YubiKey

Un article de Wikipédia, l'encyclopédie libre.
Sauter à la navigation Sauter à la recherche

La YubiKey est un dispositif d'authentification électronique fabriqué par Yubico qui supporte les mots de passe à usage unique, le chiffrement et l'authentification par clé publique et le protocole Universal Second Factor (U2F) développé par l'alliance FIDO (FIDO U2F). Il permet aux utilisateurs de s'authentifier de façon sécurisée à leurs comptes en émettant un mot de passe à usage unique ou en utilisant une paire de clé privée/publique générée par le dispositif. Yubikey permet également de stocker les mots de passe statiques des sites ne supportant pas les mots de passe à usage unique[1].

Facebook utilise Yubikey pour l'authentification de ses employés et Google le supporte pour ses employés et ses utilisateurs. Quelques gestionnaires de mots de passe comme LastPass , Bitwarden (forfait premium payant) ou KeePass supportent également Yubikey.

Fondée en 2007 par Stina Ehrensvärd, Yubico est une société privée présente à Palo Alto, Seattle et Stockholm. Jakob Ehrensvärd, directeur technique de Yubico, est l'auteur principal de la spécification d'authentification forte qui deviendra U2F.

Historique[modifier | modifier le code]

Au CES 2017, Yubico a annoncé la YubiKey 4C conçue sur l'USB Type-C. La YubiKey 4C a été distribuée à partir du 13 février 2017. La fonctionnalité de mots de passe à usage unique est supportée sur le système d'exploitation Android à travers une prise USB-C[2].

Fonctionnement[modifier | modifier le code]

Yubikey met en œuvre l'algorithme de mots de passe à usage unique basé sur HMAC (HOTP) et celui basé sur le temps (TOTP). Il se substitue à un clavier qui fournit un mot de passe à usage unique à travers le protocole USB HID. Les versions YubiKey NEO et YubiKey 4 incluent des protocoles tels que celui des cartes OpenPGP (utilisant le RSA 2048-bit) et la cryptographie à courbe elliptique (ECC) p256 et p384, la communication en champ proche (NFC) et le FIDO U2F[3]. La quatrième génération de YubiKey lancée le 16 novembre 2015 supporte OpenPGP avec RSA 4096-bit et le support Public Key Cryptographic Standards (PKCS #11) pour les smart cards d'identification personnelle, fonctionnalité qui permet la signature d'images Docker.

ModHex[modifier | modifier le code]

Les YubiKey émettent des mots de passe dans un alphabet hexadécimal modifié qui est conçu pour être aussi indépendant que possible des configurations de clavier. Cet alphabet (le ModHex ou Hexadécimal Modifié) est constitué des caractères cbdefghijklnrtuv correspondants aux chiffres hexadécimaux 0123456789abcdef.

Inquiétudes sécuritaires visant YubiKey 4 (fermeture du code source)[modifier | modifier le code]

Yubico a remplacé tous ses composants open-source dans la YubiKey 4 par du code source fermé propriétaire, ce qui ne lui permet plus d'être étudiée de manière indépendante pour des failles de sécurité. Yubico affirme que son code est analysé de façon interne et externe. Les YubiKey NEO utilisent toujours du code open-source. Le 16 mai 2016, Jakob Ehrensvärd (Directeur technique de Yubico) a répondu à l'inquiétude de la communauté open-source en réaffirmant le soutien fort de Yubico pour l'open-source et décrivant les raisons et les bénéfices des mises à jour de la YubiKey 4.

En octobre 2017, des chercheurs en sécurité ont trouvé une vulnérabilité dans l'implémentation de la génération de paires de clés RSA dans une bibliothèque cryptographique utilisée par un grand nombre de composants électronique de sécurité Infineon. Cette vulnérabilité permet à un attaquant de reconstruire une clé privée à partir d'une clé publique. Toutes les YubiKey 4, 4C et 4 nano entre les version 4.2.6 et 4.3.4 sont affectées par cette vulnérabilité. Yubico a publié un outil permettant de vérifier si une YubiKey est affectée et remplace ces composants gratuitement.

Liste des services et plateformes supportées[modifier | modifier le code]

La Yubikey est compatible avec de nombreux services et plateformes dont[4] :

Notes et références[modifier | modifier le code]

Références[modifier | modifier le code]

  1. (en) Eleanor Peake, « This simple USB key protects everyone from phishing », Wired, (consulté le 26 octobre 2017)
  2. (en) Frederic Lardinois, « YubiKey goes USB-C », TechCrunch, (consulté le 26 octobre 2017)
  3. David Legrand, « Les Yubikey Neo (NFC) compatibles avec les derniers iPhone, mais pas pour l'U2F », Nextinpact, (consulté le 26 octobre 2017)
  4. (en) Adrian Kingsley-Hughes, « Using a YubiKey to protect your Google account, Facebook, GitHub, Dropbox, Salesforce, and more », ZDNet, (consulté le 25 octobre 2017)