Gonzague Dambricourt

Yubico / Yubikey : clef usb “mot de passe”

Récemment un tweet m’a fait me pencher sur LastPass et via LastPass j’ai découvert – tard certains me diront – Yubico et son produit la Yubikey. Le nom n’inspire pas grand chose… et pourtant le produit est bien sympa !

A première vue on pourrait dire un lecteur d’empreintes digitales mais en fait palicou pas du tout. Mais alors qu’est-ce que c’est? 😉

La Yubikey est un petit périphérique USB reconnu comme un clavier de façon universelle (Mac / PC / même les iPads) qui – quand on appuie sur le bouton intégré – sert dans un système d’authentification.

Euh? Oui?

Les gens qui s’y connaissent un peu en sécurité sauront que le souci que je vais vous présenter n’a rien de nouveau : sur Internet on est globalement très peu sécurisés / à l’abri de l’utilisation illégale d’un de nos comptes. La plupart des sites / services n’utilisent pour vous authentifier qu’un simple couple nom d’utilisateur / mot de passe.

En gros toute personne qui arriverait à enregistrer votre trafic réseau (coucou réseau Wifi mal sécurisé ou Wifi public ..) peut capturer votre mot de passe qui … ne change pas (ou alors pas assez vite) et s’en servir pour utiliser vos comptes. Pas cool hein?

Vous avez peut être dans votre entourage des gens qui ont des porte-clefs avec un écran qui affiche des chiffres changeants en permanence? Si oui vous avez été “en contact” (attention hahaha) avec un périphérique destiné à améliorer la sécurité de certains services. Ces petites choses souvent commercialisées par RSA Security (photo) font qu’il est impossible de se connecter au compte bancaire d’une personne (enfin par exemple) sans être en possession de la petite chose.

Pour faire simple on peut dire que ces objets génèrent en permanence un “second” mot de passe (qui change donc tout le temps) .. qui fait que même si quelqu’un avait un keylogger [logiciel qui enregistre ce que vous tapez sur votre ordinateur] sur votre ordinateur, il ne pourrait pas se connecter à votre compte sans être en possession de l’objet, qu’on appelle des “tokens”.

// oui et donc Yubikey ? //

Yubikey est une solution du même genre qui sécurise des accès avec ce que l’on appelle l’OTP (One Time Password, des mots de passes valables juste une fois). A chaque pression sur le bouton , la clef est capable de remplir un champ et le service sur lequel vous essayez de vous connecter vérifiera immédiatement la validité de la clef. Si vous aviez une clef vous pourriez essayer ici.

Si on utilise juste une clef dans ce style pour vous identifier ça s’appelle One factor authentification, si on utilise la clef + un login/mot de passe ça s’appelle two factor authentification..

A la fin de l’article j’ai mis des vidéos pour vous montrer ce que ça peut faire 🙂

Pourquoi j’adore ce petit truc?

La Yubikey fonctionne sans batterie, sans driver, sur tout ordinateur et elle est d’une simplicité sans précédent. On peut s’en servir pour renforcer la sécurité d’un WordPress, pour authentifier les utilisateurs d’un forum phpBB, un VPN ou même Google Apps Premier.

Les “applications” de ce système ne parlent pas à tout le monde mais les développeurs trouveront ceci intéressant … Et si vous n’êtes pas développeurs, sachez que dans le futur vous serez potentiellement utilisateur d’un système de ce style 😉

Site de Yubico : hop hop hop

/// Vidéos ///

Utiliser la clef pour se loguer sur un Mac :

Utiliser la clef pour se loguer sur un site compatible :

Utiliser la clef pour se loguer sur Google Apps Premier :
http://www.youtube.com/watch?v=v3OevPjOges

(ce billet n’est sûrement pas aussi complet que certains le voudraient et sûrement bien trop pour d’autres… , n’hésitez pas à apporter votre avis / vos connaissances ^^ )

Quitter la version mobile