Pourquoi l'U2F est important : comment il fonctionne et pourquoi vous en avez besoin.

FIDO U2F est important pour sécuriser votre processus d'authentification. Il protège votre compte contre la prise de contrôle malveillante, y compris l'hameçonnage. Assurez-vous de ne jamais perdre l'accès à votre identité en ligne !

Why U2F is important: Protect your login credentials.

En tant qu'experts en sécurité, nous vous recommandons de protéger vos comptes avec l'authentification à deux facteurs U2F. Vous utilisez une clé pour verrouiller votre porte d'entrée ou votre voiture. De même, vous devez utiliser une clé pour verrouiller vos comptes en ligne, car ils sont tout aussi précieux et nécessitent autant de protection. Sécuriser vos comptes numériques avec une clé matérielle U2F est l'option la plus sûre pour protéger vos identifiants de connexion ! Dans cet article, nous expliquons pourquoi U2F est important et comment il fonctionne.


FIDO U2F expliqué

tl;dr : U2F est important car c’est l’option la plus sûre pour protéger vos comptes. Activez-la dans la mesure du possible.

En fait, U2F est tellement important que tous les services de messagerie devraient le prendre en charge.

La raison en est simple : Votre compte de messagerie est la porte d’entrée de votre identité en ligne. Des services comme Amazon, Twitter, PayPal et d’autres sont liés à votre compte de messagerie, et les mots de passe de ces services peuvent être facilement réinitialisés si un attaquant malveillant a obtenu l’accès à votre boîte aux lettres.

C’est contre cela que FIDO U2F vous protège. S’il est activé sur votre compte de messagerie, par exemple sur Tutanota, il sera pratiquement impossible pour des attaquants malveillants de s’emparer de votre boîte aux lettres.

Qu’est-ce que FIDO U2F (Universal 2nd Factor) ? - Définition

U2F est une norme d’authentification ouverte qui utilise une seule clé pour plusieurs services. Elle simplifie et renforce la sécurité offerte par l’authentification à deux facteurs (2FA), car aucun pilote ou logiciel client n’est nécessaire.

L’authentification universelle à deuxième facteur fait référence à un dispositif distinct qui détient une clé secrète supplémentaire nécessaire pour se connecter à votre (vos) compte(s) numérique(s). Au lieu d’entrer un certain code (OTP), il vous suffit de brancher un dispositif comme second facteur.

U2F vs 2FA

U2F n’est pas la même chose que 2FA : 2FA est une authentification à deux facteurs qui inclut toutes les méthodes pour le deuxième facteur (SMS, TOTP, U2F et autres). L’U2F n’est qu’une option parmi d’autres pour mettre en place l’authentification à deux facteurs, mais c’est la plus sûre !

Quels sont les avantages de l’U2F ?

  1. Authentification rapide : Réduit le temps d’authentification
  2. Sécurité renforcée : Pas de prise de contrôle de compte en cas de déploiement complet
  3. Choix multiples : Accès à près de 1 000 applications et services

Quels sont les inconvénients ?

Les solutions U2F présentent un inconvénient majeur par rapport à TOTP (qui utilise un secret partagé) : L’U2F ne permet pas de sauvegarder les codes de récupération des secrets partagés.

En cas de perte d’une clé matérielle, il devient impossible de se connecter aux services et applications qui ont été sécurisés à l’origine avec cette clé matérielle. La plupart des services proposent donc un moyen de réinitialiser les identifiants de connexion pour retrouver l’accès.

Par exemple, Tutanota propose un code de récupération qui doit être saisi avec le mot de passe correct pour réinitialiser (dans ce cas : supprimer) une clé matérielle U2F perdue. En outre, Tutanota permet d’enregistrer plusieurs clés matérielles. Si l’une d’entre elles est perdue, les utilisateurs peuvent toujours se connecter avec l’une des autres clés U2F enregistrées.

Pourquoi l’U2F est-il important ?

Zwei-Faktor-Authentifizierung in Tutanota. Zwei-Faktor-Authentifizierung in Tutanota.

Sécurité U2F

L’U2F - l’authentification à deuxième facteur avec une clé de sécurité matérielle - est le moyen le plus sûr de protéger vos comptes en ligne contre les attaques malveillantes.

