Yubikey : l’assurance protection de vos comptes IT

L’authentification informatique sans mot de passe est désormais une réalité. Intégrée sur les appareils récents, elle n’est pourtant pas toujours à la portée du premier venu. Appareils vétustes, refus d’utiliser un appareil privé pour des activités professionnelles : les cas sont nombreux où « passwordless » restera un vain mot. A moins que vous n’optiez pour une clé Yubikey.

Ceux qui nous suivent – régulièrement – le savent, l’authentification sans mot de passe est maintenant un sujet connu. Pour les autres, un petit rappel s’impose : sorte de version ultime de la double authentification, elle vous offre de vous connecter chez les grands acteurs du Web sans même saisir un code secret. Pour cela, votre appareil doit disposer de fonctions biométriques – reconnaissance faciale ou d’empreinte. Et vous devrez avoir utilisé une dernière fois votre compte pour enregistrer ledit appareil.

Les clés Yubikey au secours de vos vieux appareils

Bien. Mais comment faire pour généraliser l’emploi de cette technologie révolutionnaire lorsque les conditions ne sont pas remplies ? Il n’est pas rare que l’appareil utilisé pour se connecter – que ce soit un PC, un Mac ou un smartphone – ne dispose pas d’un capteur biométrique compatible. Pour les ordinateurs et mobiles les plus anciens, c’est souvent le cas. Aussi, certains utilisateurs refusent catégoriquement que leur téléphone mobile personnel soit utilisé pour procéder à ce type d’authentification dans un cadre professionnel – à tort ou à raison, c’est un autre débat.

L’utilisation d’appareils privés dans le cadre professionnel reste un sujet de débat. Que vous pouvez désormais éviter.

Pourtant, par souci de sécurité, vous envisagez de généraliser dans votre PME la double authentification 2FA/MFA (2/Multi Factor Authentication) avec passwordless qui, en plus de protéger les comptes de manière ultime, les met à l’abri des campagnes de phishing. Il est donc nécessaire de fournir aux utilisateurs qui en sont dépourvus un dispositif compatible, professionnel, et peu contraignant. C’est là que les clés Yubikey interviennent.

Commençons par lever une ambiguïté : Yubico est la marque qui fabrique les clés Yubikey, et elle n’est pas la seule sur ce marché. D’autres acteurs, tels que RSA ou Duo, fournissent aussi ces dispositifs. Tous répondent au standard FIDO2, dernière version d’un protocole d’authentification public. Les clés Yubikey ont l’avantage d’exister dans de très nombreuses variantes, couvrant ainsi de multiples cas d’usage. Elle sont aussi bon marché. C’est pourquoi nous nous concentrerons sur elles, fin de la parenthèse.

Un modèle pour chaque usage

Les modèles de clés Yubikey sont variés : biométriques ou pas, avec connecteurs USB (type A ou C), Lightning (pour les accros Apple), sans connecteur mais compatibles NFC, double compatibilité NFC + USB ou USB + Lightning. Quel que soit le type, elles ne mesurent que quelques centimètres, et trouvent aisément leur place sur un porte-clé.

Les versions biométriques disposent d’un scanner d’empreinte intégré dans le corps de la clé, qui reste pourtant épais de seulement quelques millimètres. Mais il vous faudra un appareil dans lequel l’enficher, et disposant du port idoine (USB-A/C ou Lightning). C’est la version idéale pour transformer un PC ou un Mac sans dispositif biométrique. Et sécuriser un parc existant à moindres frais.

Yubikey Portfolio

La gamme de clés Yubikey 5 Series

Pour les smartphones qui ne disposent pas de ports compatibles ou de lecteur biométrique, une version NFC existe. Cette technologie d’appairage par proximité nécessite toutefois un téléphone compatible, qui servira de relais pour la phase d’authentification. Approchez la clé du téléphone, et le tour est joué. Et pour les plus gourmands, une version NFA + USB-A existe, qui permet l’emploi combiné sur ordinateur et smartphone.

