Connexion sans mot de passe avec une clé matérielle

Pour remplacer les mots de passe, les gestionnaires de mots de passe et l'authentification à deux facteurs, une solution simple et conviviale se propose : une clé USB. Il ne sera plus nécessaire de vous fier à votre pauvre mémoire, de recevoir des textos sur votre téléphone, ou de voir vos comptes si facilement compromis.

Connexion sans mot de passe avec une clé matérielle
Sommaire

Connexion sans mot de passe

On peut aujourd'hui se connecter aux services numériques, tels que le courriel, les médias sociaux, les services de sauvegarde en ligne, les comptes commerciaux, et les services infonuagiques sans mot de passe. En plus, cette technologie est plus sécurisée que votre système actuel.

Cette technologie est axée sur les clés de sécurité matérielles. Ces appareils, qui ressemblent à des clés USB, s'insèrent dans le port USB d'un ordinateur.

  • Passkey d'Apple
  • Authentification passwordless
  • Webauthn
  • FIDO2
  • Clé de sécurité matérielle
  • Chiffrement à clé publique et privée (avec appareil physique)

Les termes ci-dessus, introduits par des technologues, décrivent un système complexe d'authentification électronique axé sur la cryptographie. On dirait que c'est tout très compliqué.

En vérité, chaque terme représente un nouveau processus convivial et sécurisé pour se connecter aux comptes en ligne. Toutefois, le sujet principal de cet article est FIDO2. Ce moyen d'authentification consiste en une idée très simple pour accéder aux comptes en ligne : un verrou et une clé. Cette clé est un appareil physique qui peut s'attacher à un porte-clés, comme celui qui repose près de votre porte d'entrée.

/images/fido2.png

FIDO2 est une norme ouverte, adoptée par la plupart des importants services numériques. Au cours des 5 prochaines années, il deviendra de plus en plus courant comme méthode d'accéder aux comptes en ligne.

Désormais, vous n'aurez besoin que de votre clé pour vous connecter aux services sur Internet. Le «verrou» est adapté uniquement à votre clé.

Pour remplacer les mots de passe, les gestionnaires de mots de passe et l'authentification à deux facteurs, une solution simple et conviviale se propose : une clé USB. Il ne sera plus nécessaire de vous fier à votre pauvre mémoire, de recevoir des textos sur votre téléphone, ou de voir vos comptes si facilement compromis.

Plus important encore, Apple a adopté cette technologie et l'a intégrée dans ses produits, donc sa généralisation est garantie.

Cependant, FIDO2 est une norme ouverte, donc pas le produit exclusif d'Apple. Il est disponible sous une variété de formes vendues par une variété de fournisseurs. Nous verrons dans les sections ultérieures que d'autres marques ont plusieurs avantages par rapport aux versions d'Apple.

Obtenir une clé matérielle

Un consommateur dispose de plusieurs choix quant à la technologie FIDO2, mais ici j'examine uniquement la clé matérielle. En particulier, cette section de l'article et celles qui suivent démontrent l'usage d'une clé matérielle produite par OnlyKey.

OnlyKey est un produit de matériel et de logiciel libre. Les clés génériques manquent certaines de ses fonctionnalités, mais celles-ci sont peut-être trop pour les gens qui veulent simplement se connecter sans mots de passe.

C'est l'embarras du choix : il y a plusieurs clés génériques qu'on achète au magasin ou en ligne, et les derniers modèles de YubiKey ou de NitroKey. Toutes ces clés utilisent la technologie FIDO2.

Une clé matérielle est un appareil physique qui contient une clé privée électronique. Chaque service numérique a une «porte» dont le «verrou» s'appelle une «clé publique». On ne peut pas ouvrir la porte et entrer sans la clé privée.

Le système est conçu tel qu'il est impossible d'ouvrir la porte sans la clé ou même de reproduire cette clé. Le chiffrement à clé publique et privée est axé sur des mathématiques qui rendent ce système plus sécurisé que la plupart des systèmes de mot de passe.

Configuration de la clé

On insère la clé matérielle dans le port USB de l'ordinateur, comme on fait avec toute clé USB.

/images/onlykey1.png

/images/onlykey2.png

La différence entre les deux : la clé de sécurité ne stocke pas de données dans sa mémoire. Sa raison d'être est de stocker une seule clé numérique de façon que le code demeure intouchable.

Une clé FIDO2 est très facile à configurer. Elle sert à vous aider à accéder aux services et aux applications sur votre ordinateur, tablette ou téléphone intelligent. Elle fait déjà partie de votre système d'exploitation.

Pour ajouter une connexion par clé matérielle à un compte, il suffit d'insérer la clé, d'ouvrir les paramètres, et de cliquer sur «Clé de sécurité» dans les options d'authentification. Ensuite, suivez les instructions, habituellement de trois étapes.

