Gonzague Dambricourt

Blog perso d'un garçon curieux qui parle dans son sommeil

Publié le par Gonzague Dambricourt


Récemment un tweet m'a fait me pencher sur LastPass et via LastPass j'ai découvert - tard certains me diront - Yubico et son produit la Yubikey. Le nom n'inspire pas grand chose... et pourtant le produit est bien sympa !

A première vue on pourrait dire un lecteur d'empreintes digitales mais en fait palicou pas du tout. Mais alors qu'est-ce que c'est? ;-)

La Yubikey est un petit périphérique USB reconnu comme un clavier de façon universelle (Mac / PC / même les iPads) qui - quand on appuie sur le bouton intégré - sert dans un système d'authentification.

Euh? Oui?

Les gens qui s'y connaissent un peu en sécurité sauront que le souci que je vais vous présenter n'a rien de nouveau : sur Internet on est globalement très peu sécurisés / à l'abri de l'utilisation illégale d'un de nos comptes. La plupart des sites / services n'utilisent pour vous authentifier qu'un simple couple nom d'utilisateur / mot de passe.

En gros toute personne qui arriverait à enregistrer votre trafic réseau (coucou réseau Wifi mal sécurisé ou Wifi public ..) peut capturer votre mot de passe qui ... ne change pas (ou alors pas assez vite) et s'en servir pour utiliser vos comptes. Pas cool hein?

Vous avez peut être dans votre entourage des gens qui ont des porte-clefs avec un écran qui affiche des chiffres changeants en permanence? Si oui vous avez été "en contact" (attention hahaha) avec un périphérique destiné à améliorer la sécurité de certains services. Ces petites choses souvent commercialisées par RSA Security (photo) font qu'il est impossible de se connecter au compte bancaire d'une personne (enfin par exemple) sans être en possession de la petite chose.

Pour faire simple on peut dire que ces objets génèrent en permanence un "second" mot de passe (qui change donc tout le temps) .. qui fait que même si quelqu'un avait un keylogger [logiciel qui enregistre ce que vous tapez sur votre ordinateur] sur votre ordinateur, il ne pourrait pas se connecter à votre compte sans être en possession de l'objet, qu'on appelle des "tokens".

// oui et donc Yubikey ? //

Yubikey est une solution du même genre qui sécurise des accès avec ce que l'on appelle l'OTP (One Time Password, des mots de passes valables juste une fois). A chaque pression sur le bouton , la clef est capable de remplir un champ et le service sur lequel vous essayez de vous connecter vérifiera immédiatement la validité de la clef. Si vous aviez une clef vous pourriez essayer ici.

Si on utilise juste une clef dans ce style pour vous identifier ça s'appelle One factor authentification, si on utilise la clef + un login/mot de passe ça s'appelle two factor authentification..

A la fin de l'article j'ai mis des vidéos pour vous montrer ce que ça peut faire :-)

Pourquoi j'adore ce petit truc?

La Yubikey fonctionne sans batterie, sans driver, sur tout ordinateur et elle est d'une simplicité sans précédent. On peut s'en servir pour renforcer la sécurité d'un WordPress, pour authentifier les utilisateurs d'un forum phpBB, un VPN ou même Google Apps Premier.

Les "applications" de ce système ne parlent pas à tout le monde mais les développeurs trouveront ceci intéressant ... Et si vous n'êtes pas développeurs, sachez que dans le futur vous serez potentiellement utilisateur d'un système de ce style ;-)

Site de Yubico : hop hop hop

/// Vidéos ///

Utiliser la clef pour se loguer sur un Mac :

Utiliser la clef pour se loguer sur un site compatible :

Utiliser la clef pour se loguer sur Google Apps Premier :

(ce billet n'est sûrement pas aussi complet que certains le voudraient et sûrement bien trop pour d'autres... , n'hésitez pas à apporter votre avis / vos connaissances ^^ )

Page actuelle : Gonzague Dambricourt » le matos » Yubico / Yubikey : clef usb "mot de passe"
| Tagged , ,


  • http://www.facegeek.net facegeek

    Moi, je pense que c'est l'avenir de la sécurité :)

  • Critidos

    J'ai jamais vu de token en France. :/

    J'ai découvert ça en Pologne à l'heure où en France, on pouvait (à peine) commencer à recevoir une carte de clés privées :/ (la France est en retard ? on va dire que je suis mauvaise langue...)

    Là pour le PC, ca a l'air déjà plus efficace qu'un détecteur d'empreinte digitale (pour certains, trompables avec des gants en latex... :/).
    Mais... si on l'oublie: on est eu :/
    Si on se fait voler ses clés, on est eu aussi :/
    (cela dit, bon coté: on ne risquera pas de se faire couper un doigt au moins ^^)

    En tout cas, je connaissais pas.

