Qu’est-ce qu’une YubiKey et en avez-vous besoin ?

Comment fonctionne une YubiKey ?

En quelques mots, la YubiKey est une clé de sécurité développée par l’Alliance FIDO et fabriquée par Yubico. Chaque dispositif YubiKey se voit attribuer un code unique qui, lorsqu’il est branché sur un ordinateur, permet d’authentifier l’identité de l’utilisateur. Outre les clés USB, les YubiKey NFC sont utilisées pour l’authentification sur les appareils mobiles.

Les YubiKey utilisent des clés cryptographiques pour authentifier les tentatives de connexion. Elles prennent en charge un certain nombre de protocoles d’AMF, tels que les clés d’accès, les mots de passe à usage unique et le deuxième facteur universel (U2F), et contribuent à protéger les utilisateurs contre les menaces telles que les attaques avancées de type « man-in-the-middle », au cours desquelles le pirate tente d’intercepter l’authentification à deux facteurs.

Comment configurer une YubiKey

Contrairement aux mots de passe traditionnels, les détenteurs de YubiKey n’ont pas besoin de se souvenir d’un code spécifique pour autoriser une connexion. La YubiKey fonctionne lorsqu’elle est branchée ou touche un appareil, et l’utilisateur n’a qu’à appuyer sur un bouton pour l’activer. De même, pour configurer la YubiKey comme dispositif d’authentification, il suffit à l’utilisateur de la choisir comme option préférée dans les paramètres de sécurité de son compte.

Quels sont les services et les applications qui prennent en charge une YubiKey ?

Bien que l’authentification YubiKey ne soit pas la méthode d’authentification multifacteur la plus répandue, elle est largement disponible pour un usage personnel et professionnel. Elle peut être utilisée pour authentifier les tentatives de connexion aux sites web, aux applications et aux bases de données.

Au quotidien, les utilisateurs peuvent se servir de la YubiKey pour authentifier les connexions aux réseaux sociaux et aux comptes de messagerie, et accéder à des données sensibles telles que les informations bancaires ou les dossiers médicaux personnels. Des services comme Microsoft et Google prennent non seulement en charge le système d’autorisation de la YubiKey, mais les géants de la technologie impliqués ont également contribué au développement de la clé dans son ensemble.

Les YubiKey peuvent fonctionner en tandem avec des gestionnaires de mots de passe. La clé peut être utilisée pour ajouter une étape de sécurité au gestionnaire de mots de passe lui-même, tandis que les identifiants de connexion générés à l’aide du gestionnaire de mots de passe peuvent renforcer la première ligne de défense des comptes de l’utilisateur.

La popularité de la YubiKey ne cesse de croître et l’industrie constate une augmentation des cas d’utilisation des YubiKey. Ces clés de sécurité sont déjà devenues les pratiques avancées préférées de nombreuses entreprises en matière de sécurité des employés. Les entreprises du FAANG fournissent à leurs employés des YubiKey personnelles pour les autorisations de connexion liées au travail, garantissant ainsi que toutes les informations sensibles ne sont accessibles qu’à des utilisateurs vérifiés.

Les YubiKey offrent également plus de flexibilité aux personnes travaillant à distance ou de manière hybride. Avec une YubiKey, ces employés peuvent facilement accéder aux bases de données et aux comptes professionnels partout dans le monde sans risquer de divulguer des données non autorisées. Comme les YubiKey n’ont besoin d’aucune connexion pour fonctionner, les pirates ne peuvent pas s’y introduire comme ils le feraient avec des réseaux Wi-Fi ouverts.

Quels sont les avantages de l’authentification avec une YubiKey ?

La YubiKey est considérée comme l’une des méthodes d’authentification multifacteur les plus sûres. Sa compatibilité avec les appareils mobiles et de bureau en fait une solution flexible pour les particuliers et les utilisateurs professionnels. La version USB est compatible avec les ports courants que l’on trouve sur les appareils matériels, tels que USB-C ou Lightning, et la plupart des ordinateurs portables récents disposent d’un port adapté aux clés de sécurité.

