Les mots de passe, c’est pénible. Essentiel, mais pénible. Et s'il y a bien des gestionnaires de mots de passe pour se simplifier la tâche cela implique d’y recourir très (trop) souvent. L'autre solution, plus simple, pratique et au moins autant sécurisée, c'est la clé de sécurité. Pour vous aider à bien choisir, nous en avons sélectionné cinq parmi les meilleures références ; suivez le guide !
- Triple authentification
- Sécurité de la clé avec code PIN
- Mise à jour du firmware
- Prise en charge de dix empreintes digitales
- Performance du capteur digital
- Compatible Windows Hello
Yubico YubiKey Serie 5
La Serie YubiKey 5 de Yubico permet de répondre à tous les usages. On peut utiliser ces clés avec un ordinateur fixe ou portable, mais aussi avec un smartphone puisque certains modèles de cette gamme intègrent le standard NFC (Near Field Communication). Certifiée FIDO et prenant en charge différents protocoles (Yubico OTP, OATH-TOTP, OATH-HOTP, Smart Card, OpenPGP…), cette gamme est compatible avec de nombreux navigateurs et sites. Difficile de faire plus
complet…
Dés clés pour tout le monde
Impossible de passer à côté de cette marque suédoise lorsque l'on parle de clés d'authentification. C’est en effet l’un des principaux contributeurs aux standards ouverts d’authentification FIDO2, WebAuthn et FIDO U2F. Créée en 2007, cette entreprise sortait sa première clé un an plus tard, la YubiKey, un nom inspiré par le mot « ubiquité ». L’idée était en effet de concevoir une clé d'authentification capable, seule, de sécuriser tous les comptes en ligne de son utilisateur. Depuis, les fondateurs ont quitté la Suède pour la Silicon Valley. Fabriquées en Suède et en Californie, les clés de Yubico sont réputées pour leurs qualités de fabrication (dont la résistance aux chocs et à l’eau) et leur facilité d’utilisation.
L’offre
La marque propose différents modèles regroupés en trois séries : la série YubiKey 5 (multiples protocoles), la série Security Key (compatible avec FIDO2, U2F) et enfin la série YubiKey 5 FIPS (plus haut niveau d’assurance AAL3 des nouvelles directives NIST SP800-63B).
Pour découvrir quelle série correspond la mieux à vos besoins, Yubico vous propose de répondre à un quiz (en anglais)… Totuefois, pour un usage sans contraintes de protocoles, la meilleure option selon nous est la série YubiKey 5.
Cette dernière regroupe en effet la YubiKey 5 NFC, la YubiKey 5C NFC, la YubiKey 5C et la YubiKey 5Ci, qui s’adaptent facilement sur un porte-clés. La YubiKey 5 Nano et la YubiKey 5C Nano, elles, sont conçues pour rester en permanence dans le port USB de votre appareil.
Parmi les protocoles d’authentification et de cryptographie pris en charge on retrouve bien entendu FIDO (U2F), WebAuthn/FIDO2, mais aussi la carte à puce PIV et la carte à puce OpenPGP. Ces clés fonctionnent sur les principaux systèmes d’exploitation, notamment Windows, macOS, iOS, Android et Linux, ainsi que sur les principaux navigateurs Web.
Voyons dans le détail les particularités de chacune des clés de cette série 5. La YubiKey 5 NFC (également disponible en version nano) pour commencer, dispose d'une prise USB-A et de la prise en charge du standard NFC. Vous pouvez donc l'utiliser avec les appareils compatibles NFC, comme la plupart des smartphones actuels. Grâce à ces deux options, vous avez toujours un moyen d'accéder à vos services, quel que soit l'appareil que vous utilisez.
La YubiKey 5C (également disponible en format nano) est compatible uniquement avec l’USB-C et ne peut pas fonctionner avec un iPhone. La YubiKey 5C NFC en revanche est une bonne option si votre ordinateur dispose d'un port USB-C et que vous n'avez pas besoin d'un connecteur Lightning. Elle fonctionne avec la plupart des ordinateurs de bureau et portables, certaines tablettes (dont plusieurs modèles d'iPad), ainsi qu'avec les mobiles sous Android et les iPhone (via NFC).