  • http://www.blackberry-fr.com Alexandre

    C'est commandé!

    Je suis en tout cas certain de l'utiliser pour WP!

    Pour ma banque perso, cela varie, avec une c'est une clef RSA, avec 2 autres c'est un lecteur de carte à puce (avec code) ou je dois rentrer un code et il me génère un nouveau code à 8 chiffres et la dernière c'est une carte (format carte de crédit) avec un écran tactile incrusté et un "bouton" qui me génère également un code.

    Plus qu'à attendre de le recevoir!

  • http://www.vicnent.info/blog/ Vicnent

    on va dire que se logguer, c'est s'identifier (par ex : si je vais sur le site de la SocGen, avec le login/mot de passe, j'ai accès aux comptes de Gonzague - mais je n'ai pas accès aux comptes suisses pour autant - et seulement aux comptes de Gonzague)

    Avec ce token, on s'authentifie comme étant effectivement (littéralement : dans les faits) Gonzague.

    Ainsi, pour avoir accès aux comptes de Gonzague, il faut s'identifier comme tel (login/mot de passe) et s'authentifier comme tel (token)

    m'enfin, si on était moins chochotte avec la biométrie, on aurait tous un lecteur de carte rétinienne : on aurait du 3 en 1 (identification, authentification, mort ou vif :-)

  • http://www.papygeek.com/ PapyGeek

    J'en ai une depuis un petit moment combinée avec LastPass, surtout pour sécuriser mes accès hors domicile. Sauf qu'au bout d'un moment je m'en suis lassé et donc je ne l'utilise plus :)

    Mais c'est sympa pour découvrir le concept.

  • http://www.alexizzz.fr Alexizzz

    Ca m'a l'air bien sympathique...mais faut un site compatible, c'est un peu ça la problème. Parce que, au début, tu parle de LastPass, est que ça sous entends qu'on peut utiliser la Yubikey avec LastPass, en plus du mot de passe principal que crée celui-ci ? (Je sais pas si tu me comprends...)
    Merci quand même de ton article, toujours un plaisir de te lire ;-)

  • http://www.zuneo.net ¥€$

    Sinon y a Sneakey aussi http://goo.gl/jQfy

  • Mick

    "token", "token" si je ne me trompe c'est ça qu'ils utilisent dans les boutiques de mobile, no? Ils ont une petite clé qui leur indique un code changeant, et ils s'en servent lors des enregistrements clients, etc... toutefois eux ne la connectent pas à un quelconque ordi pour que ça fonctionne.... En tt cas maintenant on y voit un plus Clair. Merki

  • http://www.thebibyfokshow.fr bibyfok

    Au final, est ce qu'une utilisation quotidienne pour gerer tous ses mots de passe est possible ? Est-ce universel ?

  • zelda

    Tu veux dire que ça génère des mots de passe a chaque fois que tu va sur un site sécurisé ? mais ça marche comment, il faut re-connecter à chaque fois la clé pour chaque sites ?? pas tout compris

  • Pierre

    Pas sûr d'avoir tout saisi non plus, comment le service 'sait' que c'est toi? Je veux dire, ok, tu branche la clé et elle entre automatiquement un mot de passe quand tu touches le bouton, mais comment est fait le lien?

    Il y a inscription ? Genre après enregistrement, le service sait que pour l'identifiant AAA sur le site BBB, le mdp doit correspondre à l'un de ceux générés par la clé CCC ?

    Et si tu la perds, tout est bloqué? :p

  • Gonzague

    Zelda : ça marche avec les sites qui sont compatibles (ou sinon aux développeurs de les rendre compatibles) , tu peux laisser la clef dans ton port USB
    Pierre : le service XYZ , tu t'inscris dessus la première fois avec ta clef right? Dans la séquence de caractères qu'elle tape tout de seule y a une partie qui est un identifiant statique, le reste est un ensemble de données cryptées. La clef Yubikey est connue des serveurs Yubico dans sa configuration d'origine.

    Après enregistrement sur le site BBBB avec la clef CCCC , on associe en base de donnée AAA et CCC :)

    si tu la perds... faut prévoir un backup :il est possible d'intégrer la solution sur un site et de stocker deux clefs :)

  • http://www.dailymotion.com/romain517 Romain

    Si j'ai bien compris, cette clé ne sert que pour les personnes qui déplacent et uilisent un réseau wifi partagé ?