La YubiKey est physiquement robuste, car elle est résistante à l’eau et à l’écrasement, ce qui en fait un investissement de sécurité fiable sur le long terme. Elle ne nécessite aucune application tierce pour fonctionner, bien que des applications supplémentaires puissent être utilisées pour des configurations personnalisées.

Lorsque vous vous connectez à un compte qui utilise l’authentification YubiKey, la clé peut détecter l’authenticité du site web. Elle ne valide la tentative de connexion que si le site web correspond au lien original. Vous évitez ainsi de vous connecter accidentellement à un site web usurpé et de révéler vos identifiants de connexion à des cybercriminels.

Il y a un inconvénient à transporter votre YubiKey pour les différentes authentifications. En raison de sa taille, la YubiKey peut être facilement perdue. Par conséquent, si vous choisissez une YubiKey comme dispositif d’authentification, veillez à la conserver dans un endroit sûr. Yubico recommande officiellement aux utilisateurs de disposer d’un dispositif YubiKey de secours qui peut être activé en cas de perte ou de vol de la clé principale.

Même si vous perdez votre dispositif YubiKey, vous n’avez pas à craindre que vos informations personnelles soient divulguées, car la clé de sécurité n’agit pas comme un dispositif de stockage. Si quelqu’un vole votre YubiKey, mais ne connaît pas votre mot de passe, il ne pourra pas s’introduire dans votre compte.

YubiKey et les autres méthodes d’authentification : le comparatif

YubiKey est l’une des nombreuses alternatives que les particuliers et les entreprises utilisent comme nouvelle étape d’authentification multifacteur. Voyons en quoi l’authentification par YubiKey se distingue des clés d’accès, des applications tierces et des codes envoyés par SMS.

Les clés d’accès

Il n’est pas rare de voir les clés d’accès mentionnées aux côtés des YubiKey quand il s’agit de l’AMF. Ces deux méthodes d’authentification sont le fruit des travaux de l’alliance FIDO Parapluie FIDO2. Toutes deux offrent une solution sans mot de passe pour l’authentification et la protection des comptes. Et, bien sûr, les deux sont codées de manière exclusive.

La principale différence entre les clés d’accès et la YubiKey est le matériel. Les clés d’accès utilisent une combinaison de vérification biométrique et de clés cryptographiques. Le processus est validé à l’aide d’un téléphone portable, d’une tablette ou d’un ordinateur portable. Les clés d’accès peuvent également être stockées dans des gestionnaires de mots de passe tiers tels que NordPass et synchronisés entre les appareils à la convenance de l’utilisateur.

Les YubiKey font office de stockage de clés d’accès elles-mêmes, bien qu’elles soient soumises à des restrictions de stockage. Les codes YubiKey ne peuvent pas être répliqués ou transférés vers un autre appareil, ce qui les rend moins flexibles que les clés d’accès.

Le choix entre une clé d’accès et une YubiKey dépend des préférences de l’utilisateur. Les deux méthodes suivent le protocole FIDO2, ce qui en fait des mécanismes d’authentification fiables pour les particuliers et les organisations.

Applications d’authentification

Les applications d’authentification sont un autre moyen plébiscité de prendre en charge l’AMF. Des applications telles que Google Authenticator ou l’outil d’authentification de NordPass permettent aux utilisateurs de générer des mots de passe à usage unique basés sur le temps (TOTP) sur leurs appareils à chaque fois qu’ils se connectent à un site web ou à une application. Les codes générés par les applications d’authentification sont généralement courts (6 caractères en moyenne) et sont réinitialisés après une période déterminée, généralement comprise entre 15 et 60 secondes.

Les YubiKey ont été initialement conçues pour produire des mots de passe à usage unique très complexes de 44 caractères pour l’authentification des comptes. Cependant, au fur et à mesure de son évolution, la technologie YubiKey est passée à l’authentification sans mot de passe. Bien qu’il soit toujours possible de produire les mots de passe à usage unique à l’aide d’un dispositif YubiKey, WebAuthn est désormais la méthode d’authentification privilégiée.