Enfin la YubiKey 5Ci possède deux faces différentes, un connecteur USB-C et un connecteur Lightning. Cette clé est donc l’une des meilleures options pour les personnes qui utilisent différents appareils Apple.
Lorsque vous aurez identifié la clé qui convient le mieux à vos besoins, il suffit de vous rendre sur le site de Yubico et de repérer le modèle en question pour découvrir tous les services compatibles. Pour chacun d'eux, la marque explique comment configurer la double authentification. Nous avons fait des tests sur différents sites ainsi qu’avec le gestionnaire de mots de passe Dashlane et nous n’avons pas rencontré de problèmes particuliers.
La sécurité
Yubico étant l'un des principaux contributeurs aux standards ouverts d’authentification FIDO2, WebAuthn et FIDO U2F, la sécurité des clés est prise très au sérieux. Lorsque la marque a été confrontée à une vulnérabilité dans sa série YubiKey FIPS en juin 2019, elle a tout simplement remplacé les appareils concernés.
Les « plus »
Yubico propose une documentation claire, des vidéos et des tutos d'installation. Toutefois, comme pour le quiz permettant d'identifier le modèle correspondant le mieux à nos usages, on regrette que la plupart de ces informations ne soient qu’en anglais.
CryptoTrust OnlyKey
- Triple authentification
- Sécurité de la clé avec code PIN
- Mise à jour du firmware
D’entrée de jeu, la CryptoTrust OnlyKey surprend par son design, son revêtement en caoutchouc et son petit clavier à six boutons. Cette clé peut être utilisée avec de nombreux sites Web et prend en charge plusieurs méthodes d'authentification à double facteur, notamment FIDO2/U2F, Yubico OTP, TOTP…
L’authentification à triple facteur
Sur cette clé, chaque touche dispose de deux options d'appui : long et court, ce qui porte vos possibilités de saisie à 12 combinaisons possibles. L'utilisateur peut définir un mot de passe et un code PIN pour chacune de ces 12 options, ce qui permet de bénéficier d'une solide authentification à trois facteurs.
La CryptoTrust OnlyKey dispose également d'alertes multicolores : vert si vous avez saisi le bon code PIN, rouge si vous avez fait une erreur et bleu pour l'authentification FIDO2/U2F. Autre caractéristique intéressante : elle peut stocker un maximum de 24 mots de passe, noms d'utilisateur et comptes OTP.
L’offre
OnlyKey a vu e jour après une campagne de financement lancée sur Kickstarter en 2016. Il est maintenant possible d'acheter cette clé pour environ 38 euros sur de nombreux sites, dont celui de CryptoTrust, spécialisée en cybersécurité. Pour OnlyKey, ses développeurs ont utilisé une partie du code source de YubiKey, et sur le plan matériel, leur clé utilise un processeur ARM 32 bits Cortex-M4 (Teensy 3.2) qui permet des options quasi illimitées en termes de développement.
À la différence de Yubico, CryptoTrust ne propose qu’un seul modèle de clé d'authentification, mais dont les atouts sont loin d’être négligeables. Ainsi, le firmware de ce modèle open source peut être mis à jour en utilisant le bootloader blockchain sécurisé de l'entreprise, qui permet aussi d’accéder à de nouvelles caractéristiques et fonctionnalités. À l'inverse, rappelons que lorsqu'un problème est constaté dans une YubiKey, c'est la clé qui doit être remplacée.
Soulignons par ailleurs que l'application Chrome de CryptoTrust peut être utilisée pour la configuration initiale de votre clé OnlyKey, ainsi que pour la mise à jour du micrologiciel. Elle permet également la configuration des noms d'utilisateur, des mots de passe, de l'authentification à double facteur, des clés cryptographiques (ECC, RSA et PGP), de la sauvegarde, de la restauration, et du réglage des préférences de cette clé.
La CryptoTrust OnlyKey est également un support de stockage. Vous pouvez y enregistrer 24 mots de passe (en comparaison la YubiKey 5 n’en mémorise que deux) et identifiants ainsi que 24 comptes OTP. La conception extrêmement durable, étanche et inviolable vous permet en outre d'emporter votre OnlyKey partout avec vous.
