A l'heure où les cyberattaques et les vols de données explosent, plusieurs outils commencent à supplanter le bon vieux mot de passe qui montre ses limites. Parmi eux, les clés de sécurité USB se démocratisent.
Loin du gadget high-tech qu'affectionnerait James Bond, les clés de sécurité sont aujourd'hui de plus en plus utilisées par les professionnels et les particuliers. Vendus entre 50 et 100 euros selon les modèles, ces produits s'inspirent des clés USB. Leur but ? Faire de votre smartphone ou de votre ordinateur un véritable coffre-fort et préserver vos données lors d'une transaction ou de votre identification sur un site.
Plusieurs marques se disputent ce marché à l'instar de Yubico, Google et Kensington, dont les clés ont pour vocation à placer un haut niveau d'authentification. Différents modèles sont proposés, la majorité reposant sur deux technologies : l'usage d'un code PIN chiffré ou bien l'apposition d'une empreinte digitale sur un capteur.
Un usage simplifié
Concrètement, si vous avez déjà utilisé une clé USB classique, l'usage d'une clé de sécurité est pensé pour être aussi simple. A la différence qu'ici aucune donnée ne peut y être stockée. L'appareil a pour but d'authentifier son utilisateur et de certifier qu'il s'agit bien de lui dès lors qu'il ouvre une application. Ainsi lorsqu'on accède à son PC ou que l'on veut débloquer Windows par exemple, ce type de clé de sécurité va permettre de le faire sans avoir à mettre un seul mot de passe. Mais il ne s'agit pas d'une simple authentification.
Lorsqu'un ordinateur va de pair avec la clé de sécurité, «l’applicatif va demander d’insérer la clé, tandis qu'un capteur de présence dans la partie métallique de la clé va attester qu’on est un être humain. Cela évite qu’un attaquant puisse à distance mettre en œuvre des mécanismes qui pourraient lui permettre de se substituer à l’utilisateur», explique pour CNEWS Laurent Nezot, directeur des ventes de Yubico France.
Et de poursuivre : «puis l'utilisateur est invité à entrer un code PIN. A ce stade, rien ne transite par le réseau informatique. Le code PIN reste donc en local au niveau de la clé. En outre, c’est un code statique comme votre carte bancaire, donc il n'est pas à changer. Il s'agit d'un code à six caractères, un nombre qui fait qu’on peut le retenir encore facilement. D'autres modèles invitent simplement à apposer une empreinte sur la clé. Là encore, cette empreinte ne peut pas transpirer par le réseau.» Outre les ordinateurs, les smartphones peuvent également accepter ce type de clé via le port USB-C ou la prise lightning, mais aussi via le NFC de l'appareil.
Un protocole adopté par les géants de la tech
Le niveau de sécurité de ce type de clé repose sur le protocole FIDO2 qui a été standardisé en 2019. Et déjà plusieurs sociétés ont adopté celui-ci pour des processus d'authentification forte, à l'instar des géants Google, Microsoft, Apple, Meta et Amazon. Il est par exemple possible de paramétrer son compte Gmail en le faisant basculer sur une authentification liée à une clé de sécurité. Ici plus de mot de passe, mais un simple geste avec la clé pour se connecter. «Il suffit généralement de se rendre dans les paramètres de sécurité pour basculer vers ce type d'authentification qui ensuite devient aussi simple que d'appairer un appareil en Bluetooth par exemple», souligne Laurent Nezot.
Actuellement plus de 250 sociétés autorisent l'usage de ce protocole et de ces clés, dont Mastercard et Visa pour les paiements sécurisés en ligne, tandis que certaines néobanques autorisent un accès aux comptes par ce biais.