Cette norme est soutenue par l'alliance FIDO, qui comprend Google, Microsoft, PayPal, American Express, MasterCard, VISA, Intel, ARM, Samsung, Qualcomm, Bank of America et de nombreuses autres sociétés de grande taille. Attendez-vous à ce que les jetons de sécurité U2F soient partout.
Quelque chose de similaire se généralisera bientôt avec l'API d'authentification Web. Ce sera une API d'authentification standard qui fonctionne sur toutes les plateformes et tous les navigateurs. Il supportera d'autres méthodes d'authentification ainsi que les clés USB. L'API d'authentification Web s'appelait à l'origine FIDO 2.0.
Qu'Est-ce que c'est?
L'authentification à deux facteurs est un moyen essentiel de protéger vos comptes importants. Traditionnellement, la plupart des comptes n’ont besoin que d’un mot de passe pour se connecter. C’est un facteur que vous connaissez. Toute personne connaissant le mot de passe peut accéder à votre compte.
L'authentification à deux facteurs nécessite quelque chose que vous connaissez et que vous possédez. Il s'agit souvent d'un message envoyé à votre téléphone par SMS ou d'un code généré via une application telle que Google Authenticator ou Authy sur votre téléphone. Quelqu'un a besoin de votre mot de passe et de l'accès au périphérique physique pour vous connecter.
Mais l’authentification à deux facteurs n’est pas aussi simple qu’elle devrait l’être et elle implique souvent la saisie de mots de passe et de messages SMS dans tous les services que vous utilisez. U2F est un standard universel pour la création de jetons d'authentification physique pouvant fonctionner avec n'importe quel service.
Si vous connaissez Yubikey, une clé USB physique qui vous permet de vous connecter à LastPass et à d’autres services, vous serez familiarisé avec ce concept. Contrairement aux appareils Yubikey standard, U2F est un standard universel. Au départ, U2F avait été conçu par Google et Yubico en partenariat.
Comment ça marche?
Actuellement, les périphériques U2F sont généralement de petits périphériques USB que vous insérez dans le port USB de votre ordinateur. Certains d'entre eux prennent en charge NFC afin qu'ils puissent être utilisés avec les téléphones Android. Il est basé sur la technologie de sécurité existante «carte à puce». Lorsque vous l'insérez dans le port USB de votre ordinateur ou que vous appuyez sur votre téléphone, le navigateur de votre ordinateur peut communiquer avec la clé de sécurité USB à l'aide d'une technologie de cryptage sécurisé et fournir la réponse correcte vous permettant de vous connecter à un site Web.
Le site Web peut également simplifier votre mot de passe. Par exemple, un site Web peut actuellement vous demander un mot de passe long, puis un code à deux facteurs, que vous devez taper tous les deux. Au lieu de cela, avec U2F, un site Web pourrait vous demander un code PIN à quatre chiffres dont vous devez vous souvenir, puis vous obliger à appuyer sur un bouton d'un périphérique USB ou à le taper contre votre téléphone pour vous connecter.
L’alliance FIDO travaille également sur UAF, qui ne nécessite aucun mot de passe. Par exemple, il peut utiliser le capteur d’empreintes digitales d’un smartphone moderne pour vous authentifier auprès de divers services.
Vous pouvez en savoir plus sur le standard lui-même sur le site Web de l’alliance FIDO.
Où est-il pris en charge?
Google Chrome, Mozilla Firefox et Opera (basé sur Google Chrome) sont les seuls navigateurs prenant en charge U2F. Cela fonctionne sur Windows, Mac, Linux et Chromebooks. Si vous avez un jeton U2F physique et utilisez Chrome, Firefox ou Opera, vous pouvez l’utiliser pour sécuriser vos comptes Google, Facebook, Dropbox et GitHub. Les autres gros services ne supportent pas encore U2F.
U2F fonctionne également avec le navigateur Google Chrome sur Android, en supposant que vous disposiez d’une clé USB avec prise en charge NFC intégrée. Apple n’autorisant pas les applications à accéder au matériel NFC, elle ne fonctionnera donc pas sur les iPhones.
Bien que les versions stables actuelles de Firefox prennent en charge U2F, elles sont désactivées par défaut. Vous devez activer une préférence cachée de Firefox pour activer le support U2F pour le moment.
La prise en charge des clés U2F se généralisera lorsque l’API d’authentification Web décollera. Cela fonctionnera même dans Microsoft Edge.
Comment vous pouvez l'utiliser
Vous avez juste besoin d'un jeton U2F pour commencer. Google vous invite à rechercher «Clé de sécurité FIDO U2F» sur Amazon pour les trouver. La plus haute coûte 18 dollars et est fabriquée par Yubico, une entreprise qui fabrique depuis longtemps des clés de sécurité USB physiques. Le Yubikey NEO, plus coûteux, inclut le support NFC pour une utilisation avec les appareils Android.
Vous pouvez ensuite consulter les paramètres de votre compte Google, rechercher la page de vérification en deux étapes et cliquer sur l'onglet Clés de sécurité. Cliquez sur Ajouter une clé de sécurité pour pouvoir ajouter la clé de sécurité physique, que vous devrez vous connecter à votre compte Google. Le processus sera similaire pour d'autres services prenant en charge U2F. Consultez ce guide pour plus d'informations.
Ce n’est pas encore un outil de sécurité que vous pouvez utiliser partout, mais de nombreux services devraient éventuellement l’ajouter. Attendez-vous à de grandes choses de l'API d'authentification Web et de ces clés U2F à l'avenir.