Côté configuration, si tout semble facile sur le papier, la disponibilité uniquement en anglais du mode d’emploi peut le rendre un peu délicat à comprendre. Si vous n'êtes pas suffisamment à l'aise dans la langue de Shakespeare, mieux vaut peut-être opter pour les autres clés, qui offrent une sécurité complémentaire largement suffisante pour un usage grand public.
La sécurité
C’est un des gros points forts de ce modèle. Si votre OnlyKey est perdue ou volée, elle sera inutilisable pour qui ne connaît pas son code PIN. Toutes les données stockées sont ainsi protégées par un chiffrement AES-128. Et si vous vous prenez pour James Bond, sachez que vous pouvez même créer un code PIN d'autodestruction ; de la sorte, si vous êtes obligé de donner votre code, le PIN d'autodestruction pourra être fourni à la place du bon, entraînant l'effacement des données sensibles !
Autre argument en faveur de cette clé open source, nous l'évoquions, son firmware peut être mis à jour si une vulnérabilité a été repérée. Ce n’est pas le cas avec les autres modèles de ce comparatif.
Les « plus »
La clé OnlyKey se différencie aussi des autres modèles par son « petit » gestionnaire de mots de passe exécuté localement. Les boutons sont ainsi utilisés à deux fins : premièrement, CryptoTrust exige que chaque utilisateur définisse un code PIN lors de la configuration initiale de la clé OnlyKey pour l'authentification multifactorielle. Ensuite, ils peuvent être
utilisés pour stocker et chiffrer jusqu'à 12 mots de passe logiciels.
Kensington Verimark
- Prise en charge de dix empreintes digitales
- Performance du capteur digital
- Compatible Windows Hello
Pour se démarquer sur un marché en plein croissance, Kensington mise sur son capteur d’empreintes digitales. Très petite, sa clé est également très discrète lorsqu’elle est connectée au port d’un ordinateur portable. Malgré son capteur digital, la VeriMark n’est ainsi pas plus imposante que les YubiKey 5 Nano et YubiKey 5C Nano. Très facile à configurer pour sécuriser sa session Windows avec Hello, elle se montre aussi très pratique pour verrouiller les accès à ses comptes en ligne. Dommage qu’elle ne soit pas compatible avec d’autres systèmes d’exploitation.
La sécurité au bout des doigts
Certifiée FIDO U2F, cette clé de Kensington adopte une approche différente de l'authentification à double facteur en intégrant la sécurité biométrique. Cette clé prend en charge jusqu'à dix empreintes digitales différentes, afin que plusieurs utilisateurs puissent se connecter au même ordinateur. Mais tout cela a un coût : 60 euros environ.
L’offre
Voici une clé USB très discrète, car très compacte, mesurant seulement 1,9 x 1,52 x 0,8 cm. Conçue en alliage de zinc, et recouverte d'une finition mate grise, elle intègre un petit indicateur LED pour vous indiquer si votre empreinte digitale a été enregistrée ou non. La zone tactile, elle, est en plastique noir.
Outre sa compatibilité avec les normes FIDO U2F et FIDO2, la clé de sécurité Kensington VeriMark Desktop est certifiée Windows Hello pour que vous (et vos collègues) puissiez vous connecter à votre PC sans avoir à taper votre mot de passe. Le seul inconvénient ? Cette clé ne fonctionne qu'avec les ordinateurs sous Windows, et n'est pas compatible avec macOS ou Chrome OS.
Cette VeriMark est également compatible avec FIDO2/WebAuthn, et comme d’autres clés de ce type, il est possible de l'utiliser dans le cadre de l'authentification à double facteur pour vous connecter à divers sites Web, applications ou services directement à partir d'un navigateur (Mozilla Firefox, Microsoft Edge, Google Chrome et même Apple Safari).
À l'usage, imaginons par exemple que vous vouliez sécuriser l’accès à vos dossiers stockés sur Dropbox. Après avoir accédé à votre compte par la procédure classique (login/mot de passe), vous devez activer l'authentification à deux facteurs depuis votre compte personnel (rubrique Sécurité ; vérification en deux étapes). Une fois le service activé, vous avez la possibilité d'ajouter un dispositif biométrique. Sélectionnez « Clé de sécurité » et suivez les instructions pour ajouter la VeriMark de Kensington comme moyen de se connecter à votre compte.
