Les vols d’identifiants sont devenus monnaie courante, et pour s’en convaincre il suffit de consulter le site HaveIBeenPwned.com qui essaie de tous les répertorier.
À ce jour, il comptabilise déjà plus de neuf milliards de comptes d’utilisateurs compromis. On comprend mieux pourquoi la plupart des services en ligne – et notamment les messageries et les réseaux sociaux – proposent désormais une option d’authentification forte, qui permet d’ajouter un second facteur d’authentification au traditionnel mot de passe. Et parmi les facteurs qui apportent le plus haut niveau de protection, c’est sans doute la clé de sécurité qui remporte la palme de la solution la plus sûre.
La meilleure preuve de cette fiabilité, c’est que Google en est un chaud partisan. Le géant du Web utilise cette technologie en interne et s’est appuyé sur elle pour bâtir son offre de « Protection avancée ». Celle-ci est destinée aux personnes à haut risque : journalistes d’investigation, chefs d’entreprise, équipes de campagnes électorales, dissidents politiques, etc.
Comparée à d’autres types de facteurs d’authentification, la clé de sécurité a l’avantage d’avoir un très haut niveau de sécurité tout en restant assez facile d’usage.
Beaucoup de personnes, par exemple, utilisent leur smartphone comme second facteur d’authentification, car c’est un objet que tout le monde possède. Les services bancaires proposent ainsi la validation de certaines opérations au travers d’une application mobile ou d’un SMS.
Il est également possible de sécuriser des services en ligne comme Facebook ou Twitter par des codes à usage unique générés par des applications.
C’est très pratique, mais potentiellement assez risqué, car le smartphone peut être infecté par un malware. Un pirate pourrait donc activer une validation de transaction bancaire ou voler un code à usage unique.
Un matériel inviolable
Pirater une clé de sécurité, à l’inverse, est très difficile. Comparée à un smartphone, elle a une surface d’attaque extrêmement réduite. De plus, son fonctionnement s’appuie sur un élément sécurisé, c’est-à-dire une puce constituée d’un processeur cryptographique, d’une mémoire d’exécution intégrée et d’un stockage inviolable.
De ce point de vue, les cartes à puce ont certes un niveau de sécurité comparable, mais elles nécessitent un lecteur spécifique. La clé de sécurité, en revanche, s’appuie sur les interfaces usuelles des ordinateurs d’aujourd’hui : USB, NFC, Bluetooth.
Sur le fond, l’usage d’une clé de sécurité est assez facile. L’utilisateur doit d’abord associer l’appareil au service en question. Ensuite, à chaque fois quand il souhaite s’y connecter, il suffit de la brancher et de l’activer au moment voulu, en touchant une zone de contact ou en appuyant sur un bouton. Quand la communication passe par NFC, il suffit parfois de simplement approcher la clé du terminal. Ce qui est surtout très pratique lorsque ce dernier est un smartphone ou une tablette.
C’est un petit investissement
Derrière ces gestes simples se cachent des protocoles cryptographiques plutôt complexes. Celui qui a le plus le vent en poupe en ce moment est FIDO2, un standard qui s’appuie sur des certificats électroniques et qui a réussi à mettre toute l’industrie informatique derrière lui, même Apple. Son grand avantage est qu’il est très résistant face aux attaques de phishing. D’autres protocoles continuent à être utilisés, comme les codes à usage unique ou le « challenge-response ».
Mais cette technologie présente aussi des désavantages, à commencer par la contrainte de l’avoir toujours sur soi. Par ailleurs, la perte ou le vol de la clé peut bloquer l’accès au service si l’utilisateur n’a pas prévu de solution alternative. La meilleure solution, c’est encore de se doter de deux clés, l’une qu’on utilise et l’autre que l’on garde chez soi.
Enfin, il y a le prix. Une clé de sécurité avec interface USB-A et protocole FIDO2 peut se trouver à partir d’une dizaine d’euros. Ceux qui veulent quelque chose de plus complet et sophistiqué devront dépenser entre 40 et 60 euros. Un tarif qu’il convient de multiplier par deux, compte tenu de ce que nous avons dit précédemment. Ce n’est donc pas un investissement négligeable, mais il est nécessaire si l’on veut parfaitement protéger les comptes les plus sensibles.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.