YubiKey

La YubiKey est un dispositif d'authentification électronique fabriqué par Yubico qui supporte les mots de passe à usage unique, le chiffrement et l'authentification par clé publique et le protocole Universal Second Factor (U2F) développé par l'alliance FIDO (FIDO U2F). Il permet aux utilisateurs de s'authentifier de façon sécurisée à leurs comptes en émettant un mot de passe à usage unique ou en utilisant une paire de clé privée/publique générée par le dispositif. Yubikey permet également de stocker les mots de passe statiques des sites ne supportant pas les mots de passe à usage unique[1].

Facebook utilise Yubikey pour l'authentification de ses employés et Google le supporte pour ses employés et ses utilisateurs. Quelques gestionnaires de mots de passe comme Passbolt, LastPass, Bitwarden (forfait premium payant) ou KeePass supportent également Yubikey.

Fondée en 2007 par Stina Ehrensvärd, Yubico est une société privée présente à Palo Alto, Seattle et Stockholm. Jakob Ehrensvärd, directeur technique de Yubico, est l'auteur principal de la spécification d'authentification forte qui deviendra U2F.

Historique

Au CES 2017, Yubico a annoncé la YubiKey 4C conçue sur l'USB Type-C. La YubiKey 4C a été distribuée à partir du 13 février 2017. La fonctionnalité de mots de passe à usage unique est supportée sur le système d'exploitation Android à travers une prise USB-C[2].

Fonctionnement

Yubikey met en œuvre l'algorithme de mots de passe à usage unique basé sur HMAC (HOTP) et celui basé sur le temps (TOTP). Il se substitue à un clavier qui fournit un mot de passe à usage unique à travers le protocole USB HID. Les versions YubiKey NEO et YubiKey 4 incluent des protocoles tels que celui des cartes OpenPGP (utilisant le RSA 2048-bit) et la cryptographie à courbe elliptique (ECC) p256 et p384, la communication en champ proche (NFC) et le FIDO U2F[3]. La quatrième génération de YubiKey lancée le 16 novembre 2015 supporte OpenPGP avec RSA 4096-bit et le support Public Key Cryptographic Standards (PKCS #11) pour les smart cards d'identification personnelle, fonctionnalité qui permet la signature d'images Docker.

ModHex

Les YubiKey émettent des mots de passe dans un alphabet hexadécimal modifié qui est conçu pour être aussi indépendant que possible des configurations de clavier. Cet alphabet (le ModHex ou Hexadécimal Modifié) est constitué des caractères cbdefghijklnrtuv correspondants aux chiffres hexadécimaux 0123456789abcdef.

Inquiétudes sécuritaires visant YubiKey 4 (fermeture du code source)

Yubico a remplacé tous ses composants open source dans la YubiKey 4 par du code propriétaire, ce qui ne lui permet plus d'être étudiée de manière indépendante pour des failles de sécurité. Yubico affirme que son code est analysé de façon interne et externe. Les YubiKey NEO utilisent toujours du code open source. Le 16 mai 2016, Jakob Ehrensvärd (Directeur technique de Yubico) a réaffirmé le soutien fort de Yubico pour l'open source et décrit les raisons et les bénéfices des mises à jour de la YubiKey 4^{[réf. nécessaire]}, mais ces déclarations de forme ne répondent pas à la question de la fermeture du code source.

En octobre 2017, des chercheurs en sécurité ont trouvé une vulnérabilité dans l'implémentation de la génération de paires de clés RSA dans une bibliothèque cryptographique utilisée par un grand nombre de composants électronique de sécurité Infineon. Cette vulnérabilité permet à un attaquant de reconstruire une clé privée à partir d'une clé publique. Toutes les YubiKey 4, 4C et 4 nano entre les versions 4.2.6 et 4.3.4 sont affectées par cette vulnérabilité. Yubico a publié un outil permettant de vérifier si une YubiKey est affectée et remplace ces composants gratuitement.

Liste des services et plateformes supportées

La Yubikey est compatible avec de nombreux services et plateformes dont[4] :

1Password
Bitbucket
Compose
Dashlane
Digidentity/GOV.UK Verify
Dropbox
Facebook (seulement sous Chrome et Opera)
Fastmail
Google (seulement sous Chrome)
GitLab
GitHub (seulement sous Chrome et Opera)
Kraken
LastPass
macOS 10.12 Sierra (et suivants)
Mailbox.org
Micro Focus
multiOTP (librairie open source d'authentification forte en PHP, indépendante de tout système d'exploitation)
Nextcloud
OVH
Okta (en)
Password Safe
Posteo
Salesforce
Sentry
Thexyz
Vanguard
Pluggable Authentication Modules (PAM)
Microsoft Windows Server 2008 R2 et suivants
Microsoft Windows 7 et suivants
KeePass et KeePassXC[5]
Smart SPASAD

Notes et références

(en) Eleanor Peake, « This simple USB key protects everyone from phishing », Wired, 12 octobre 2017 (consulté le 26 octobre 2017)
(en) Frederic Lardinois, « YubiKey goes USB-C », TechCrunch, 5 janvier 2017 (consulté le 26 octobre 2017)
David Legrand, « Les Yubikey Neo (NFC) compatibles avec les derniers iPhone, mais pas pour l'U2F », Nextinpact, 26 octobre 2017 (consulté le 26 octobre 2017)
(en) Adrian Kingsley-Hughes, « Using a YubiKey to protect your Google account, Facebook, GitHub, Dropbox, Salesforce, and more », ZDNet, 2 février 2017 (consulté le 25 octobre 2017)
david@nextinpact.com, « KeePassXC ajoute le support natif des Yubikey pour protéger l'accès à vos mots de passe », sur www.nextinpact.com, 16 août 2017 (consulté le 28 avril 2020)

Portail de la sécurité informatique

Cet article est issu de Wikipedia. Le texte est sous licence Creative Commons - Attribution - Partage dans les Mêmes. Des conditions supplémentaires peuvent s'appliquer aux fichiers multimédias.

[Wired_1-1] (en) Eleanor Peake, « This simple USB key protects everyone from phishing », Wired, 12 octobre 2017 (consulté le 26 octobre 2017)

[TC_1-2] (en) Frederic Lardinois, « YubiKey goes USB-C », TechCrunch, 5 janvier 2017 (consulté le 26 octobre 2017)

[NextImpact_1-3] David Legrand, « Les Yubikey Neo (NFC) compatibles avec les derniers iPhone, mais pas pour l'U2F », Nextinpact, 26 octobre 2017 (consulté le 26 octobre 2017)

[ZDNet_1-4] (en) Adrian Kingsley-Hughes, « Using a YubiKey to protect your Google account, Facebook, GitHub, Dropbox, Salesforce, and more », ZDNet, 2 février 2017 (consulté le 25 octobre 2017)

[5] vid@nextinpact.com, « KeePassXC ajoute le support natif des Yubikey pour protéger l'accès à vos mots de passe », sur www.nextinpact.com, 16 août 2017 (consulté le 28 avril 2020)