Le problème est que pour vous connecter à votre compte Dropbox à partir d'un autre périphérique, vous devez enregistrer votre clé U2F en utilisant le même compte sur chacun des ordinateurs utilisés.
La sécurité
Le dispositif repose sur un capteur Synaptics FS7600 match-in qui utilise un processeur de 192 MHz, une unité de traitement d'image et un moteur de cryptage accélérés au niveau matériel, chiffrant les données à l'aide des algorithmes AES et TLS 1.2. La base de données des empreintes digitales, elle, est stockée sur la mémoire flash interne de la clé Kensington.
Et si quelqu'un clonait une empreinte digitale à l'aide d'une imprimante 3D ou autre procédé ? Pas de problème selon son fabricant, qui explique que le capteur Synaptics FS7600 repose sur la technologie PurePrint afin de mieux distinguer les empreintes digitales authentiques des fausses. Kensington indique par ailleurs que le taux de faux rejet (FRR- false rejection rate) est de 2 %, tandis que le taux de fausse acceptation (FAR- false acceptance rate) est de 0,001 %. Des performances qui seraient même au-dessus de celles des capteurs d'empreintes digitales des smartphones, dont le FAR est autour de 1,6 % et le FRR autour de 3,5 %.
Le « plus »
Pour sécuriser l’accès à sa session Windows, la configuration de la Kensington Verimark est très facile. Il suffit d’aller dans les « Options de connexion » et de se rendre dans « Reconnaissance des empreintes digitales Windows Hello » puis de suivre les instructions. Cette clé est également compatible avec Windows Hello for Business, Office 365, OneDrive, Outlook, Skype, Windows Azure et d'autres services Microsoft, ce qui donne aux administrateurs informatiques la possibilité de gérer facilement les méthodes d'authentification de nombreux employés.
Google Titan
Google ayant participé au côté de Yubico et de NXP au développement du protocole d'authentification FIDO, il n'est pas surprenant que le géant américain propose sa propre clé de sécurité. Fabriqués par la société chinoise Feitian, ces dispositifs intègrent des clés cryptographiques gérées par Google.
La sécurité à petit prix
La firme de Mountain View a présenté sa gamme de clés de sécurité à l'automne 2018, mais elles n’ont été commercialisées en France que deux ans plus tard. Les Google Titan s'appuient sur les standards ouverts FIDO et sont compatibles avec le programme Protection Avancée, la solution de sécurité la plus fiable de l'entreprise.
L’offre
La clé de sécurité Google Titan existe en différentes versions : USB-C, USB-A et NFC, et Bluetooth et NFC. Les clés de sécurité Bluetooth/NFC/USB et USB-A/NFC sont vendues ensemble pour 55 euros, et la clé USB-C à 45 euros, est commercialisée séparément.
Comme d’autres dispositifs, les clés sont percées d'un trou pour pouvoir être fixées à un porte-clés. Cela peut sembler être un détail, mais lorsqu’on utilise cette méthode d’authentification sur plusieurs appareils, on est bien coté de pouvoir transporter la clé partout de la sorte !
Le modèle qui nous semble le plus intéressant de la gamme est le Bluetooth/NFC/USB-A qui offre de multiples options de connexion. Ces clé en ABS sont compatibles avec Windows et macOS, mais aussi avec un iPhone et les smartphones et tablettes sous Android. En plus de sa boucle de fixation, et pour garantir l'authentification en déplacement, la clé Titan Security Key dispose d'une batterie rechargeable intégrée.
La sécurité
Début 2021, les chercheurs français Victor Lomne et Thomas Roche, travaillant pour NinjaLab, ont publié un article intitulé A Side Journey to Titan : Side-Channel Attack on the Google Titan Security Key. Ils y expliquaient comment ils avaient réussi à contourner la protection anti-clone de Titan et trouvé un moyen d'extraire des données secrètes du dispositif.
