La sécurité informatique est un domaine qu’on néglige trop souvent, jusqu’à être confronté à de vrais problèmes. Moi même, grand utilisateur de services informatiques, que ce soit des services ou des boutiques web, je n’étais pas toujours à la pointe, souvent par négligence ou fainéantise, car une vraie sécurisation peut être contraignante. Pendant une quinzaine d’années, je n’ai eu aucun soucis, en respectant tout de même quelques règles de prudence élémentaires. Jusqu’à l’année dernière, où j’ai cumulé une fraude à ma carte bancaire, puis plus récemment une intrusion de mon compte DJI qui a entrainé la commande de deux drones livrables aux Etats Unis. Dans ce dernier cas il s’agissait simplement d’une commande passée via mon compte, mais pas sur mes moyens de paiement. La commande a pu toutefois être annulée pour éviter tout problème. Bref, vos accès sur internet doivent vraiment être sécurisés, avec un mot de passe différent pour chaque service. Ainsi, si une personne découvre le mot de passe d’un service, elle n’a pas pour autant accès à tout. La seconde option à mettre en place, quand elle est disponible, est la double authentification: dans ce cas il faut votre mot de passe, mais également un deuxième moyen, souvent un SMS avec un code à ressaisir. Mais il existe également des clés de sécurité physique, à brancher sur l’ordinateur, qui permet de vous authentifier. Nous allons en découvrir une aujourd’hui, avec la Yubikey 4 de Yubico, qui s’est fait un nom dans le domaine. Celle ci permet de s’identifier sur son ordinateur, sur des services internets, et tout un tas d’autres choses…

I. Découverte de la Yubikey 4 de Yubico

Jusqu’ici je ne m’étais jamais trop penché sur cette possibilité, jusqu’à ce que je découvre Yubikey au CES de Las Vegas en début d’année, où la société a en plus eu la gentillesse de me donner une Yubikey 4. Une bonne occasion de tester !

La Yubikey 4 se présente comme une clé Usb très simple, livrée dans une petite pochette plastique.

Mesurant un peu moins de 45mm, la Yubikey 4 est très légère, avec ses seulement 3g.

Pas de fioritures, elle dispose simplement d’un orifice pour la mettre sur un porte clés par exemple. La partie importante est le rond doré au centre, avec le « Y »: il s’agit d’un bouton sensitif, qui permettra de s’authentifier. En pratique, une fois la clé branchée au port Usb de l’ordinateur, il suffira d’appuyer physiquement sur cette zone pour valider l’authentification quand elle vous sera demandée par un service.

Cette clé est donnée comme résistante à l’eau, aux chocs, etc… et donc quasi indestructible en « utilisation normale ».

II. Utilisation de la Yubikey 4 de Yubico

Aucune notice n’est fournie avec la clé, il faut se rendre sur le site Yubikey pour suivre les instructions.

Le fabricant propose plusieurs modèles, avec NFC, pour serveurs, smartphone, etc… Vous pouvez trouver un comparatif des Yubikey sur le site du constructeur.

Après avoir choisi son modèle, le site nous liste tous les services compatibles. Et il y en a de nombreux, de Google à Facebook, en passant par l’authentification de son ordinateur. Il existe même un plugin WordPress Yubikey pour sécuriser l’accès de son blog :)

En sélectionnant un service, on accède à la marche à suivre pour sécuriser l’accès du dit service.

2.1 Sécuriser son compte Lastpass avec Yubikey

Le premier service qui me semblait important est Lastpass (en version Premium uniquement). Pour ceux qui ne connaissent pas, Lastpass enregistre pour vous tous vos mots de passe. Il suffit de vous souvenir de votre mot de passe « maitre », qui permet d’accéder à Lastpass, et ce dernier se charge ensuite de compléter les mots de passes de tous vos services. Quand on a un mot de passe différent sur chaque service, comme je l’indiquais en introduction pour bien sécuriser ses accès, l’utilisation d’un service comme Lastpass s’avère extrêmement pratique. Le service permet également se conserver quelques documents importants en sécurité.

