Yubico : La question de l’authentification forte, entre idées reçues et pièges à éviter

Régulièrement, les adhérents Ocssimore se réunissent lors d’ateliers de veille et d’innovation : des événements inédits, sur des thématiques sécurité (Cloud, Sensibilisation, Authentification Forte, Identité Numérique, …), qui viennent nourrir les travaux des adhérents et explorer de nouveaux champs d’actions. L’intérêt est double : l’association enrichit la capacité de veille d’innovation de chaque adhérent, tandis que l’orateur qui pitche (startup, expert,…) confronte son sujet et ses propositions à une vision multisectorielle et des besoins de terrain.

Pour ce nouveau rendez-vous, les adhérents ont rendez-vous avec Yubico. Il s’agit d’un des principaux acteurs du consortium FIDO (Fast IDdentity Online), ayant largement participé au design et à la spécification détaillée de la seconde version du protocole FIDO2 (homologuée W3C) et travaillant actuellement sur le déploiement de nouvelles clés biométriques pour une authentification renforcée encore plus qualitative.  Une opportunité d’échanger avec ce pionnier du standard pour mieux comprendre la source d’innovation que représente le protocole et évoquer l’accompagnement que propose Yubico pour permettre la mise en œuvre es protocoles FIDO2 dans un SI d’entreprise afin de renforcer l’authentification collaborateur et/ou utilisateur.

Pour en parler, c’est Karim Smaili et Renato Antunes qui sont intervenus pour nous présenter leur technologie, les YubiKeys.

L’authentification : vision technique et vision usage

Yubico c’est aujourd’hui 350 personnes dans le monde et 2 missions principales : la création de clés de sécurité (YubiKeys) et la spécification des protocoles FIDO (UAF, U2F, et maintenant FIDO2.X). Yubico reste indépendant et équipe avec ses solutions de grands groupes comme Google, Microsoft, Apple…

Karim et Renato abordent au cours de cette présentation leur vision de l’authentification forte, les pièges à éviter, et les apports des YubiKeys. La YubiKey est un dispositif d’authentification électronique fabriqué par Yubico qui supporte les mots de passe à usage unique, le chiffrement et l’authentification par clé publique et le protocole Universal Second Factor (U2F) développé par l’alliance FIDO. Plusieurs facteurs de forme offerts permettent de connecter une tel clé par NFC, USB-A, USB-C,…(les dernières clés biométriques n’intègrent pas de NFC en revanche).

Rappelons qu’il y a eu une augmentation de 450% en 2021 des divulgations d’identifiants et mots de passe. Le phishing reste également le vecteur le plus répandu, avec 80% des attaques, avec comme conséquence le vol de données. L’authentification est donc une question centrale face à ce contexte particulièrement tendu. 

Les idées reçues présentées par Yubico :

  1. Le MFA est uniquement pour les VIP, c’est à dire ceux qui ont accès à des données confidentielles.
  • Les attaquants ciblent les maillons faibles et se déplacent latéralement. Il est donc indispensable de protéger l’ensemble de la population et donc d’avoir une authentification forte pour tous les utilisateurs.
  • Stratégie Zero Trust : l’authentification forte est une composante fondamentale du zero trust, et notamment les YubiKey
  1. Le mobile se veut être une solution à privilégier car il est facile à déployer.
  • Les mobiles ont une surface d’attaque aussi. L’utilisateur est aussi vulnérable sur son mobile. Par exemple, on ne peut pas toujours vérifier l’IP.

Le cas d’usage de Google :

Après deux ans d’évaluation de différentes méthodes d’authentification, Google a confirmé que les clés de sécurité (YubiKeys) étaient les mieux adaptées pour répondre aux besoins de l’entreprise en matière de sécurité. Plus de 50 000 employés Google utilise désormais des YubiKeys.

Karim nous a ensuite présenté une analyse détaillée des systèmes d’authentification existants et leurs différences : une matrice qui permet de se faire une vraie idée sur le niveau de sécurité et l’expérience utilisateur. Selon lui, il ne faut pas négliger l’expérience utilisateur et la simplicité d’utilisation. Par sa simplicité d’utilisation, on peut même inciter à utiliser les clés de sécurité dans la vie personnelle.

La clé à de nombreux avantages par rapport à la carte à puce (qui reste le moyen d’authentification le plus sécurisé), notamment au niveau de l’expérience utilisateur proposée. De plus, la clé embarque tous les protocoles standards : FIDO, FIDO2, SMART CARD, OPENPGP, CO,FOG SLOT 1&2, OATH. Les Yubikey sont certifiées par l’ANSSI et fabriquées en Europe. Par ailleurs leur robustesse est appréciable dans des contextes et configurations agressifs(incassable, étanche, …).

66% des utilisateurs français favorables à l’authentification forte sans mot de passe. Les utilisateurs sont très demandeur d’une technologie de ce type pour arrêter d’utiliser les mots de passe qui restent très contraignant.

Au niveau des coûts, l’authentification forte reste très cher, mais néanmoins moins cher que le cout d’une faille de sécurité.

Yubico travaille aujourd’hui avec des entreprises de tous les secteurs : banque, technologies mais aussi dans le domaine du retail, avec des instances gouvernementales et d’autres secteurs (loisirs, sport…)

Focus sur le protocole FIDO2

Il s’agit aujourd’hui du protocole le plus sécurisé pour faire de l’authentification et qui offre la meilleure expérience utilisateur.

Il existe plusieurs cas d’usage qui évitent l’utilisation de mots de passe. Soit juste la clé, soit code pin et clé, soit clé, et biométrie.

L’équipe nous ensuite expliqué en détails la procédure FIDO 2 avec la phase d’enregistrement et la phase d’authentification. La partie plus technique sera transmise aux adhérents.

Les adhérents ont ensuite pu assister à plusieurs démos en live :

  • Microsoft AD Azure : Enregistrement de la YubiKey, authentification et ouverture de session Windows
  • Microsoft AD on-premise : ouverture de session windows avec la yubikey en tant que carte à puce
  • OTP Phishing attaque : démonstration que la Yubikey et FIDO2 protègent les utilisateurs

Cette présentation a permis de faire un véritable état des lieux du travail mené par Yubico sur le sujet de l’authentification forte. Un grand merci à Karim et Renato pour cette présentation !

Si vous souhaitez en savoir plus sur Yubico : https://www.yubico.com/a-propos-de-nous/?lang=fr

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *