Catégories
le matos

Yubico / Yubikey : clef usb “mot de passe”

Récemment un tweet m’a fait me pencher sur LastPass et via LastPass j’ai découvert – tard certains me diront – Yubico et son produit la Yubikey. Le nom n’inspire pas grand chose… et pourtant le produit est bien sympa !

A première vue on pourrait dire un lecteur d’empreintes digitales mais en fait palicou pas du tout. Mais alors qu’est-ce que c’est? 😉

La Yubikey est un petit périphérique USB reconnu comme un clavier de façon universelle (Mac / PC / même les iPads) qui – quand on appuie sur le bouton intégré – sert dans un système d’authentification.

Euh? Oui?

Les gens qui s’y connaissent un peu en sécurité sauront que le souci que je vais vous présenter n’a rien de nouveau : sur Internet on est globalement très peu sécurisés / à l’abri de l’utilisation illégale d’un de nos comptes. La plupart des sites / services n’utilisent pour vous authentifier qu’un simple couple nom d’utilisateur / mot de passe.

En gros toute personne qui arriverait à enregistrer votre trafic réseau (coucou réseau Wifi mal sécurisé ou Wifi public ..) peut capturer votre mot de passe qui … ne change pas (ou alors pas assez vite) et s’en servir pour utiliser vos comptes. Pas cool hein?

Vous avez peut être dans votre entourage des gens qui ont des porte-clefs avec un écran qui affiche des chiffres changeants en permanence? Si oui vous avez été “en contact” (attention hahaha) avec un périphérique destiné à améliorer la sécurité de certains services. Ces petites choses souvent commercialisées par RSA Security (photo) font qu’il est impossible de se connecter au compte bancaire d’une personne (enfin par exemple) sans être en possession de la petite chose.

Pour faire simple on peut dire que ces objets génèrent en permanence un “second” mot de passe (qui change donc tout le temps) .. qui fait que même si quelqu’un avait un keylogger [logiciel qui enregistre ce que vous tapez sur votre ordinateur] sur votre ordinateur, il ne pourrait pas se connecter à votre compte sans être en possession de l’objet, qu’on appelle des “tokens”.

// oui et donc Yubikey ? //

Yubikey est une solution du même genre qui sécurise des accès avec ce que l’on appelle l’OTP (One Time Password, des mots de passes valables juste une fois). A chaque pression sur le bouton , la clef est capable de remplir un champ et le service sur lequel vous essayez de vous connecter vérifiera immédiatement la validité de la clef. Si vous aviez une clef vous pourriez essayer ici.

Si on utilise juste une clef dans ce style pour vous identifier ça s’appelle One factor authentification, si on utilise la clef + un login/mot de passe ça s’appelle two factor authentification..

A la fin de l’article j’ai mis des vidéos pour vous montrer ce que ça peut faire 🙂

Pourquoi j’adore ce petit truc?

La Yubikey fonctionne sans batterie, sans driver, sur tout ordinateur et elle est d’une simplicité sans précédent. On peut s’en servir pour renforcer la sécurité d’un WordPress, pour authentifier les utilisateurs d’un forum phpBB, un VPN ou même Google Apps Premier.

Les “applications” de ce système ne parlent pas à tout le monde mais les développeurs trouveront ceci intéressant … Et si vous n’êtes pas développeurs, sachez que dans le futur vous serez potentiellement utilisateur d’un système de ce style 😉

Site de Yubico : hop hop hop

/// Vidéos ///

Utiliser la clef pour se loguer sur un Mac :

Utiliser la clef pour se loguer sur un site compatible :

Utiliser la clef pour se loguer sur Google Apps Premier :
http://www.youtube.com/watch?v=v3OevPjOges

(ce billet n’est sûrement pas aussi complet que certains le voudraient et sûrement bien trop pour d’autres… , n’hésitez pas à apporter votre avis / vos connaissances ^^ )

30 réponses sur « Yubico / Yubikey : clef usb “mot de passe” »

J’ai jamais vu de token en France. :/

J’ai découvert ça en Pologne à l’heure où en France, on pouvait (à peine) commencer à recevoir une carte de clés privées :/ (la France est en retard ? on va dire que je suis mauvaise langue…)

Là pour le PC, ca a l’air déjà plus efficace qu’un détecteur d’empreinte digitale (pour certains, trompables avec des gants en latex… :/).
Mais… si on l’oublie: on est eu :/
Si on se fait voler ses clés, on est eu aussi :/
(cela dit, bon coté: on ne risquera pas de se faire couper un doigt au moins ^^)

En tout cas, je connaissais pas.

C’est commandé!

Je suis en tout cas certain de l’utiliser pour WP!

Pour ma banque perso, cela varie, avec une c’est une clef RSA, avec 2 autres c’est un lecteur de carte à puce (avec code) ou je dois rentrer un code et il me génère un nouveau code à 8 chiffres et la dernière c’est une carte (format carte de crédit) avec un écran tactile incrusté et un “bouton” qui me génère également un code.

Plus qu’à attendre de le recevoir!

on va dire que se logguer, c’est s’identifier (par ex : si je vais sur le site de la SocGen, avec le login/mot de passe, j’ai accès aux comptes de Gonzague – mais je n’ai pas accès aux comptes suisses pour autant – et seulement aux comptes de Gonzague)

Avec ce token, on s’authentifie comme étant effectivement (littéralement : dans les faits) Gonzague.

Ainsi, pour avoir accès aux comptes de Gonzague, il faut s’identifier comme tel (login/mot de passe) et s’authentifier comme tel (token)

m’enfin, si on était moins chochotte avec la biométrie, on aurait tous un lecteur de carte rétinienne : on aurait du 3 en 1 (identification, authentification, mort ou vif 🙂

J’en ai une depuis un petit moment combinée avec LastPass, surtout pour sécuriser mes accès hors domicile. Sauf qu’au bout d’un moment je m’en suis lassé et donc je ne l’utilise plus 🙂

Mais c’est sympa pour découvrir le concept.

Ca m’a l’air bien sympathique…mais faut un site compatible, c’est un peu ça la problème. Parce que, au début, tu parle de LastPass, est que ça sous entends qu’on peut utiliser la Yubikey avec LastPass, en plus du mot de passe principal que crée celui-ci ? (Je sais pas si tu me comprends…)
Merci quand même de ton article, toujours un plaisir de te lire 😉

“token”, “token” si je ne me trompe c’est ça qu’ils utilisent dans les boutiques de mobile, no? Ils ont une petite clé qui leur indique un code changeant, et ils s’en servent lors des enregistrements clients, etc… toutefois eux ne la connectent pas à un quelconque ordi pour que ça fonctionne…. En tt cas maintenant on y voit un plus Clair. Merki

Tu veux dire que ça génère des mots de passe a chaque fois que tu va sur un site sécurisé ? mais ça marche comment, il faut re-connecter à chaque fois la clé pour chaque sites ?? pas tout compris

Pas sûr d’avoir tout saisi non plus, comment le service ‘sait’ que c’est toi? Je veux dire, ok, tu branche la clé et elle entre automatiquement un mot de passe quand tu touches le bouton, mais comment est fait le lien?

Il y a inscription ? Genre après enregistrement, le service sait que pour l’identifiant AAA sur le site BBB, le mdp doit correspondre à l’un de ceux générés par la clé CCC ?

Et si tu la perds, tout est bloqué? :p

Zelda : ça marche avec les sites qui sont compatibles (ou sinon aux développeurs de les rendre compatibles) , tu peux laisser la clef dans ton port USB
Pierre : le service XYZ , tu t’inscris dessus la première fois avec ta clef right? Dans la séquence de caractères qu’elle tape tout de seule y a une partie qui est un identifiant statique, le reste est un ensemble de données cryptées. La clef Yubikey est connue des serveurs Yubico dans sa configuration d’origine.

