Breaking news
Read our blog to learn why privacy matters. And don't forget to get an encrypted mailbox yourself!

Pourquoi l'U2F est important : comment il fonctionne et pourquoi vous en avez besoin.

FIDO U2F est important pour sécuriser votre processus d'authentification. Il protège votre compte contre toute prise de contrôle malveillante, y compris le phishing.

2022-06-17
Why U2F is important: Protect all your online accounts.
En tant qu'experts en sécurité, nous vous recommandons de protéger vos comptes avec l'authentification à deux facteurs U2F. Vous utilisez une clé pour verrouiller votre porte d'entrée ou votre voiture, mais vos comptes en ligne sont tout aussi précieux. Sécurisez vos comptes numériques avec une clé matérielle U2F, car il s'agit de l'option la plus sûre pour protéger vos comptes ! Dans ce billet, nous expliquons pourquoi l'U2F est important et comment il fonctionne.

FIDO U2F expliqué

tl;dr : U2F est important car c'est l'option la plus sûre pour protéger vos comptes. Activez-le partout où c'est possible.

En fait, l'U2F est si important que chaque service de messagerie devrait le prendre en charge.

La raison en est simple : Votre compte de messagerie est la porte d'entrée de votre identité en ligne. Des services comme Amazon, Twitter, PayPal et d'autres sont liés à votre compte de messagerie, et les mots de passe de ces services peuvent être facilement réinitialisés si un attaquant malveillant a obtenu l'accès à votre boîte aux lettres.

C'est de cela que FIDO U2F vous protège. Si elle est activée sur votre compte de messagerie, par exemple avec Tutanota, il sera presque impossible pour les attaquants malveillants de prendre le contrôle de votre boîte aux lettres.

Qu'est-ce que FIDO U2F ?

U2F (Universal 2nd Factor) est une norme d'authentification qui utilise une seule clé pour plusieurs services. Elle simplifie et renforce la sécurité offerte par l'authentification à deux facteurs (2FA), car aucun pilote ou logiciel client n'est nécessaire.

Quels sont les avantages de la norme U2F ?

  1. Authentification rapide : Diminue le temps d'authentification
  2. Sécurité renforcée : Aucune prise de contrôle de compte lorsque le déploiement est complet
  3. Choix multiples : Accès à près de 1 000 applications et services sans secret partagé.

Quels sont les inconvénients ?

Les solutions U2F présentent un inconvénient majeur par rapport à TOTP (qui utilise un secret partagé) : Pour U2F, il n'y a pas d'option pour sauvegarder les codes de récupération des secrets partagés.

Si une clé matérielle est perdue, il devient impossible de se connecter aux services et aux applications qui étaient initialement sécurisés avec cette clé matérielle. Ainsi, la plupart des services offrent un moyen de réinitialiser les identifiants de connexion pour retrouver l'accès.

Par exemple, Tutanota propose un code de récupération qui doit être saisi avec le mot de passe correct pour réinitialiser (dans ce cas : supprimer) une clé matérielle U2F perdue. En outre, il est possible dans Tutanota d'enregistrer plusieurs clés matérielles. Si l'une d'elles est perdue, les utilisateurs peuvent toujours se connecter avec l'une des autres clés U2F enregistrées.

Pourquoi l'U2F est-il important ?

Tutanota supports two-factor authentication with FIDO U2F as this is the 
most secure option tp protect your login credentials.

Comment l'U2F protège-t-il contre le phishing ?

L'U2F - authentification à deux facteurs avec une clé matérielle - est le moyen le plus sûr de protéger vos comptes en ligne, notamment contre les attaques de phishing. Elle est également plus sûre que l'authentification à second facteur via OTP ou TOTP, c'est pourquoi nous, chez Tutanota, recommandons vivement d'activer une clé matérielle pour protéger votre boîte aux lettres cryptée.

Les e-mails de phishing sont de plus en plus sophistiqués, ce qui augmente le risque de se faire piéger par de telles attaques. L'expéditeur de l'e-mail de phishing tente généralement de vous faire cliquer sur un lien où vous êtes censé saisir votre mot de passe. Si cela se produit, l'attaquant peut alors facilement voler votre mot de passe et prendre le contrôle de votre compte. Toutefois, si un second facteur a été activé sur votre compte, le mot de passe sera inutile pour l'attaquant et votre compte sera en sécurité.

En outre, une connexion utilisateur compatible U2F est liée à l'origine ; cela signifie que seul le site réel peut s'authentifier avec la clé (second facteur). L'authentification échouera sur tout faux site de phishing, même si l'utilisateur a été trompé en pensant qu'il était réel.

Pourquoi devriez-vous activer un second facteur ?

  1. U2F augmente la protection de vos comptes (tels que les comptes de messagerie, de lecteur, de médias sociaux).
  2. U2F est la version la plus sécurisée de l'authentification à deux facteurs.
  3. Un dispositif U2F crée une clé cryptographique pour déverrouiller votre compte.
  4. Les attaques de phishing deviennent presque impossibles avec U2F.

