U2F (Universal Second Factor) est une norme de sécurité d'authentification à 2 couches qui utilise du matériel externe supplémentaire (USB, bracelet...) de sorte que le niveau de sécurité sera supérieur à l'envoi de codes par e-mail ou par numéro de téléphone. Aujourd'hui, LuckyTemplates va vous aider à apprendre les bases de cette nouvelle forme de sécurité et à la comparer avec la norme UAF (similaire aux capteurs d'empreintes digitales des appareils Apple et Samsung).
Présentation de l'U2F
La sécurité à 2 niveaux est un moyen simple de vous aider à protéger vos comptes en ligne importants. Il peut s'agir d'un compte de messagerie, d'un compte de stockage cloud, d'un compte bancaire en ligne ou d'un compte permettant de se connecter au site interne de l'entreprise. Normalement, les applications ou services prenant en charge la sécurité à 2 niveaux vous demanderont de vous connecter en suivant les étapes suivantes :
- Ouvrez le site Web/service auquel vous devez vous connecter, saisissez votre nom d'utilisateur et votre mot de passe comme d'habitude
- Après cela, un code d'authentification vous sera envoyé de différentes manières : cela peut être par SMS, par e-mail, en lisant le code par téléphone ou en utilisant certaines applications spécialisées.
- Une fois que vous avez le code d'authentification en main, vous continuez à saisir ce code sur le site Web/service pour vous connecter avec succès.
Fondamentalement, la deuxième couche de sécurité empêche tout accès non autorisé à votre compte même si toutes vos informations de connexion ont été révélées. Par exemple, la personne qui dispose de votre nom d'utilisateur et de votre mot de passe pour accéder au site bancaire ne peut pas obtenir le code d'authentification car il est uniquement envoyé sur votre téléphone ou uniquement sur votre email. En conséquence, il sera toujours bloqué en dehors de ce site Web et ne pourra rien faire de plus. Tout au plus, il pourra consulter quelques détails du solde mais ne pourra pas effectuer de transaction de transfert d'argent.
Bien sûr, s’il volait également le téléphone ou savait comment se connecter au compte de messagerie, ce serait une autre histoire. De nos jours, de nombreuses personnes utilisent le même mot de passe de messagerie pour de nombreux sites Web et services en ligne, de sorte que les personnes malveillantes peuvent toujours accéder à la boîte aux lettres et obtenir le code de sécurité à deux niveaux. À ce stade, les avantages du mécanisme de sécurité à 2 niveaux disparaissent complètement.
De même, les téléphones sont également très faciles à voler et à ouvrir des SMS pour voir le code de sécurité à 2 niveaux. Même sans vol, les méchants peuvent toujours voir le code d'authentification envoyé à votre téléphone lorsque la notification apparaît sur l'écran de verrouillage. C'est aussi simple que cela, mais c'est extrêmement dangereux, non ?
U2F est né pour résoudre ces limitations. U2F utilise HARDWARE pour créer des codes d'authentification, vous n'avez donc plus à vous inquiéter si quelqu'un pirate votre boîte aux lettres ou prend votre téléphone. La connexion doit être effectuée en présence de ce matériel, qui ne peut pas être piraté ou cambriolé à distance, réduisant ainsi de nombreux risques. Actuellement, le matériel U2F le plus populaire est le stylo mémoire USB. Il a une taille très compacte et est donc facile à transporter avec vous partout où vous allez. À l’avenir, de plus en plus d’entreprises fabriqueront des appareils U2F sous forme de bagues, colliers, bracelets, clés et des dizaines d’autres choses.
U2F est développé par une alliance appelée FIDO ( Fast IDentity Online ), qui comprend Google, Microsoft, PayPal, American Express, MasterCard, VISA, Intel, ARM, Samsung, Qualcomm, Bank of America et bien d'autres grandes entreprises. En juin de cette année, la FIDO comptait 200 membres issus de nombreux pays différents. FIDO est actuellement très actif dans la promotion de l'U2F, du matériel aux logiciels, et à l'avenir, il apparaîtra partout.
Principe d'opération
Lorsque vous devez vous connecter à un service en ligne, par exemple Gmail, vous devez toujours saisir votre nom d'utilisateur et votre mot de passe comme d'habitude. À l'étape suivante, il vous sera demandé d'épingler la clé USB compatible U2F sur votre ordinateur. Le navigateur Chrome détecte immédiatement la présence de l'appareil et utilise des technologies de cryptage pour en récupérer les données ( il faudra appuyer sur un bouton de la clé USB ). Chrome continue de confirmer si les données sont correctes ou non, et si tout va bien, vous serez connecté à Gmail.