Elle est également plus sûre que l’authentification à deuxième facteur via OTP ou TOTP, c’est pourquoi Tutanota recommande vivement d’activer une clé matérielle pour protéger votre boîte aux lettres cryptée.

Comment l’U2F protège-t-il contre le phishing ?

U2F durcit vos identifiants de connexion, ce qui garantit que personne ne peut s’emparer de vos comptes - même après une attaque de phishing réussie.

Les e-mails de phishing deviennent de plus en plus sophistiqués, ce qui augmente le risque de tomber dans le piège de ces attaques. L’expéditeur du courriel d’hameçonnage tente généralement de vous faire cliquer sur un lien où vous êtes censé saisir votre mot de passe. Dans ce cas, l’attaquant peut facilement voler votre mot de passe et s’emparer de votre compte.

Toutefois, si un deuxième facteur comme U2F a été activé sur votre compte, le mot de passe sera inutile pour l’attaquant et votre compte sera en sécurité.

En outre, une connexion d’utilisateur activée par U2F est liée à l’origine, ce qui signifie que seul le site réel peut s’authentifier avec la clé (deuxième facteur). L’authentification échouera sur tout faux site de phishing, même si l’utilisateur a été trompé en pensant qu’il s’agissait d’un vrai site.

Pourquoi activer un deuxième facteur ?

  1. L’U2F augmente la protection de vos comptes (tels que les comptes de courrier électronique, de lecteur, de médias sociaux).
  2. U2F est la version la plus sûre de l’authentification à deux facteurs.
  3. Un dispositif U2F crée une clé cryptographique pour déverrouiller votre compte.
  4. Les attaques par hameçonnage deviennent quasiment impossibles avec l’U2F.

Comment fonctionne l’U2F ?

Pour l’utilisateur, U2F est très simple. Vous pouvez activer la même clé matérielle U2F sur tous vos comptes, tels que Tutanota, Amazon ou Twitter. Lorsque vous vous connectez, vous entrez votre nom d’utilisateur et votre mot de passe, puis il vous suffit d’insérer la clé matérielle de type USB dans votre appareil et d’appuyer dessus pour terminer le processus d’authentification.

D’un point de vue technique, le processus est beaucoup plus complexe. L’Alliance Fido l’explique comme suit :

“Le dispositif et le protocole U2F doivent garantir la confidentialité et la sécurité de l’utilisateur. Au cœur du protocole, le dispositif U2F a une capacité (idéalement, incorporée dans un élément sécurisé) qui frappe une paire de clés publique/privée spécifique à l’origine. Le dispositif U2F donne la clé publique et une poignée de clé au service en ligne ou au site web d’origine lors de l’étape d’enregistrement de l’utilisateur”.

”Plus tard, lorsque l’utilisateur procède à une authentification, le service en ligne ou le site web d’origine renvoie l’identifiant de clé au dispositif U2F par l’intermédiaire du navigateur. Le dispositif U2F utilise le key handle pour identifier la clé privée de l’utilisateur et crée une signature qui est renvoyée à l’origine pour vérifier la présence du dispositif U2F. Ainsi, l’identifiant de clé est simplement un identifiant d’une clé particulière sur le dispositif U2F”.

”La paire de clés créée par le dispositif U2F lors de l’enregistrement est spécifique à l’origine. Lors de l’enregistrement, le navigateur envoie au dispositif U2F un hachage de l’origine (combinaison du protocole, du nom d’hôte et du port). Le dispositif U2F renvoie une clé publique et une poignée de clé. Il est très important de noter que le dispositif U2F encode l’origine de la demande dans l’identifiant de la clé.