Après enregistrement sur le site BBBB avec la clef CCCC , on associe en base de donnée AAA et CCC 🙂

si tu la perds… faut prévoir un backup :il est possible d’intégrer la solution sur un site et de stocker deux clefs 🙂

Romain : non pas bien compris :d il n’y a pas que les Wifi qui sont faibles en sécurité. En plus ce petit bidule peut servir en entreprise , pour protéger des ressources sensibles etc 🙂

Ah ok! 🙂 mais je pense qu’il y’a d’autes moyens totalement gratuits poursécurisés ses infos, mais bon c’est plus acessible avec ce genre de gadgets ^^

J’utilise actuellement ma yubikey pour mon ssh (pass + OTP). C’est vraiment pratique quand on est sur une machine inconnue: plus de risque de keylogger, il faudra aussi la Yubikey.

Pour Windows (bawé les entreprises ca fonctionne surtout la dessus), on a le choix entre AuthLite (facile a déployer, plutôt transparent pour l’utilisateur lors de la mise en place, s’intègre avec Active Directory) et Rohos (utilisation plutot locale, permet de verrouiller la station quand la clef est retirée).
Manque quand même un projet OpenSource pour Windows. Ca pourrait être assez interessant pour beaucoup de monde.

Enfin, c’est un moyen très pratique pour diminuer le risque que les lusers font courir a votre système. Et ça a l’avantage de ne pas trop les emmerder, sans quoi ils n’arrêteraient pas de se plaindre.

Un très bon système.
Plus pratique à utiliser que les clés où il faut recopier le mot de passe avant qu’il ne change, ou attendre 10s car le temps qu’on le tape, il aura changé.

Le seul soucis, c’est que tant que ce type de produit ne se sera pas démocratisé, son utilisation restera assez anecdotique. Ou alors on s’en servira en entreprise uniquement, car certaines équiperont l’intégralité de leurs employés.

Intéressant gonzague je ne connaissais pas , j’ai pas trop bien saisie quelque trucs .. une petite vidéo fait pas tes soins avec une petite démo aurait été la bienvenue .
Mais merci quand même 😛

Moi j’ai une clé token pour le boulot. toutes les minutes le code inscrit dessus change. Elle est associée avec un logiciel spécifique sur mon ordi + un mote de passe que moi seul connait.
C’est hyperfiable et à la seconde près si on entre pas le bon code la connexion on est jeté du réseau.

Le seul inconvénient c’est que ça rajoute un truc au porte clé qui est déjà pas mal garni…

C’est bizarre que personne n’en voi en France… pourtant je ne bosse pas pour une boite qui fais des trucs hyper sensible… :/ (Ha… si… elle est américaine… lol… ça doit être ça ;)).

@Jibz, je t’invite à te renseigner sur la notion de clefs publique/privée.

Et la Yubikey est configurable, pas fixe à la fabrication. Donc pas de souci de sécurité de ce côté la.

Une question bête survient à mon esprit… La reconnaissance faciale est devenue monnaie courante, bientôt Facebook va l’implémenter pour tagger automatiquement ses photos… Pourquoi ne pas associer à cela une carte telle un flashcode fourni avec nos cartes bleues, et la webcam se chargerait de nos identifications…Si on se fait voler le flashcode, faut encore que le voleur nous ait pris en photo comme il faut… Si on se fait enlever, y’a des chances qu’on ait pas le flashcode sur soi… Associé à un mot de passe, ça serait compatible avec tous les ordis équipés de webcams et pourquoi pas certains téléphones…

Bonjour!

J’aime bien votre blog , je travaille dans une agence de presse software,j’aimerais bien vous faire la promotion et publier votre article . Sujet devrra etre liee avec securite informatique.L’article sera publie dans le magazine hak9. Je suis a votre disposition. Merci

Bien cordialement

Krzysztof Przezdziecki

voici mon adresse e-mail [email protected]

Laisser un commentaire