La clé de sécurité ajoutée, chaque fois que vous ouvrez une session avec la clé matérielle insérée dans l'ordinateur, votre navigateur la détectera et vous donnera accès à votre compte tout de suite.

Aucun mot de passe n'est nécessaire.

Certains services vont encore plus loin : ils ne demandent même pas un nom d'utilisateur.

Tout comme rentrer chez vous, vous n'avez besoin que de votre clé pour ouvrir la porte.

Génial, non ?

Bien sûr, comme il s'agit d'une nouvelle technologie, il y a plusieurs leçons à apprendre et à retenir.

Les prochaines sections traiteront de plusieurs questions importantes. Par exemple :

  1. Perte d'une clé : pourquoi il serait mieux de perdre votre clé matérielle de sécurité que votre téléphone
  2. Sauvegarder une clé : n'enfermez pas votre clé dans la copie de sauvegarde !
  3. Authentification à deux facteurs basée sur le temps
  4. Les mots de passe existeront toujours et ne seront probablement jamais remplacés
  5. Utiliser une clé matérielle plus complexe, telle que OnlyKey, pour avoir accès à toutes les options (FIDO2, l'authentification à deux facteurs, stockage des mots de passe, copies de sauvegarde)

Perte d'une clé

La clé de sécurité matérielle d'Apple s'appelle «Passkey». Le système d'authentification propriétaire (c'est-à-dire, malfaisant) d'Apple y est intégré, y compris AutoFill et les applications d'authentification biométrique Face ID et Touch ID. Celles-ci peuvent se synchroniser sur plusieurs appareils Apple en utilisant le trousseau iCloud.

C'est génial si on veut perdre toute sa liberté et se faire asservir par le matériel le plus cher sur le marché. Or, pour la plupart des travailleuses et des travailleurs, ceci n'est pas une option acceptable. Peut-être que pour la première fois, ce n'est pas le meilleur matériel non plus.

Est-ce une bonne idée d'utiliser votre iPhone comme clé de sécurité ? Vous l'avez bien avec vous en tout temps (étant l'esclave de votre profil numérique), vous y êtes collé 24 heures par jour et lorsqu'il est question de le partager, vous n'êtes pas généreux. Donc, c'est assez sécurisé.

Le problème survient lorsque vous le laissez tomber et il se brise. La plupart des téléphones intelligents sont conçus dans l'esprit de l'obsolescence planifiée. Ils sont fabriqués en verre, sont fragiles, et se noient dans quelques gouttes d'eau.

La solution Apple («vous nous appartenez, vous louez notre technologie») est une sottise. Si on brise son téléphone, on n'est pas capable d'accéder à ses comptes en ligne, à moins qu'on ait les dernières versions des autres appareils Apple.

L'alternative est d'obtenir un appareil spécialisé : une clé de sécurité matérielle. Elle ne fait qu'une seule chose, la fait très bien et ne fait presque rien d'autre.

La plupart des clés sont résistantes à l'eau et à l'écrasement, ne se brisent pas quand elles tombent par terre, sont très petites et discrètes, s'attachant à un porte-clés.

«Et si je perds mes clés ?», vous me demandez. C'est emmerdant, bien sûr. La clé matérielle est toujours la meilleure option. On peut créer une copie de sauvegarde de la clé sur une autre clé et mettre cette copie dans un endroit sûr. Une nouvelle clé ne coûte que la fraction d'un nouveau téléphone, donc on peut s'en acheter plusieurs sans faire faillite.

En plus, on peut laisser des instructions et la copie de sauvegarde dans un endroit sûr afin qu'une autre personne puisse accéder à vos comptes en cas d'urgence. Si vous vous faites kidnapper après une manifestation par des fachos qui vous jettent d'un hélicoptère, votre iPhone sera moins utile. Ou dans des scénarios plus probables, bien sûr.

Sauvegarde d'une clé

Est-ce que vous vous êtes déjà enfermé dehors en laissant la clé de la maison ou de l'auto en dedans ?

Est-ce que vous avez déjà enfermé dans une copie de sauvegarde chiffrée la clé cryptographique dont vous avez besoin pour ouvrir cette copie ?

Moi, oui.

S'enfermer dehors est un problème qui peut se produire dans tout système de sécurité. On peut créer des copies de sauvegarde de la plupart des clés privées FIDO2 (la clé cryptographique stockée dans la clé de sécurité matérielle). Mais assurez-vous de ne pas utiliser la même clé pour chiffrer l'accès à la copie de sauvegarde !

Les meilleures stratégies seraient de se préparer une copie de la clé FIDO2 sur une deuxième clé matérielle comme copie de sauvegarde, ou de garder une clé de secours sur un autre appareil sécurisé, ou même sur une feuille de papier.