”Plus tard, lorsque l’utilisateur tente de s’authentifier, le serveur renvoie le Key Handle de l’utilisateur au navigateur. Le navigateur envoie ce key handle et le hash de l’origine qui demande l’authentification. Le dispositif U2F s’assure qu’il a délivré cette clé à ce hachage d’origine particulier avant d’effectuer toute opération de signature. En cas de non-concordance, aucune signature n’est renvoyée. Cette vérification de l’origine garantit que les clés publiques et les poignées de clés délivrées par un dispositif U2F à un service en ligne ou à un site web particulier ne peuvent pas être utilisées par un service en ligne ou un site web différent (c’est-à-dire un site dont le nom est différent sur un certificat SSL valide). Il s’agit là d’une propriété essentielle en matière de protection de la vie privée : en supposant que le navigateur fonctionne correctement, un site ne peut vérifier l’identité d’un utilisateur avec son dispositif U2F qu’à l’aide d’une clé délivrée à ce site particulier par ce dispositif U2F particulier. En l’absence de ce contrôle d’origine, une clé publique et un Key Handle délivrés par un dispositif U2F pourraient être utilisés comme “supercookie”, ce qui permettrait à plusieurs sites de connivence de vérifier et de mettre en corrélation l’identité d’un utilisateur donné.

”L’utilisateur est en mesure d’utiliser le même dispositif sur plusieurs sites web - il sert ainsi de trousseau de clés web physique de l’utilisateur avec de multiples clés (virtuelles) pour divers sites approvisionnés à partir d’un seul dispositif physique. Grâce à la norme ouverte U2F, n’importe quelle origine pourra utiliser n’importe quel navigateur (ou système d’exploitation) prenant en charge la norme U2F pour communiquer avec n’importe quel appareil compatible U2F présenté par l’utilisateur afin de permettre une authentification forte.”


Historique

Universal 2nd Factor (U2F) est une norme ouverte qui renforce et simplifie l’authentification à deux facteurs (2FA) à l’aide de dispositifs spécialisés de type Universal Serial Bus (USB) ou near-field communication (NFC). Elle est relayée par le projet FIDO2, qui comprend la norme W3C Web Authentication (WebAuthn) et le protocole CTAP2 (Client to Authenticator Protocol 2) de l’alliance FIDO.

Initialement développée par Google et Yubico, avec la contribution de NXP Semiconductors, la norme est désormais hébergée par la seule FIDO Alliance.

Vous trouverez ici une liste de tous les services qui prennent en charge les clés U2F.

Objectif : authentification forte et confidentialité sur le web

L’écosystème U2F est conçu pour fournir une authentification forte aux utilisateurs sur le web tout en préservant leur vie privée.

L’utilisateur porte sur lui un “dispositif U2F” qui constitue un deuxième facteur lui permettant de se connecter à ses comptes en ligne. De cette manière, ces comptes peuvent être sécurisés, y compris contre les attaques de phishing.

Les clés matérielles U2F sont une grande réussite, car elles garantissent la sécurité des personnes et de leurs comptes en ligne sur le web.


Comparaison des différentes options d’authentification à deux facteurs (2FA)

Dispositif de sécurité : U2F

  • Option la plus sûre
  • La clé privée est stockée localement sur le dispositif U2F.
  • Garantit une protection contre les attaques de type “man-in-the-middle” (MITM) et l’hameçonnage.
  • Nécessite un dispositif matériel
  • Aucune saisie manuelle n’est nécessaire

Application Authenticator : TOTP

  • Une application génère des codes qui ne sont valables que pendant une courte période (Google Authenticator, Authy, etc.).
  • Saisie manuelle requise à chaque connexion
  • Ne nécessite pas de dispositif matériel
  • Ne protège pas la connexion sur l’appareil mobile car l’application sur l’appareil mobile génère un deuxième facteur.

Application Authenticator : HOTP

  • Une application génère des codes qui sont valables pour toujours (Google Authenticator, Authy, etc.)
  • Les codes doivent être stockés en toute sécurité
  • Une saisie manuelle est nécessaire à chaque connexion
  • Ne nécessite pas de dispositif matériel
  • Ne protège pas la connexion sur l’appareil mobile car l’application sur l’appareil mobile génère un deuxième facteur.

Code SMS

  • Le code est envoyé par SMS
  • Saisie manuelle nécessaire à chaque connexion
  • Moins sûr car le SMS peut être facilement intercepté
  • Ne nécessite pas de dispositif matériel
  • Ne protège pas l’accès à l’appareil mobile car le SMS sur l’appareil mobile contient le deuxième facteur.