Google concrétise aujourd'hui une vision qu'il avait initialement exposée en janvier 2013, notamment dans un article de Wired intitulé « Google déclare la guerre au mot de passe ». Les comptes Google offrent effectivement une nouvelle méthode d'authentification à deux facteurs, exploitant une « Security Key » à la place d'un code à usage unique envoyé par SMS ou généré par une application mobile.
Concrètement l'utilisateur doit acquérir un périphérique USB compatible et l'associer à son compte. Dès lors pour s'authentifier à Gmail ou à n'importe quel autre service Google, il devra saisir son identifiant et son mot de passe, comme d'habitude, puis connecter le périphérique USB à un ordinateur et l'activer en pressant sur le seul bouton dont il dispose.
On retrouve donc deux facteurs — quelque chose qu'on sait (le mot de passe) ainsi que quelque chose qu'on possède — mais une « Security Key » est plus facile à utiliser qu'un code à six chiffres qu'il faut recopier après avoir déverrouillé son téléphone, à condition d'ailleurs qu'il ne soit pas déchargé. Elle est aussi plus sécurisée puisque sa conception l'empêche de fonctionner sur l'imitation d'un site, elle offre donc une protection contre le phishing.
Universal 2nd Factor : la cryptographie asymétrique à la portée du premier venu
Google exploite en fait le protocole Universal 2nd Factor (U2F) de l'alliance FIDO, un standard ouvert d'authentification. Ce protocole existe depuis près de deux ans et est déjà exploité en entreprise pour sécuriser des données sensibles, mais Google est le premier à porter son existence à la connaissance du grand public.La FIDO Alliance, pour Fast IDentity Online, est née en juillet 2012 en réponse au manque d'interopérabilité des solutions d'authentification forte. Une multitude d'acteurs — dont des intermédiaires de paiement (VISA, MasterCard, PayPal), des spécialistes de la sécurité (Oberthur, RSA, Yubico), des éditeurs et des fabricants (Google, Microsoft, Samsung, Lenovo, BlackBerry) — se sont réunis pour définir les spécifications de standards ouverts.
Le standard U2F exploite le mécanisme éprouvé de la cryptographie asymétrique, reposant sur des couples de clés privées et de clés publiques, en l'associant à un périphérique sécurisé tel qu'une carte à puce, un capteur biométrique (empreinte digitale, rétinienne) ou en l'occurrence une clé USB spécifique.
Un standard en voie de démocratisation
Ainsi si Chrome est le premier navigateur à prendre en charge l'U2F, et le seul à ce jour, d'autres navigateurs peuvent l'intégrer à leur tour du jour au lendemain.Dans le même ordre d'idée, ce n'est pas Google qui fournit les clés de sécurité. L'internaute peut utiliser n'importe quelle clé compatible FIDO U2F. Le fabricant Yubico, spécialiste du secteur, a d'ailleurs profité de l'occasion pour lancer un nouveau modèle premier prix, baptisé FIDO U2F Security Key, vendu 18 dollars HT, soit environ 18 euros TTC.
Ces clés ne sont pas reconnues comme un support de stockage de masse mais comme un clavier. Elles font appel aux spécifications et aux pilotes génériques HID (Human Interface Device class) et fonctionnent ainsi sur presque n'importe quel ordinateur. Sur mobile il faudra encore utiliser les codes à usage unique, en attendant que des badges sans contact NFC ou Bluetooth Low Energy ne se démocratisent.
Google profite donc de sa puissance de frappe pour populariser l'U2F, mais ce protocole risque fort de se démocratiser prochainement. Il permettra aux utilisateurs d'utiliser des mots de passe simples et identiques d'un service à un autre sans pour autant compromettre leur sécurité.