Comment fonctionne l'U2F ?

Pour l'utilisateur, l'U2F est très simple. Vous pouvez activer la même clé matérielle U2F sur tous vos comptes, comme Tutanota, Amazon ou Twitter. Lorsque vous vous connectez, vous saisissez votre nom d'utilisateur et votre mot de passe, puis il vous suffit d'insérer la clé matérielle de type USB dans votre appareil et de la toucher pour terminer le processus d'authentification.

D'un point de vue technique, le processus est beaucoup plus complexe. L'Alliance Fido explique le processus comme suit :

"Le dispositif et le protocole U2F doivent garantir la confidentialité et la sécurité de l'utilisateur. Au cœur du protocole, le dispositif U2F dispose d'une capacité (idéalement, intégrée dans un élément sécurisé) qui extrait une paire de clés publique/privée spécifique à l'origine. Le dispositif U2F donne la clé publique et un Key Handle au service en ligne ou au site web d'origine pendant l'étape d'enregistrement de l'utilisateur."

"Plus tard, lorsque l'utilisateur effectue une authentification, le service en ligne ou le site Web d'origine renvoie le Key Handle au dispositif U2F via le navigateur. Le dispositif U2F utilise le Key Handle pour identifier la clé privée de l'utilisateur, et crée une signature qui est renvoyée à l'origine pour vérifier la présence du dispositif U2F. Ainsi, le Key Handle est simplement un identifiant d'une clé particulière sur le dispositif U2F."

"La paire de clés créée par le dispositif U2F lors de l'enregistrement est spécifique à l'origine. Pendant l'enregistrement, le navigateur envoie au dispositif U2F un hachage de l'origine (combinaison du protocole, du nom d'hôte et du port). Le dispositif U2F renvoie une clé publique et un Key Handle. Très important, le dispositif U2F encode l'origine de la demande dans le Key Handle."

"Plus tard, lorsque l'utilisateur tente de s'authentifier, le serveur renvoie le Key Handle de l'utilisateur au navigateur. Le navigateur envoie ce Key Handle et le hash de l'origine qui demande l'authentification. Le dispositif U2F s'assure qu'il a émis ce Key Handle pour ce hachage d'origine particulier avant d'effectuer toute opération de signature. En cas d'incompatibilité, aucune signature n'est renvoyée. Cette vérification de l'origine garantit que les clés publiques et les manipulations de clés émises par un dispositif U2F pour un service en ligne ou un site Web particulier ne peuvent pas être exercées par un service en ligne ou un site Web différent (c'est-à-dire un site avec un nom différent sur un certificat SSL valide). Il s'agit d'une propriété essentielle pour la protection de la vie privée : en supposant que le navigateur fonctionne comme il le devrait, un site ne peut vérifier l'identité d'un utilisateur avec son dispositif U2F qu'avec une clé qui a été délivrée à ce site particulier par ce dispositif U2F particulier. Si cette vérification de l'origine n'était pas présente, une clé publique et un Key Handle émis par un dispositif U2F pourraient être utilisés comme un 'supercookie' qui permet à plusieurs sites en collusion de vérifier fortement et de corréler l'identité d'un utilisateur particulier."

"L'utilisateur est en mesure d'utiliser le même dispositif sur plusieurs sites sur le web - il sert ainsi de trousseau de clés web physique de l'utilisateur avec plusieurs clés (virtuelles) pour divers sites provisionnés à partir d'un seul dispositif physique. En utilisant la norme ouverte U2F, n'importe quelle origine pourra utiliser n'importe quel navigateur (ou système d'exploitation) qui a le support U2F pour parler à n'importe quel dispositif compatible U2F présenté par l'utilisateur pour permettre une authentification forte."


Historique

Universal 2nd Factor (U2F) est une norme ouverte qui renforce et simplifie l'authentification à deux facteurs (2FA) à l'aide de dispositifs spécialisés de type Universal Serial Bus (USB) ou de communication en champ proche (NFC). Elle est relayée par le projet FIDO2, qui comprend la norme W3C Web Authentication (WebAuthn) et le protocole CTAP2 (Client to Authenticator Protocol 2) de l'Alliance FIDO.

Bien qu'initialement développée par Google et Yubico, avec la contribution de NXP Semiconductors, la norme est désormais hébergée par la seule Alliance FIDO.

Vous trouverez ici une liste de tous les services qui prennent en charge les clés U2F.

Objectif : Authentification forte et confidentialité pour le Web

L'écosystème U2F est conçu pour fournir une authentification forte aux utilisateurs sur le Web tout en préservant la vie privée de l'utilisateur.

L'utilisateur porte sur lui un "dispositif U2F" comme second facteur qui lui permet de se connecter à ses comptes en ligne. De cette façon, ces comptes peuvent être sécurisés, notamment contre les attaques de phishing.

Les clés matérielles U2F sont une grande réussite car elles garantissent la sécurité des personnes et de leurs comptes en ligne sur le web.

LOAD COMMENTS