Yubikey : l’assurance protection de vos comptes IT

Yubikey

L’authentification informatique sans mot de passe est désormais une réalité. Intégrée sur les appareils récents, elle n’est pourtant pas toujours à la portée du premier venu. Appareils vétustes, refus d’utiliser un appareil privé pour des activités professionnelles : les cas sont nombreux où « passwordless » restera un vain mot. A moins que vous n’optiez pour une clé Yubikey.

Ceux qui nous suivent – régulièrement – le savent, l’authentification sans mot de passe est maintenant un sujet connu. Pour les autres, un petit rappel s’impose : sorte de version ultime de la double authentification, elle vous offre de vous connecter chez les grands acteurs du Web sans même saisir un code secret. Pour cela, votre appareil doit disposer de fonctions biométriques – reconnaissance faciale ou d’empreinte. Et vous devrez avoir utilisé une dernière fois votre compte pour enregistrer ledit appareil.

Les clés Yubikey au secours de vos vieux appareils

Bien. Mais comment faire pour généraliser l’emploi de cette technologie révolutionnaire lorsque les conditions ne sont pas remplies ? Il n’est pas rare que l’appareil utilisé pour se connecter – que ce soit un PC, un Mac ou un smartphone – ne dispose pas d’un capteur biométrique compatible. Pour les ordinateurs et mobiles les plus anciens, c’est souvent le cas. Aussi, certains utilisateurs refusent catégoriquement que leur téléphone mobile personnel soit utilisé pour procéder à ce type d’authentification dans un cadre professionnel – à tort ou à raison, c’est un autre débat.

L’utilisation d’appareils privés dans le cadre professionnel reste un sujet de débat. Que vous pouvez désormais éviter.

Pourtant, par souci de sécurité, vous envisagez de généraliser dans votre PME la double authentification 2FA/MFA (2/Multi Factor Authentication) avec passwordless qui, en plus de protéger les comptes de manière ultime, les met à l’abri des campagnes de phishing. Il est donc nécessaire de fournir aux utilisateurs qui en sont dépourvus un dispositif compatible, professionnel, et peu contraignant. C’est là que les clés Yubikey interviennent.

Commençons par lever une ambiguïté : Yubico est la marque qui fabrique les clés Yubikey, et elle n’est pas la seule sur ce marché. D’autres acteurs, tels que RSA ou Duo, fournissent aussi ces dispositifs. Tous répondent au standard FIDO2, dernière version d’un protocole d’authentification public. Les clés Yubikey ont l’avantage d’exister dans de très nombreuses variantes, couvrant ainsi de multiples cas d’usage. Elle sont aussi bon marché. C’est pourquoi nous nous concentrerons sur elles, fin de la parenthèse.

Un modèle pour chaque usage

Les modèles de clés Yubikey sont variés : biométriques ou pas, avec connecteurs USB (type A ou C), Lightning (pour les accros Apple), sans connecteur mais compatibles NFC, double compatibilité NFC + USB ou USB + Lightning. Quel que soit le type, elles ne mesurent que quelques centimètres, et trouvent aisément leur place sur un porte-clé.

Les versions biométriques disposent d’un scanner d’empreinte intégré dans le corps de la clé, qui reste pourtant épais de seulement quelques millimètres. Mais il vous faudra un appareil dans lequel l’enficher, et disposant du port idoine (USB-A/C ou Lightning). C’est la version idéale pour transformer un PC ou un Mac sans dispositif biométrique. Et sécuriser un parc existant à moindres frais.

Yubikey Portfolio

La gamme de clés Yubikey 5 Series

Pour les smartphones qui ne disposent pas de ports compatibles ou de lecteur biométrique, une version NFC existe. Cette technologie d’appairage par proximité nécessite toutefois un téléphone compatible, qui servira de relais pour la phase d’authentification. Approchez la clé du téléphone, et le tour est joué. Et pour les plus gourmands, une version NFA + USB-A existe, qui permet l’emploi combiné sur ordinateur et smartphone.

Un rapport coût bénéfice favorable

Et le coût me direz-vous ? Comptez quelques dizaines de francs à l’achat pour les modèles les plus simples. Ca reste raisonnable, et cela sera toujours moins cher que de racheter un ordinateur ou un smartphone. Surtout, vous levez toutes les réticences pour l’utilisation d’appareils privés pour réaliser la double authentification. Et enfin, vous vous ouvrez les portes du déploiement de l’authentification sans mot de passe pour protéger vos comptes.

Pour autant, vous devrez gérer un parc d’appareils supplémentaire. Car le management de ces clés n’est pas anodin. En particulier, vous aurez l’obligation de maintenir un inventaire matériel, et de disposer de processus d’entrée et de sortie de vos collaborateurs intégrant la remise et la récupération de ces clés. Car le revers de la médaille existe : une clé utilisée sur un autre appareil, privé par exemple, permettra une connexion sans mot de passe si vous ne l’avez pas récupérée après le départ de cet employé.

En tout état de cause, cela reste bien minime en comparaison des avantages apportés par les clés FIDO2 telles que les Yubikey. Car la double authentification, et encore plus la gestion des mots de passe, restent le petit caillou dans la chaussure de la plupart des PME. Pour un coût financier et organisationnel modique, ces difficultés peuvent être adressées à satisfaction. Alors, prêt à faire le pas ?