Les clés d’authentification et les mots de passe à usage unique YubiKey sont tout autant pratiques l’un que l’autre. Ils nécessitent un seul dispositif pour générer des codes et accorder un accès instantané. Cependant, en tant que dispositif matériel, la YubiKey est plus résistante aux tentatives d’intrusion. Les applications d’authentification tierces peuvent faire l’objet de cyberattaques ou de tentatives de phishing.

Prenons le cas d’un escroc qui contacte un utilisateur et tente de lui soutirer son code d’authentification pour s’introduire dans son compte. En constatant que la méthode d’authentification requise est une application, il peut être plus enclin à continuer. Après tout, il est plus facile d’amener un utilisateur à révéler un code à 6 chiffres qu’un code à 44 chiffres.

L’aspect de la réinitialisation basée sur le temps ajoute une fiabilité supplémentaire aux applications d’authentification, car le minuteur rend plus difficile le contournement par les cybercriminels. L’outil d’authentification YubiKey ajoute une rapidité supplémentaire en remplissant automatiquement le code d’authentification lorsque vous appuyez sur le bouton de votre clé, ce qui vous évite de taper les 44 caractères.

2FA par SMS

Bien que l’authentification par SMS soit considérée comme l’une des méthodes les plus faibles, elle reste plébiscitée en raison de sa facilité d’utilisation. Pour mettre en place l’authentification par SMS, l’utilisateur saisit son numéro de téléphone portable et reçoit un mot de passe à usage unique à chaque tentative de connexion.

Comparée à l’authentification par YubiKey, l’utilisation des SMS est assez médiocre. L’usurpation de numéro de téléphone et l’échange de SMS sont des tactiques d’ingénierie sociale courantes qui visent à intercepter le code d’authentification envoyé à votre numéro. Dans le premier cas, les cybercriminels appellent leurs cibles en se faisant passer pour un service fiable et demandent le code SMS pour vérification. Dans ce dernier cas, les pirates appellent l’opérateur téléphonique de la cible, en se faisant passer pour la victime, afin d’accéder au numéro.

La YubiKey ne peut pas être prise en charge à distance par des pirates. Il s’agit d’un appareil hors ligne qui ne nécessite pas de connexion à Internet ou à un réseau mobile. La facilité d’authentification sans avoir à révéler ou à saisir un mot de passe à usage unique garantit que les comptes d’utilisateurs sont plus résistants aux attaques par phishing.

La YubiKey peut également protéger vos applications d’envoi de SMS de l’intérieur : elle peut se connecter au téléphone via le port USB ou en utilisant la NFC pour authentifier les tentatives de connexion à ces services. Elle évite également d’avoir à mettre à jour tous les comptes avec l’authentification par SMS si vous changez de numéro de téléphone.

Combiner la YubiKey avec NordPass

Que ce soit pour un usage personnel ou professionnel, il est indispensable de maximiser la protection de votre compte. En associant NordPass avec une YubiKey, il est possible de bénéficier d’un niveau de sécurité plus élevé sans pour autant compliquer les processus.

NordPass est un gestionnaire de mots de passe sécurisé qui vous permet de générer des mots de passe forts et uniques, ainsi que de stocker et de gérer des clés d’accès pour tous vos comptes. Le service utilise une architecture à divulgation nulle de connaissance et un chiffrement XChaCha20 avancé pour protéger vos données sensibles et garder tous vos identifiants de connexion accessibles dans un coffre-fort auquel il n’est possible d’accéder qu’avec votre autorisation.

En tant que membre de l’alliance FIDO, NordPass sait que l’authentification sans mot de passe aura un rôle prépondérant dans un avenir proche. Vous avez perdu l’accès à votre YubiKey ? Ne vous inquiétez pas : remplacez votre méthode d’authentification préférée par une application d’authentification. Vous pouvez utiliser NordPass Authenticator pour générer des codes à usage unique avec vos mots de passe. Vous pouvez même utiliser la YubiKey avec votre compte Nord, ce qui donne la priorité à la sécurité numérique.

FAQ