Dans les paramètres de son compte Lastpass, onglet « Multifactor Options », il suffit d’activer le service Yubico:

Placez vous sur le champ Yubikey #1, et appuyez sur le bouton de la Yubikey: un code est entré automatiquement pour l’identifier. Attention à l’option concernant les mobiles: si elle est activée, l’accès à Lastpass sur votre smartphone vous demandera également la Yubikey. Si vous avez la version NFC, qui permet de s’identifier simplement en passant son smartphone sur la Yubikey, pas de soucis. Il existe également une version USB-C, qui peut donc se brancher directement sur le smartphone. Autrement, il faudra un adaptateur OTG Usb -> micro Usb, ce qui risque de s’avérer contraignant à l’utilisation.

Enregistrez, et c’est fini ! A partir de maintenant, à chaque identification sur Lastpass, il vous sera demandé votre mot de passe maitre, mais également un appui sur la Yubikey. Etant donné que ce service stocke tous vos mots de passe, il vaut mieux bien le sécuriser !

2.2 Sécuriser ses accès Google avec Yubikey

Second service qui m’a paru fort utile ensuite: les services de Google. Que ce soit l’accès aux mails, au calendrier, le stockage des fichiers, ou même l’accès à d’autres services via les identifiants Google, comme c’est le cas par exemple pour mon blog, la sécurisation de ces accès me parait extrêmement importante. Google propose ainsi la double authentification, qu’il suffit d’activer:

En général le service propose la double authentification par SMS. Mais il est possible d’ajouter d’autres moyens supplémentaires:

Il suffit donc de sélectionner l’option « clé de sécurité ». Google nous demande ensuite d’appuyer sur le bouton de celle ci:

On finit par lui donner un nom, et on enregistre. A partir de maintenant, il faudra donc le mot de passe du compte, mais également un appui physique sur la Yubikey pour s’identifier.

2.3 Sécuriser son accès Facebook avec Yubikey

Dernier exemple, cette fois avec Facebook, qui propose également l’option dans les paramètres de sécurité du compte:

On demande donc à ajouter une clé de sécurité:

On appuie sur son bouton pour qu’elle soit reconnue:

Et on lui donne un nom:

Et l’installation est terminée.

A partir de ce moment, Facebook demandera donc votre mot de passe, puis un appui sur la Yubikey pour confirmer l’accès.

III. Conclusion

Ce ne sont là que quelques exemples d’utilisation de la Yubikey. Il faut savoir que cette clé propose une authentification forte via le service Yubico OTP (mot de passe à usage unique), le protocole FIDO U2F (Universal 2nd Factor), et en tant que smart card (PIV, OpenPGP, OATH-TOTP et OATH-HOTP). Il est donc possible de l’utiliser pour s’authentifier sur des services en ligne, à l’ouverture d’un ordinateur (ou serveur), ou même sur la sécurisation de ses emails via OpenPGP. C’est donc très complet !

Personnellement j’aime beaucoup la simplicité d’utilisation. Pas de logiciel à installer, on branche la Yubikey sur un port Usb, et il suffit d’appuyer sur son bouton pour s’authentifier. Je trouve cela plus pratique que l’envoi d’un SMS, surtout quand on n’a pas son mobile à portée de main, ou plus de batterie. La Yubikey est sur un porte clé que j’ai toujours sur moi. Même si je venais à la perdre, personne ne pourrait accéder à mes accès, car il faudrait toujours le mot de passe. Par contre, de notre côté, il faut bien veiller à prévoir un second moyen d’identification, car sans elle, vous n’aurez plus accès non plus à vos accès. Il faut donc soit prévoir une seconde clé, soit un second moyen (SMS, Google Authentificator, etc…). Si vous voulez sécuriser vos accès, c’est à mon avis une très bonne option à envisager. Le modèle présenté ici est la Yubikey 4, vendue 45€. Si je devais en acheter une, j’opterai en revanche surement pour le modèle avec NFC, la Yubikey Neo (57€) qui me permettrait l’identification également sur mon smartphone via le NFC. C’est un peu cher, peut être, mais la sécurité n’a pas de prix ;-) Tout considéré les problèmes que peuvent engendrer un accès non voulu à ses diverses données, personnellement je préfère investir et dormir plus serein ;-)