Hardware” et “FIDO2”. ça te donnera une liste de vendeurs :) Dont un qui a un gadget qui peut utiliser l’emprunte digitale et une signature manuscrite pour valider que c’est bien toi
Le 29/10/2021 à 14h04
Très sympa le lien, je pensais aux clès de solokeys, mais elles ont moins de fonctions j’ai l’impression.
Je vais regarder ca ,
Le 29/10/2021 à 21h25
Même dans ton bureau, puisque il faut un accès physique à la clé, ça te protège au moins de toutes les tentatives de piratage qui ont lieu en ligne, ce qui doit tout de même représenter la majorité des cas.
Le 03/11/2021 à 23h07
Si elle sert surtout de se prévenir contre les attaques en ligne. C’est une affirmation assez péremptoire et c’est dommage de nier les principes de défense en profondeur puisque la clé est normalement utilisé dans une authentification 2 facteurs :
Pour accéder au compte il faut être en possession des deux. En outre il est généralement possible d’associer la clé avec un code PIN. Donc dans ce cas même quelqu’un en possession de la clé ne pourra pas l’utiliser.