Pour comprendre leur démarche, il faut savoir que les clés Titan prennent en charge un algorithme de chiffrement à clé publique appelé ECDSA (Elliptic Curve Digital Signature Algorithm), avec lequel l'appareil génère lui-même une paire de clés publique-privée. La clé exporte uniquement la clé publique et conserve la clé privée, de manière à ce qu'on ne puisse pas y accéder. Sans entrer dans le détail, les chercheurs avaient alors trouvé le moyen de surveiller la puce pendant qu'elle effectuait des opérations d'authentification, et d'identifier les données conservées.
Cette vulnérabilité (CVE-2021-3011) affectait alors les puces utilisées dans les clés de Google Titan et YubiKey. Elle permettait notamment aux acteurs malveillants de cloner les Titan, YubiKey et autres clés de sécurité pour contourner les procédures d'authentification multifacteurs.
Reste que la portée de cette action est limitée, nécessitant de l'attaquant qu'il ait pu mettre la main sur la clé de sécurité et au moins 12 000 euros de matériel pour le clonage de l'appareil. En outre, la faille a depuis été corrigée : NinjaLab a indiqué que toutes les clés vendues aujourd’hui par Yubico utilisent des composants plus récents d’Infineon, et que NXP fournit désormais deux nouvelles générations de puces.
De son côté, Google précise que la puce matérielle du modèle Titan intègre un micrologiciel développé en interne et qu’il permet de vérifier que les clés n'ont pas été altérées. Les puces matérielles sont développées pour résister aux attaques physiques visant à extraire les micrologiciels et le matériel des données secrètes.
Enfin, soulignons qu'en 2019, Google a remplacé les clés Titan marquées « T1 » et « T2 » à cause d’une mauvaise configuration au niveau du Bluetooth Low Energy.
Le « plus »
En réalité, c’est un « tout petit plus » qui intéressera surtout les utilisateurs d'iPhone ou de tablette Apple. L’utilisation de la Titan avec le Bluetooth n’est pas vraiment optimisée, cette option obligeant à installer l’application « Smart Lock » de Google et à se connecter à son compte Google. L’appairage se fait ensuite automatiquement, après avoir entré le code à six chiffres indiqué sur le dongle.
Mais ce n’est pas tout. À chaque fois que vous voulez utiliser un navigateur ou une application inconnue, il vous faudra lancer « Smart Lock » (qui ne gère que les accès aux comptes Google) et actionner la clé Bluetooth pendant quelques secondes. Certes, cela renforce la sécurité, mais le principe même d’une telle clé n’est-il pas justement de rendre « transparents » les mécanismes de connexion ? À l’usage, nous n’avons pas été totalement convaincus.
Winkeo FIDO2 de Neowave
Basée à Gardanne (Bouches-du-Rhône), la société Neowave est spécialisée dans la sécurité informatique. Elle commercialise la Winkeo Fido2 sur le marché des entreprises et du grand public. Cette clé USB de sécurité, de fabrication 100 % française, s’adapte aux standards FIDO2 et FIDO U2F. Atout majeur : elle répond aux normes du Référentiel Général de Sécurité (RGS) de l’Agence nationale de la sécurité des systèmes d’information (ANSSI).
Le made in France
Développée en France, cette gamme de clés FIDO assure efficacement ce pourquoi elle a été conçue. Très simple de configuration et d'usage, son niveau de protection est renforcé par un microcontrôleur sécurisé WISeKey, d’où le Label « France Cybersecurity » de son fabricant.
L’offre
Neowave propose une gamme de clés FIDO regroupant deux références (Winkeo FIDO U2F vendue moins de 15 euros et Winkeo FIDO 2 pour moins de 20 euros) et un badge FIDO2. D’aspect solide, ces petites clés se connectent au port USB d'un ordinateur (quel que soit le système d’exploitation, Windows, macOS ou GNU/Linux) et font apparaitre
des LED bleues et vertes, puis rouges clignotantes lorsqu'il faut confirmer une opération. L'installation se fait rapidement et sans encombre : lors de la connexion, plusieurs méthodes de vérification sont proposées dont la clé de sécurité.
Comme la clé Winkeo FIDO2 supporte le protocole FIDO U2F, des dizaines de services compatibles sont accessibles, listés par Neowave sur cette page. Parmi eux, on retrouve les services de Google (Gmail, YouTube, etc.), Twitter, Facebook, Dropbox,… Windows Hello peut également être
utilisé pour s'authentifier sur un compte Microsoft en ligne. Une fois
configuré, lors de la connexion à votre compte Microsoft, il vous suffit de
choisir Windows Hello et d'utiliser cette clé de sécurité en confirmant votre code PIN pour vous connecter sans avoir à recevoir de SMS.
