U2F est une nouvelle norme pour les jetons d’authentification universels à deux facteurs. Ces jetons peuvent utiliser USB, NFC ou Bluetooth pour fournir une authentification à deux facteurs sur une variété de services. Il est déjà pris en charge dans Chrome, Firefox et Opera pour les comptes Google, Facebook, Dropbox et GitHub.
Cette norme est soutenue par l’alliance FIDO, qui comprend Google, Microsoft, PayPal, American Express, MasterCard, VISA, Intel, ARM, Samsung, Qualcomm, Bank of America et de nombreuses autres grandes entreprises. Attendez-vous à ce que les jetons de sécurité U2F soient bientôt partout.
Quelque chose de similaire deviendra bientôt plus répandu avec le API d’authentification Web. Ce sera une API d’authentification standard qui fonctionne sur toutes les plates-formes et tous les navigateurs. Il prendra en charge d’autres méthodes d’authentification ainsi que les clés USB. L’API d’authentification Web était à l’origine connue sous le nom de FIDO 2.0.
Qu’est-ce que c’est?
L’authentification à deux facteurs est un moyen essentiel de protéger vos comptes importants. Traditionnellement, la plupart des comptes n’ont besoin que d’un mot de passe pour se connecter – c’est un facteur, quelque chose que vous savez. Quiconque connaît le mot de passe peut accéder à votre compte.
L’authentification à deux facteurs nécessite quelque chose que vous savez et quelque chose que vous avez. Souvent, il s’agit d’un message envoyé à votre téléphone par SMS ou d’un code généré via une application comme Google Authenticator ou Authy sur votre téléphone. Quelqu’un a besoin de votre mot de passe et de l’accès au périphérique physique pour se connecter.
Mais l’authentification à deux facteurs n’est pas aussi simple qu’elle devrait l’être, et elle implique souvent la saisie de mots de passe et de messages SMS dans tous les services que vous utilisez. U2F est une norme universelle pour la création de jetons d’authentification physiques qui peuvent fonctionner avec n’importe quel service.
Si vous connaissez Yubikey—Une clé USB physique qui vous permet de vous connecter à LastPass et à d’autres services — vous serez familiarisé avec ce concept. Contrairement aux appareils Yubikey standard, U2F est une norme universelle. Initialement, U2F a été créé par Google et Yubico travaillant en partenariat.
Comment ça marche?
Actuellement, les périphériques U2F sont généralement de petits périphériques USB que vous insérez dans le port USB de votre ordinateur. Certains d’entre eux ont un support NFC afin qu’ils puissent être utilisés avec les téléphones Android. Il est basé sur la technologie de sécurité «carte à puce» existante. Lorsque vous l’insérez dans le port USB de votre ordinateur ou que vous le touchez contre votre téléphone, le navigateur de votre ordinateur peut communiquer avec la clé de sécurité USB à l’aide de la technologie de cryptage sécurisé et fournir la réponse correcte qui vous permet de vous connecter à un site Web.
Étant donné que cela fonctionne dans le cadre du navigateur lui-même, cela vous offre de belles améliorations de sécurité par rapport à l’authentification à deux facteurs typique. Tout d’abord, le navigateur vérifie qu’il communique avec le vrai site Web à l’aide du cryptage, afin que les utilisateurs ne soient pas incités à entrer leurs codes à deux facteurs dans de faux sites de phishing. Deuxièmement, le navigateur envoie le code directement au site Web, de sorte qu’un attaquant assis entre les deux ne peut pas capturer le code temporaire à deux facteurs et le saisir sur le site Web réel pour accéder à votre compte.
Le site Web peut également simplifier votre mot de passe. Par exemple, un site Web peut actuellement vous demander un mot de passe long, puis un code à deux facteurs, que vous devez tous deux saisir. Au lieu de cela, avec U2F, un site Web pourrait vous demander un code PIN à quatre chiffres dont vous devez vous souvenir, puis vous demander d’appuyer sur un bouton d’un périphérique USB ou de le toucher contre votre téléphone pour vous connecter.
L’alliance FIDO travaille également sur UAF, qui ne nécessite aucun mot de passe. Par exemple, il peut utiliser le capteur d’empreintes digitales d’un smartphone moderne pour vous authentifier auprès de divers services.
Vous pouvez en savoir plus sur la norme elle-même sur le site de l’alliance FIDO.
Où est-il pris en charge?
Google Chrome, Mozilla Firefox et Opera (basé sur Google Chrome) sont les seuls navigateurs prenant en charge U2F. Il fonctionne sur Windows, Mac, Linux et Chromebooks. Si vous disposez d’un jeton U2F physique et que vous utilisez Chrome, Firefox ou Opera, vous pouvez l’utiliser pour sécuriser vos comptes Google, Facebook, Dropbox et GitHub. D’autres grands services ne prennent pas encore en charge U2F.
U2F fonctionne également avec le Navigateur Google Chrome sur Android, en supposant que vous disposez d’une clé USB avec prise en charge NFC intégrée. Apple n’autorise pas les applications à accéder au matériel NFC, donc cela ne fonctionnera pas sur les iPhones.
Bien que les versions stables actuelles de Firefox prennent en charge U2F, il est désactivé par défaut. Vous aurez besoin de activer une préférence Firefox cachée pour activer le support U2F pour le moment.
La prise en charge des clés U2F se généralisera avec le lancement de l’API d’authentification Web. Cela fonctionnera même dans Microsoft Edge.
Comment vous pouvez l’utiliser
Vous avez juste besoin d’un jeton U2F pour commencer. Google vous demande de rechercher sur Amazon « Clé de sécurité FIDO U2F»Pour les trouver. Le top coûte 18 $ et est fabriqué par Yubico, une entreprise qui fabrique des clés de sécurité USB physiques. Le plus cher Yubikey NEO inclut la prise en charge NFC pour une utilisation avec les appareils Android.
Vous pouvez ensuite visiter les paramètres de votre compte Google, trouver la page de vérification en 2 étapes, puis cliquez sur l’onglet Clés de sécurité. Cliquez sur Ajouter une clé de sécurité et vous pourrez ajouter la clé de sécurité physique, dont vous aurez besoin pour vous connecter à votre compte Google. Le processus sera similaire pour les autres services prenant en charge U2F – consultez ce guide pour en savoir plus.
Ce n’est pas encore un outil de sécurité que vous pouvez utiliser partout, mais de nombreux services devraient éventuellement en ajouter une prise en charge. Attendez-vous à de grandes choses de l’API d’authentification Web et de ces clés U2F à l’avenir.