Un rapport coût bénéfice favorable

Et le coût me direz-vous ? Comptez quelques dizaines de francs à l’achat pour les modèles les plus simples. Ca reste raisonnable, et cela sera toujours moins cher que de racheter un ordinateur ou un smartphone. Surtout, vous levez toutes les réticences pour l’utilisation d’appareils privés pour réaliser la double authentification. Et enfin, vous vous ouvrez les portes du déploiement de l’authentification sans mot de passe pour protéger vos comptes.

Pour autant, vous devrez gérer un parc d’appareils supplémentaire. Car le management de ces clés n’est pas anodin. En particulier, vous aurez l’obligation de maintenir un inventaire matériel, et de disposer de processus d’entrée et de sortie de vos collaborateurs intégrant la remise et la récupération de ces clés. Car le revers de la médaille existe : une clé utilisée sur un autre appareil, privé par exemple, permettra une connexion sans mot de passe si vous ne l’avez pas récupérée après le départ de cet employé.

En tout état de cause, cela reste bien minime en comparaison des avantages apportés par les clés FIDO2 telles que les Yubikey. Car la double authentification, et encore plus la gestion des mots de passe, restent le petit caillou dans la chaussure de la plupart des PME. Pour un coût financier et organisationnel modique, ces difficultés peuvent être adressées à satisfaction. Alors, prêt à faire le pas ?

Passkey : vers un monde sans mot de passe ?

Ah ! les mots de passe… On aimerait tellement s’en passer. Mais pour continuer à utiliser nos applications préférées, comment faire sans ? La réponse est pourtant déjà là, qui se généralise progressivement. Avec les Passkey, l’authentification sans mot de passe devient une réalité. Que vous pouvez d’ores et déjà exploiter sur de nombreux comptes. Et voici comment.

Faites l’exercice à l’occasion : demandez autour de vous ce qui est le plus pénible à gérer en informatique. Invariablement, la réponse tournera autour des mots de passe. La numérisation des activités requiert d’enregistrer un compte pour chaque système ou site que vous visitez. Et donc de créer un mot de passe. Le renforcement de la sécurité implique dorénavant de gérer une double authentification. Ce qui sécurise vos comptes – et c’est tant mieux, mais ce qui complexifie encore les choses : il faut au pire donner son numéro de mobile et saisir un code, ou utiliser une application tierce pour valider l’authentification.

Alors oui, des outils existent, qui simplifient la gestion des mots de passe, et la vie par la même occasion. Mais leur mise en place requiert un effort non négligeable. Ce qui fait que le petit carnet à spirales rempli de codes inintelligibles a encore de beaux jours devant lui. Tout de même, avec autant de technologie à disposition, est-ce qu’il ne serait finalement pas possible de se passer définitivement des mots de passe ? La solution viendra peut-être des Passkey, ou clé d’accès en bon français. Voyons comment.

Passkey : un mot de passe… en plus simple

Commençons par quelques (simples) explications techniques. Le mot de passe est un élément d’authentification que vous connaissez (« ce que je sais »). Lorsque vous vous connectez sur un système, il lui est transmis pour vérification et comparaison avec celui que vous avez saisi lors de la création du compte. Il n’y est pas est stocké en clair, mais codé, et c’est le même mécanisme de codage du mot de passe saisi à la connexion qui est utilisé avant la comparaison.

La double authentification repose en général sur d’autres facteurs, différents du mot de passe. Par exemple « ce que je possède », comme un téléphone mobile ou une clé d’authentification physique. Ou encore « ce que je suis » dans le cas d’une authentification biométrique. Cette combinaison rend l’authentification plus sûre. Mais elle repose toujours sur le fait que vous envoyez des informations au système auquel vous vous connectez, pour comparaison.