  • Gonzague

    Romain : non pas bien compris :d il n'y a pas que les Wifi qui sont faibles en sécurité. En plus ce petit bidule peut servir en entreprise , pour protéger des ressources sensibles etc :)

  • sfsfsf

    dadaw

  • http://www.dailymotion.com/romain517 Romain

    Ah ok! :) mais je pense qu'il y'a d'autes moyens totalement gratuits poursécurisés ses infos, mais bon c'est plus acessible avec ce genre de gadgets ^^

  • TheD

    Jpeut pas je suis sur un macbook air :D

  • Adrien

    J'utilise actuellement ma yubikey pour mon ssh (pass + OTP). C'est vraiment pratique quand on est sur une machine inconnue: plus de risque de keylogger, il faudra aussi la Yubikey.

    Pour Windows (bawé les entreprises ca fonctionne surtout la dessus), on a le choix entre AuthLite (facile a déployer, plutôt transparent pour l'utilisateur lors de la mise en place, s'intègre avec Active Directory) et Rohos (utilisation plutot locale, permet de verrouiller la station quand la clef est retirée).
    Manque quand même un projet OpenSource pour Windows. Ca pourrait être assez interessant pour beaucoup de monde.

    Enfin, c'est un moyen très pratique pour diminuer le risque que les lusers font courir a votre système. Et ça a l'avantage de ne pas trop les emmerder, sans quoi ils n'arrêteraient pas de se plaindre.

  • beubeul0301

    pas mal se petit système

  • http://blog.cybervince.net Cybervince

    Un très bon système.
    Plus pratique à utiliser que les clés où il faut recopier le mot de passe avant qu'il ne change, ou attendre 10s car le temps qu'on le tape, il aura changé.

    Le seul soucis, c'est que tant que ce type de produit ne se sera pas démocratisé, son utilisation restera assez anecdotique. Ou alors on s'en servira en entreprise uniquement, car certaines équiperont l'intégralité de leurs employés.

  • Romain D.

    Mais moi je demande que tu nous la présente en vidéo fait par tes soin !!!

  • nozil

    Moins techno mais tout aussi efficace et facile à remplacer si l'utilisateur le perd, (si si ils sont comme ça les utilisateurs !!!) c'est la elcard :
    http://www.elca.ch/elcard/fr

  • Nicolas

    Intéressant gonzague je ne connaissais pas , j'ai pas trop bien saisie quelque trucs .. une petite vidéo fait pas tes soins avec une petite démo aurait été la bienvenue .
    Mais merci quand même :P

  • Jibz

    Pas mal, jusqu'au jour où un geek va retourner la clé pour en faire un keygen.. ;)

  • arow

    Moi j'ai une clé token pour le boulot. toutes les minutes le code inscrit dessus change. Elle est associée avec un logiciel spécifique sur mon ordi + un mote de passe que moi seul connait.
    C'est hyperfiable et à la seconde près si on entre pas le bon code la connexion on est jeté du réseau.

    Le seul inconvénient c'est que ça rajoute un truc au porte clé qui est déjà pas mal garni...

    C'est bizarre que personne n'en voi en France... pourtant je ne bosse pas pour une boite qui fais des trucs hyper sensible... :/ (Ha... si... elle est américaine... lol... ça doit être ça ;)).

  • http://aquab0n.over-blog.com aquab0n

    Intéressant comme produit je m'y intéresserai surement lorsque je créerais mon propre site (toujours sur mon blog pour l'instant ^^')

  • Adrien

    @Jibz, je t'invite à te renseigner sur la notion de clefs publique/privée.

    Et la Yubikey est configurable, pas fixe à la fabrication. Donc pas de souci de sécurité de ce côté la.

  • http://www.Leblogdefadwa.blogspot.com Leblogdefadwa

    Et si on la perd ?

  • http://yomansland.wordpress.com TheYomansland

    Une question bête survient à mon esprit... La reconnaissance faciale est devenue monnaie courante, bientôt Facebook va l'implémenter pour tagger automatiquement ses photos... Pourquoi ne pas associer à cela une carte telle un flashcode fourni avec nos cartes bleues, et la webcam se chargerait de nos identifications...Si on se fait voler le flashcode, faut encore que le voleur nous ait pris en photo comme il faut... Si on se fait enlever, y'a des chances qu'on ait pas le flashcode sur soi... Associé à un mot de passe, ça serait compatible avec tous les ordis équipés de webcams et pourquoi pas certains téléphones...

  • Krzysztof Przezdziecki

    Bonjour!

    J'aime bien votre blog , je travaille dans une agence de presse software,j'aimerais bien vous faire la promotion et publier votre article . Sujet devrra etre liee avec securite informatique.L'article sera publie dans le magazine hak9. Je suis a votre disposition. Merci

    Bien cordialement

    Krzysztof Przezdziecki

    voici mon adresse e-mail krzysztof.przezdziecki@software.com.pl