Avec OnlyKey, ceci est très simple. On peut facilement exporter la clé à un fichier sécurisé par un mot de passe. (Hélas, encore un autre mot de passe !) On peut ensuite le stocker ou l'imprimer sous forme d'un code QR et le mettre dans un endroit sûr, tout comme la clé qu'on donne à un voisin en qui on a confiance (est-ce une situation vraisemblable ?) ou qu'on garde dans un coffre-fort.

D'autres clés offrent des solutions semblables. L'essentiel est de s'assurer d'avoir une clé de sauvegarde ou une deuxième clé qui est capable d'accéder à la copie de sauvegarde et qui n'exige pas la clé originale.

N'oubliez pas : ne vous enfermez pas dehors !

Authentification à deux facteurs avec TOTP

L'authentification à deux facteurs avec TOTP (Time-based One-time Password - algorithme de mot de passe à usage unique basé sur le temps) est le protocole original de FIDO. Vous l'avez déjà utilisé si, par exemple, vous avez dû recevoir un code par message SMS pour accéder à un compte. Parfois, l'application d'authentification, comme Google Authenticator, vous demande de saisir un code après votre mot de passe.

Cette méthode d'authentification peut fonctionner autrement que par le biais de textos ou d'une application d'authentification. La plupart des clés FIDO et FIDO2 peuvent l'utiliser.

Pour répéter : même si on perd son téléphone, on peut utiliser une clé de sécurité pour effectuer une authentification à deux facteurs.

Les codes aléatoires à six chiffres qu'on reçoit dans un texto n'ont rien de spécial. Ils sont basés sur les normes TOTP/FIDO, donc une clé de sécurité peut remplacer ce système.

Bon nombre de systèmes de connexion abandonneront bientôt les normes TOTP/FIDO en faveur du système FIDO2. Pour le moment, ce serait une bonne idée de configurer votre clé pour se connecter rapidement et facilement.

L'OnlyKey est idéal pour ceci. C'est plus compliqué que d'insérer la clé pour se connecter à un compte. Il faut manuellement lier la clé au compte en utilisant le processus TOTP/FIDO.

Ceci n'est pas difficile, mais il faut exécuter l'application OnlyKey et effectuer 5 ou 6 étapes pour ajouter le protocole TOTP à l'appareil.

Pourquoi faire tout ça ? Les raisons sont élaborées ci-dessus. En plus, l'authentification à deux facteurs par SMS est un système qui a trop de défauts.

Pour de plus amples renseignements (en anglais seulement) :

Mots de passe

Les mots de passe existent toujours, et ne cesseront d'exister dans le monde passwordless qui s'approche.

En réalité, on a besoin de mots de passe pour accéder à bon nombre de services et d'appareils. Cependant, une clé devrait remplacer autant de mots de passe que possible. Il ne faut pas avoir plus de deux ou trois mots de passe à mémoriser, peu importe leur niveau de sécurité. Il devrait être nécessaire d'avoir un accès physique au fichier, à la clé et à l'appareil pour pouvoir utiliser le mot de passe.

Imaginez un coffre-fort. Même si vous avez la clé, il faut toujours se présenter à la banque, prouver son identité, insérer la clé et ouvrir le coffre. Bien qu'il soit possible de contourner chaque étape de sécurité, la probabilité de réussite est minuscule.

Les seuls mots de passe à mémoriser seraient :

  • Le code NIP pour votre OnlyKey ou autre clé de sécurité matérielle
  • Le mot de passe pour le fichier de sauvegarde de votre clé de sécurité

Vous serez peut-être obligé de vous souvenir des mots de passe pour les services qui n'utilisent pas encore FIDO2. Cependant, une clé de sécurité matérielle est capable de stocker le mot de passe ou le code pour accéder à votre gestionnaire de mots de passe. FIDO2 est compatible avec la plupart des gestionnaires de mots de passe.

Donc, vous n'aurez plus besoin de nouveaux mots de passe pour votre vie en ligne après que vous adoptiez FIDO2.

OnlyKey: renseignements supplémentaires

L'OnlyKey a des capacités cryptographiques que la plupart des autres appareils FIDO2 manquent.

Il peut stocker :

  • les noms d'utilisateur
  • les mots de passe
  • les clés OpenSSH
  • de multiples clés PGP

Il supporte l'authentification à deux facteurs avec TOTP.

Il a un générateur de nombres aléatoires, des applications pour exécuter de différentes authentifications pour la signature de code Github/Gitlab, le chiffrement des fichiers, l'échange de clé PGP/GnuPG pour l'application Password Store, et d'autres fonctionnalités cryptographiques.

Vous ne connaissez pas ces termes ? Ne vous inquiétez pas. Ce n'est pas nécessaire pour apprécier OnlyKey en tant que clé FIDO2.

Les fonctionnalités les plus utiles sont le TOTP et le gestionnaire des mots de passe et des noms d'utilisateur. Avec cette clé, on peut se connecter facilement aux services qui n'utilisent pas encore FIDO2.

Pour voir comment ça marche, consultez le site Web et les vidéos de FIDO2.