La double authentification repose toujours sur l’envoi de données liées au compte, et non pas à l’appareil

Les Passkey fonctionnent différemment. Elles utilisent les mêmes ressorts que la double authentification pour leur création : vous devez saisir votre mot de passe puis exploiter un dispositif tiers (application, appareil biométrique). Mais une fois que c’est fait, c’est seulement ce dispositif qui sera utilisé, rendant le mot de passe inutile. Par quel miracle ? La clé d’accès est en fait double et crée une relation entre votre appareil et le site auquel vous vous connectez : une clé privée réside sur votre appareil, et une clé publique est envoyée lorsque le compte est créé, et stockée sur le site.

Une relation unique avec vos appareils

Lorsque vous vous connectez avec une Passkey, il faut que cette relation entre l’appareil et le site existe. Si le site ne connaît pas votre appareil, la connexion sans mot de passe ne fonctionnera pas. Autrement dit : vous pouvez configurer votre compte avec un code aléatoire très complexe pour le protéger, car vous ne l’utiliserez pas. L’utilisation de la clé d’accès le remplacera. Et surtout, ce mot de passe n’est plus transmis par le réseau, car seule la concordance des deux clés, publique et privée, entre votre appareil et le site en question permettra de se connecter.

Vous aurez noté que la création de la clé d’accès et son utilisation sont soumises à l’utilisation d’un dispositif tiers. Et c’est justement là que les choses deviennent intéressantes. Ce dispositif peut être une application sur mobile, une clé biométrique, ou… un logiciel compatible. Sur Windows, cela s’appelle tout simplement Windows Hello. Ce programme gère depuis des années l’authentification des utilisateurs sur le système le plus répandu dans le monde. Et il est compatible avec des dispositifs biométriques intégrés à votre PC, tels que lecteur d’empreinte digitale ou reconnaissance faciale. Avec quels avantages ?

Quelques clés FIDO2 de Yubikey

Imaginez un peu : une fois le lien entre votre appareil et le site créé, l’authentification est résumée à regarder la caméra ou à toucher le lecteur d’empreinte. La Passkey fait le reste : la connexion au site reconnaît l’appareil, celui-ci vous propose de vous authentifier avec un facteur biométrique, Windows va chercher la clé privée dans le magasin des clés d’accès, l’envoie au site pour corrélation, et le tour est joué ! Magique, non ? Autre atout : puisque vous ne saisissez plus de mot de passe, vous êtes moins exposé aux attaques par phishing, qui restent le moyen de piratage le plus répandu aujourd’hui.

Le futur, c’est maintenant

Vous pouvez déjà faire l’expérience sur quelques applications compatibles. Car c’est une limitation évidemment : le site ou le système doivent supporter les clés d’accès. C’est heureusement le cas chez les grands acteurs du Web : Amazon, Microsoft, Google, etc. Comme les systèmes d’authentification se standardisent et utilisent majoritairement le Web, le nombre de ces sites augmentera rapidement. Et si vous n’êtes pas sous Windows (ça arrive), pas de panique, d’autres solutions existent : Mac est évidemment compatible avec les Passkey (via FaceID et TouchID), et vous pouvez sinon utiliser un dispositif physique tel qu’une clé Yubikey au standard FIDO2.

Si vous utilisez plusieurs appareils, chaque appareil devra créer et gérer sa propre clé, ce qui rend les choses un peu plus contraignantes, en tout cas au départ. Et pour autant, vous ne pourrez pas faire l’impasse sur le gestionnaire de mots de passe : s’il n’est plus utilisé une fois les clés d’accès en place, le mot de passe restera le facteur initial nécessaire à la création de tout compte. Mais après cela, vous oublierez rapidement cette petite contrainte initiale. Alors, prêt à faire le saut et tordre le coûts à ces satanés mots de passe ? Soyons honnêtes, vos Post-It et votre petit cahier n’ont plus de raison d’être.

Emmanuel Dardaine

emmanuel dardaine expert cloud

Prêt à vous passer des mots de passe ? On imagine que oui… contactez-nous pour savoir comment faire !