Accueil Technologies YubiKey : FAQ – quel avenir pour les mots de passe ?
YubiKey : FAQ et l'avenir des mots de passes

YubiKey : FAQ – quel avenir pour les mots de passe ?

par Jérémy PASTOURET
Publié : Mis à jour le

Les clés YubiKey résolvent un problème simple : s’authentifier à nos comptes numériques de manière sécurisée. Si vous n’avez aucune idée de l’utilité ou de la forme que prend une YubiKey, je vous conseille de lire mon précédent article. Après plusieurs mois d’utilisation de cette clé de sécurité, j’ai commencé à me poser certaines questions. Et pour répondre à ces différentes interrogations, j’ai eu le plaisir d’échanger avec Mme Claire Galbois-Alcaix, directrice marketing de Yubico.

La clé YubiKey

La clé YubiKey

Pourquoi avoir choisir une clé USB comme support de sécurité ?

Il y avait plusieurs possibilités pour créer un appareil permettant de sécuriser des accès. Nous avons estimé que le Bluetooth n’était pas assez sécurisé pour un tel usage. La clé USB a une forme plus compacte. De plus, ce format permet d’intégrer facilement une antenne NFC pour établir une communication avec les smartphones. L’alliage qui entoure le module USB a été construit en suivant des spécifications militaires, afin de lui assurer une résistance à toute épreuve. Concernant l’expérience utilisateur, nous avons tous l’habitude de nous balader avec des clés USB ; que ce soit dans notre sac, ou sur notre trousseau de clé.

Quelle est la meilleure façon d’utiliser une YubiKey ?

La règle de base : toujours avoir une solution de secours. Dans notre cas, imaginez que vous perdiez votre clé YubiKey. Comment faites-vous pour vous connecter aux services ? C’est la raison pour laquelle il vaut mieux posséder une clé de secours.

Si vous utilisez ce type de clé à votre travail, mieux vaut en conserver une supplémentaire dans un tiroir verrouillé.

Pour utiliser au mieux la clé YubiKey, il faut bien entendu la lier au maximum aux différents services compatibles que vous utilisez.

Peut-on cloner une clé YubiKey ?

Non, ce n’est pas possible. En effet la clé dispose d’un système de sécurité empêchant la copie. Ceci évite qu’on vous « emprunte » votre clé pour en faire une copie et obtenir une authentification auprès des services que vous utilisez. Le désavantage : c’est contraignant de créer sa clé de sauvegarde. Il faut repasser sur tous vos comptes ayant une liaison avec votre clé pour pouvoir enregistrer la clé de sauvegarde. Il faut savoir que chaque clé est unique et possède une marque / un identifiant propre. C’est ce qui permet à un service tiers comme Google de reconnaître votre clé.

Peut-on réinitialiser la clé, pour la revendre par exemple ?

Ce n’est pas possible non plus. On peut supprimer les codes de double d’authentification classique (OTP) généant des codes toutes les 30 secondes, mais pour le reste non. Si vous décidez de vendre votre clé, ou que vous l’avez perdue, vous devrez passer sur chaque service qui connait cette clé de sécurité pour la dissocier / renouveler l’authentification OTP. Le nouveau propriétaire ne pourra alors pas accéder à vos comptes. En effet, les codes OTP ne seront plus les mêmes, et l’identifiant de la clé aura été supprimé sur le service concerné.

Pourquoi la double authentification par clé n’est-elle pas plus répandue ?

Traditionnellement, le monde de l’entreprise est friand de toujours plus de sécurité. Surtout les sociétés qui exploitent des données sensibles. Il faut sécuriser celles-ci au maximum en identifiant correctement les employés. Il existe des outils pour les entreprises, qui permettent d’initialiser les clés grâce à l’Active Directory (compte utilisateur Windows).

Ce qui est intéressant avec la double authentification, c’est qu’on peut sécuriser ses comptes Twitter, Facebook, Google avec ce genre de technologie… mais pas son compte bancaire. Or si les particuliers comprennent l’intérêt de la double authentification et commencent à l’utiliser de plus en plus, davantage de services s’adapteront et intègreront cette technologie de sécurité.

Un service cloud de synchronisation des codes est-il prévu ?

Non, pour une question de sécurité.

Comment peut-on savoir à quel moment la clé arrive en fin de vie ?

Un test est en cours pour déterminer la durée de vie d’une clé YubiKey. Il n’y a pas d’obsolescence programmée. En tant que responsable marketing j’ai pu rencontrer des utilisateurs de la première heure. Certains possèdent une clé et l’utilisent depuis 10 ans. On peut donc dire que ces clés résistent bien, même sur un porte-clé.

Perspectives d’avenir

Prospective d'avenir

A quoi ressemblera le futur de l’authentification sur le Web ?

Yubico possède différents partenariats avec des structures importantes comme Google et Microsoft. Le protocole U2F a été conçu en partenariat avec Google ; la norme est maintenant gérée par la FIDO Alliance. La norme FIDO2 a été co-développée avec Microsoft. En général, on apprécie de pouvoir se connecter à des services qui reconnaissent nativement la YubiKey. Un utilisateur est toujours plus heureux lorsqu’il a peu de manipulations à effectuer pour satisfaire ses besoins. Par exemple : Google et Dropbox reconnaissent la clé ; il suffit d’appuyer sur la clé pour valider l’authentification.

Est-ce la fin des mots de passe ?

L’enjeu du futur de l’authentification ? Assurer la sécurité des utilisateur, sans que ceux-ci n’aient à retenir des mots de passe ni en créer à la pelle. Microsoft possède déjà une fonction de connexion sans mot de passe, uniquement par clé d’authentification. Cette expérience du sans mot de passe est offerte grâce au protocole FIDO 2. De nos jours, remettre des mots de passe aux nouveaux collaborateurs – et aux anciens qui peuvent les perdre – représente un coût important pour une entreprise.

L’écosystème des applications / services compatibles

Pour accéder au programme développeur de Yubico, il existe un pré-requis important. Celui-ci tient particulièrement à cœur aux créateurs de la YubiKey. Il faut s’assurer que l’expérience utilisateur soit similaire sur tout les services qui reconnaissent la YubiKey. L’utilisateur se sent plus en sécurité, et l’authentification reste simple et efficace.

Quel avenir pour Yubico ?

Les équipes de Yubico travaillent sur deux axes principaux :

  • Authentification sans mot de passe pour les entreprises, en lien avec Microsoft.
  • Développement d’outils facilitant la connexion mobile avec différents appareils portables (smartphone, tablette…)

Conclusion

C’est déjà la fin de notre interview… je remercie Mme Claire Galbois-Alcaix de m’avoir accordé un peu de son temps pour répondre à mes questions. J’ai trouvé cet échange très constructif. J’espère que la lecture de cet entretien vous a fourni plus de précisions sur les utilisations possibles de la YubiKey.

Si vous avez envie de l’essayer, voici les différentes possibilités :

Améliorer vos connaissances concernant cette super clé en lisant la suite disponible ici : YubiKey : double authentification par code & installation sur Ubuntu.

Vous pourriez aussi aimer

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.