La sécurité
C’est l’un des points forts de cette offre. Neowave et WISeKey International, spécialisée dans les puces cryptographiques pour la sécurité des dispositifs, ont travaillé ensemble en 2019 afin de renforcer le niveau de protection de cette clé en y intégrant un microcontrôleur sécurisé WISeKey. Cette solution a reçu le Label « France Cybersecurity ». La carte à puce est également protégée des chocs mécaniques et électriques.
Les « plus »
La clé FIDO 2 peut stocker jusqu’à 200 identités numériques et dispose, nous le disions, d’un microcontrôleur WISeKey offrant un niveau de sécurité de type bancaire et gouvernemental.
Comment choisir une clé d'authentification ?
La double authentification 2FA
Lorsqu'il s'agit de protéger ses comptes en ligne et son identité, mieux vaut être un peu parano. L'utilisation de mots de passe forts, associée à une double authentification (aussi appelée 2 FA pour « Two-Factor Authentication », ou U2F pour « Universal Second Factor ») garantit un niveau élevé de protection. Or la double authentification peut se mettre en œuvre de différentes manières.
La méthode la plus connue est certainement celle du code reçu par SMS ou email, toutefois pas toujours pratique quand vous attendez plusieurs minutes un code sur votre smartphone. Aussi, il est possible d'opter pour deux autres systèmes, tout aussi simples et performants : une application dédiée (Microsoft Authentificator, OTP Auth…) ou une clé spécifique. C’est cette seconde option qui fait l’objet de ce comparatif.
Physiquement, l'objet ressemble à une clé USB et se branche d'ailleurs sur un port USB ou un port USB-C Thunderbolt 3 pour les MacBook Air, les deux configurations que nous avons testées ici. Certaines clés intègrent même la technologie NFC et/ou le Bluetooth, ce qui permet de les utiliser avec un smartphone Android ou un iPhone.
Les normes des clés d'authentification
Les clés que nous avons retenues prennent en charge une norme open source appelée FIDO U2F et FIDO2.
FIDO U2F, le plus ancien des deux standards (2014), est un protocole avec un second facteur d’authentification, U2F signifiant « Universal 2nd Factor ». Cette méthode permet à l’utilisateur d’accéder à une ressource informatique (un ordinateur, un smartphone, un site Web, une application, etc.) après avoir présenté deux preuves d’identité distinctes à un mécanisme d’authentification. Ce second facteur d’authentification peut être un code envoyé par SMS, l’application Google Authenticator, ou tout simplement une clé USB Winkeo FIDO U2F.
FIDO2 est un moyen d’authentification plus récent (fin 2019). Cette méthode remplace le couple « login/mot de passe + second facteur d’authentification » par un code PIN. FIDO2 est intégré en natif à Windows 10 et Azure Active Directory (serveur Web de Microsoft).
Avec quels services ces clés fonctionnent-elles ?
Ce type de clé représente donc un dispositif universel qui fonctionne avec la majorité des navigateurs ainsi qu'avec des services Web comme Gmail, Facebook, Dropbox, Twitter, Microsoft et bien d'autres. Elles peuvent aussi servir à sécuriser l’accès à votre session sous Windows, macOS ou Linux. Après avoir activé la double authentification sur chacun de vos comptes, il suffit d'appuyer sur un seul bouton. Résultat, le piratage devient quasi impossible, la clé ayant besoin d’être physiquement prise en main par un être humain. Yubico, première marque de notre comparatif, assure d'ailleurs : « Elle ne peut pas être piratée à distance. Aucun piratage de compte depuis 11 ans ».
Quels sont les inconvénients des clés d'authentification ?
Notons tout de même que tout n’est pas parfait avec ce système. Premièrement, cela nous oblige à avoir toujours sa clé U2F sur soi pour se connecter. Deuxièmement, si on a l'habitude de se connecter avec son smartphone, il est recommandé d’acheter un modèle compatible. Enfin, tous les sites ne proposent pas cette option d'authentification.