La connexion sur les sites internet nécessitent de plus en plus de solutions de sécurité personnalisées. Alors qu’il suffisait souvent de connaitre simplement son mot de passe pour se connecter, ce n’est aujourd’hui largement plus suffisant pour les sites ou logiciels contenant des informations confidentielles.
Il a donc été imagine des solutions basées sur ce que l’on nomme 2Auth= 2FA = double facteur d’authorisation.
La connexion en deux étapes se base sur
- ce que vous savez : votre nom d’utilisateur et mot de passe plus ou moins compliqué
- et rajoute une seconde couche de sécurité basé sur ce que vous possédez : un numéro de téléphone / un sms reçu et depuis quelques temps déjà un matériel dédié à votre authentification : un téléphone, une applis sur ce téléphone, un générateur de code topt pour certaines banques, ou une clé de sécurité fido/fido2/udf…
C’est cette seconde étape que le hacker aura du mal à contourner
Un moment les détecteurs d’empreinte ont été utilisés, mais il est demontré qu’il est assez facile de contourner cette sécurité avec des techniques de copie d’empreinte : celles que vous laissez sur votre appareil.
La reconnaissance faciale soulève des soucis de sécurité à long terme car en cas de piratage de vos données biométrique vous ne pourrez pas les changer. Il n’est pas donné à tous d’être à l’instar d’Arya Stark un sans visage !
Si pendant un moment il à été conseille d’utiliser les solution 2Auth par sms ou message vocal : a chaque tentative de connexion vous recevez un code par sms ou un message vocal. Démocratisé par Google pour Gmail mais aussi Ebay / Dropbox / Microsoft, etc…. ce n’est carrément plus le cas aujourd’hui voire même complètement déconseillé car il est devenu assez simple de pirater vos sms ou votre téléphone (pour recevoir le code à votre place), d’essayer de se faire passer pour un service support et vous demander le code reçu, voire quand le hacker ne réussit pas encore plus simplement a convaincre votre operateur de vous (lui) envoyer une nouvelle carte sim en remplacement…
Il est donc actuellement conseille d’avoir plutôt un produit materiel pour remplir cette fonction 2FA. Certaine banque proposent par exemple des sortes de calculette comme la cyberpass de la banque populaire
Ces clef ne sont toutefois reservées que pour un seul service
Pour Gala : aprés avoir testé l’inscription sur Kraken il semble que le service Kraken ne supporte que les Clef USB Yubico 5 / 5NFC / 5C / 5C NFC, la version NEO et les versions FIPS140 aux normes militaires. Les infos suivantes seront donc plus utiles de façon générale pour la connection sur des sites Web ou certains gestionnaire de mot de passe comme Bitwarden / Dashlane / LasPass…
Pour votre usage sur de multiples sites / services il existe donc des produits plus universels tel que les yubikey de Yubico l’acteur historique et quasi créateur de cette gamme de produits, mais aussi les clef Winkeo fabriquées en France, les clef OnlyKey, les clefs Google / Feitian Multipass FIDO U2F qui ont l’avantage d’exister en Bluetooth pour l’identification sur votre téléphone, etc….
Yubico propose actuellement la gamme des Yubikey 5 avec ou sans nfc sans fil compatible android / iphone ainsi que des modeles ultra réduits pouvant rester en permanence sur un poste (attention dans ce cas la securité physique doit être assurée)
Un modèle générique fabriqué par ChipNet avec support USB + NFC (FIDO U2F Security Key) pour PC, Mac et appareils mobiles Android avec NFC
Une clef Winkeo Red de Neowave Conçue et fabriqué en France en mode connectée en USB A sur ordinateur. Cette clé de sécurité anti-phishing est conforme aux spécifications FIDO2 et FIDO U2F. FIDO2 compatible avec Windows 10, Azure Active Directory… FIDO U2F compatible avec Gmail, Google Apps for Work, Facebook, Dropbox, GitHub, WordPress… Compatibilité étendue (Salesforce, Office 365…) à travers des services de fédération d’identité (WebSSO). Produit labellisé « France Cyber Security ». C’est la clef de secours que j’utilise. Ou sa petite soeur Winkeo Blue avec moins de fonctions (Pas compatible FIDO 2)
ONLYKey , un autre type de clef (c’est celle que j’utilise), unique en son genre. Elle est un peu plus complexe a paramétrer mais elle à l’avantage de nécessiter un des deux code PIN de sécurité (7 chiffres) avant de pouvoir l’utiliser (comme sur votre téléphone mais avec seulement six touches physique). Si on vous la vole ou sous la contrainte, au dixième essai elle s’efface et se bloque. En cas d’erreur on peut réinstaller une sauvegarde de la configuration. Actuellement (Janv 2021) elle est indisponible sur amazon mais dispo sur le site du fabricant . Peut être bientôt une nouvelle version ?
Cette clef est aussi utilisable pour stocker plusieurs mot de passe complexe. chacun des deux codes PIN permet d’attribuer une fonction a chaque touche (total 12 touches) Je l’utilise par exemple pour saisir le mot de passe administrateur sur mon pc ou le mot de passe d’un compte mail sécurisé. On ne peut pas lister toutes les fonctions / compatibilité : Google Authenticator (TOTP), Yubikey® compatible OTP et Universal 2nd Factor (U2F). Son principal défaut est l’absence du NFC
Pour les téléphones il est possible / préférable d’utiliser des clef sans contact soit en NFC (par exemple la clef USB Yubico 5 NFC ou en version USB-C la 5C NFC) ou des clef Bluetooth comme par exemple les Google Titan fabriquées par la société Chinoise Feitian un des leader du marché des solutions crypto pour les banques.
La clef Feitian supporte les communications sans fil alimentée par USB, NFC et Bluetooth BLE; supporte Chrome OS, Windows, MacOS, Linux, Android et iOS et sont identifiées en tant que périphérique USB HID. Elle integre une batterie rechargeable.
Les clef Feitian usb / nfc / bluetooth ble sont disponibles sur amazon ….
Et enfin il existe une clef Yubico spéciale compatible avec le connecteur iphone / ipad Apple Lightning et USB-C ce qui en fait la clef idéale en environnement Apple Iphone / Mac et PC Windows récent.
Ces clef sont pour certaines assez simple à configurer, parfois un peu plus complique mais n’hesitez pas à faire appel à mes services pour un conseil / achat / installation…
ATTENTION : comme tous materiel il est possible de casser perdre une clef. il est imperatif d’avoir une clef de secours configurée sur le même site / service et de noter en secours les codes confidentiel 2Fa si c’est prevu
Il est également possible d’utiliser une application sur votre téléphone en clef principale ou en complément.. au choix les logiciels Google Autheticator, Microsoft Auth, Authy, etc….. ce sera un autre article…
PS : En tant que Partenaire Amazon, l’utilisation de lien d’affiliation pour vos achats me permet de recevoir un avantage financier de la part d’Amazon sans aucun surcout sur votre achat. Je ne fait la promotion de produits sur Amazon que s’ils présentent un réel avantage financier pour vous ! Je ne suis en aucun cas vendeur des ces produits même si sous certaines conditions je suis amené à recevoir une rétribution de la part de Amazon si votre achat est bien pris en compte. Ces produits sont disponibles en vente sur d’autre site parfois moins cher mais souvent avec des frais de port ou délais de livraison plus long que les achats que vous pouvez effectuer sur Amazon en adhérant au programme Amazon Prime.
Vous pouvez essayer PRIME pendant 30jours sans engagement ni frais !