La raison pour laquelle vous devez toujours saisir votre nom d'utilisateur et votre mot de passe dans la première étape est d'empêcher quelqu'un d'accéder à votre compte simplement en volant la clé. Ce qui est également vrai, car cela fait "2 classes", sinon ce serait la même chose qu'une classe.
Au cours du processus d'authentification des informations Chrome, de nombreuses choses se produisent en réalité pour assurer votre sécurité. Tout d’abord, le navigateur vérifiera s’il communique avec le vrai site Web via le protocole https. Cela permet d’éviter la situation dans laquelle vous utilisez une sécurité à 2 niveaux avec un faux site Web. Ensuite, le navigateur enverra un code extrait de votre clé USB directement au site Web, donc en théorie, un attaquant ne pourra pas obtenir ce code pendant que les données sont en transit.
Selon la configuration de l'U2F, en plus de saisir le mot de passe complet comme d'habitude, les sites Web peuvent également vous offrir la possibilité de saisir un court code PIN, puis d'appuyer sur un bouton du périphérique USB pour continuer à vous connecter. De cette façon, vous pouvez simplifier la mémorisation des mots de passe et gagner plus de temps lors de l'utilisation du service (car vous devez saisir moins de caractères).
Quels sites Web prennent en charge U2F ?
Au moment d’écrire ces lignes, peu de sites Web, services et logiciels disposent d’un support officiel pour U2F. Chrome est actuellement le seul navigateur intégrant U2F et il est disponible sur Windows, Mac, Linux et Chrome OS. Firefox et Edge sont en cours d'intégration mais on ne sait pas quand ils seront terminés. Certains sites Web qui ont utilisé U2F incluent des sites Web de Google, Dropbox et Github. Espérons qu'à l'avenir, nous verrons davantage de sites Web majeurs prendre en charge U2F.
Et comme mentionné plus haut, pour utiliser U2F, vous devez utiliser une clé USB spéciale, vous ne pouvez pas immédiatement prendre la clé USB que vous avez en main. Ces lecteurs peuvent être trouvés sur Google, Amazon et vous pouvez utiliser le mot-clé FIDO U2F Security Key pour effectuer une recherche, les prix varient de quelques dollars à des dizaines de dollars. Actuellement, ce type de clé USB n'est pas vendu sur le marché vietnamien.
En supposant que vous ayez déjà acheté une clé USB U2F, vous pouvez accéder à la page de configuration de la sécurité à 2 couches de Google et suivre les instructions Web pour commencer à l'utiliser.
Et l'UAF ?
UAF ( Universal Authentication Framework ) est également une autre norme de connexion développée par FIDO lui-même, mais elle ne nécessite aucun mot de passe. C'est pourquoi l'UAF est également appelé expérience sans mot de passe . L'UAF nécessite une méthode d'authentification qui réside sur l'appareil de l'utilisateur et n'est pas transmise localement. Quelques exemples de méthodes d'authentification locales sont les capteurs d'empreintes digitales, les capteurs d'iris, la reconnaissance faciale et même l'utilisation d'un microphone pour la reconnaissance vocale. Après s'être inscrit au service en ligne, chaque fois que l'utilisateur doit se connecter, il lui suffit de scanner son doigt sur le capteur ou de rapprocher son visage de la caméra.
Vous pouvez imaginer l'UAF de la manière dont Apple utilise le capteur Touch ID pour nous aider à nous connecter à l'App Store, ou de la manière dont Samsung utilise le capteur d'empreintes digitales des Note 4, Note 5, S6, S6 Edge pour vous aider. achats sans saisir de mot de passe. Chaque fois que vous devez vous authentifier, placez simplement votre doigt sur le capteur et tout le reste se fera automatiquement.
UAF diffère de la solution d'Apple et de Samsung en ce sens qu'elle est standardisée, de sorte que n'importe quel site Web ou application pourra mettre en œuvre ce type de sécurité rapidement et facilement, sans avoir à le faire à partir de zéro, et même sans dépendre d'une plate-forme ou d'un système d'exploitation. Cela aidera l’UAF à devenir plus attractif et utilisé par davantage de services, ainsi qu’à atteindre davantage d’utilisateurs à grande échelle.
UAF vous permet également d'utiliser une combinaison de code PIN ou de mot de passe avec la sécurité locale, mais l'expérience ne sera alors plus véritablement sans mot de passe mais se transformera en une sécurité à deux niveaux.
Les données utilisées pour l'authentification selon la norme UAF, telles que votre empreinte digitale ou votre échantillon vocal, résideront toujours uniquement sur votre appareil et bien sûr, elles sont soigneusement cryptées. Ces données sensibles ne doivent pas être exposées au monde extérieur car il existe alors un risque de vol par des pirates.
Bonne chance!