Si vous utilisez Dropbox, vous avez peut être raté l'annonce qu'ils ont fait le 12 Août: le service de stockage et de synchronisation dans le Cloud supporte désormais l'authentification double facteur FIDO U2F. Mais c'est quoi ?
L'authentification double facteur repose généralement sur le fait d'identifier un utilisateur par un couple login / mot de passe ainsi qu'un "deuxième facteur" qui peut être un code unique transmis par SMS ou généré par une application comme Google Authenticator ou Authy. Mais cela peut aussi se faire par le biais de "tokens" physiques , comme les générateurs RSA parfois utilisés dans les grandes entreprises :
Depuis quelques temps déjà Google fait la promotion des tokens de l'alliance FIDO de type U2F (Universal 2nd Factor). Des clefs USB très simples et peu coûteuses pouvant servir de deuxième facteur d'authentification. Pour le moment le support est limité à l'utilisation de Google Chrome ce qui limite les perspectives mais les choses vont évoluer.
Dropbox gère donc depuis quelques jours l'authentification double facteur avec une clef USB U2F. Comment ça se passe ? D'abord la première fois vous associez votre compte Dropbox à votre clef U2F (on en trouve à tous les prix même si la qualité de construction des premiers prix n'est pas folle) dans l'onglet Sécurité de vos réglages. A la prochaine connexion, suite au login depuis Chrome il vous sera proposé ceci :
Dans le cas de ma clef (la Yubikey NEO) il faut appuyer sur l'unique bouton de la clef. Et hop nous voilà connecté :-)
Il est possible d'enregistrer plusieurs clefs U2F par compte donc vous pouvez en avoir une sur un trousseau de clef de la maison et l'autre sur les clefs du bureau etc.
Pour le moment l'U2F n'est pas supporté par énormément de services : Google, Dropbox, Duo Security, OpenSSH et WordPress sont les rares à le gérer. Pour une liste (presque) à jour des services qui gèrent ce mode de double authentification, consultez le site DongleAuth.info.
Questions fréquentes
Qu’est-ce que l’authentification U2F ?
U2F signifie Universal 2nd Factor. C’est une méthode d’authentification forte qui utilise une clé physique comme deuxième facteur après le mot de passe.
Pourquoi une clé U2F est-elle plus sûre qu’un simple code SMS ?
Une clé U2F résiste mieux au phishing car elle vérifie le site avec lequel elle échange. Un code SMS ou OTP peut plus facilement être intercepté ou saisi sur une fausse page.
Pourquoi enregistrer plusieurs clés U2F ?
Il est prudent d’avoir au moins une clé principale et une clé de secours, stockée ailleurs. Sinon, la perte de la clé unique peut compliquer ou bloquer l’accès au compte.
U2F concerne-t-il seulement Dropbox ?
Non. Dropbox était un exemple cité dans l’article, mais les clés de sécurité sont maintenant utiles sur de nombreux services professionnels, notamment comptes Google, Microsoft, GitHub ou gestionnaires de mots de passe.
BoucheCousue peut-il déployer des clés de sécurité en entreprise ?
Oui. BoucheCousue peut cadrer la MFA, choisir les clés, définir les comptes prioritaires, gérer les procédures de secours et accompagner les utilisateurs.