Nous avons essayé Yubikey de Yubico, la clé USB qui veut remplacer tous vos mots de passe

Pour en finir avec la gestion des mots de passe, la société Yubico présente Yubikey, une petite clé USB qui remplace les traditionnels identifiants. Comment ça marche ? Quels sont les avantages et les défauts ? Quels sont les services compatibles ? Est-ce vraiment une solution sécurisée ? Voici notre retour d’expérience.

Nous publions régulièrement sur notre site des articles sur les pirates et les nouvelles technologies qui leur servent à voler des données. Si de nombreuses techniques se jouent des utilisateurs, déjouant leur vigilance pour les tromper (le phishing par exemple), d’autres attaquent les protections les plus classiques, notamment le couple login et mot de passe. Récupérer des adresses mail n’est pas compliqué. Et forcer un mot de passe ne l’est pas forcément davantage.

Lire aussi – Passkeys : à quoi ça sert, comment ça marche et pourquoi ils vont remplacer les mots de passe

Comment sécuriser davantage l’accès aux services en ligne qui contiennent des informations personnelles, voire des données sensibles ? Hormis augmenter la taille des mots de passe pour rendre leur piratage plus difficile, il existe déjà plusieurs technologies qui sécurisent les comptes personnelles. La double authentification (2FA). Les applications d’authentification (type Google Authenticator). Les protections biométriques. Mais aussi des clés de sécurité.

Yubico, société créée en 2007 en Suède, est l’un des grands spécialistes des clés de sécurité. Ses produits s’adressent aux entreprises, mais aussi aux particuliers. Qu’est-ce qu’une clé de sécurité ? C’est une clé USB qui permet de se connecter à un compte sans login et mot de passe. Comment ça marche ? Est-ce vraiment pratique au quotidien ? C’est ce que nous avons voulu savoir en testant une Yubikey de Yubico.

Yubikey ressemble à une petite clé USB, mais…

Il existe de nombreux modèles de clé de sécurité dans le catalogue de Yubico. Celle que nous avons reçue en test est une « Security Key C NFC ». C parce qu’elle est compatible USB-C. Et NFC parce qu’elle intègre un capteur NFC. Tout simplement. Il existe de nombreux modèles différents avec différents ports (USB-A, USB-C, Lightning) et différentes technologies embarquées (NFC et lecteur d’empreinte digitale). Il existe aussi des tailles différentes, certaines clés ne mesurant que quelques millimètres.

Notre modèle est donc un modèle compatible USB-C. Le port est apparent et n’est pas protégé. Attention donc aux conditions de transport pour ne pas abimer le produit et risquer des difficultés de connexion aux comptes associés à la clé. Avec ce port USB-C apparent, notre Yubikey ressemble à un support de stockage amovible classique, même si ce n’en est pas un.

Un autre détail à observer dans la Yubikey que nous testons, c’est le cercle doré. Il s’agit d’une surface tactile que vous devez toucher pour activer la clé quand vous tentez de vous confirmer votre identité. Dans ce cercle, vous avez le logo de la marque, mais aussi celui d’un signal radio : celui du NFC. La coque est en plastique noir avec un trou pour mettre la Yubikey… avec vos vraies clés ! Les dimensions sont extrêmement contenues : 33 mm de long (sans le port USB-C), 13 mm de large et 3 mm d’épaisseur.

Associer une Yubikey à un compte n’est pas pas très compliqué

Il n’y a pas de configuration à réaliser sur une Yubikey. Elle fonctionne dès le moment où vous la déballez. En revanche, la première fois que vous l’utilisez, vous devez créer un code PIN qui va sécuriser la clé. Ce code est à saisir quand vous utilisez la clé pour vous connecter à un compte associé. Ainsi, même si vous l’égarez ou que vous vous la faites voler, elle ne pourra pas être utilisée à votre insu.

Tous les produits de Yubico sont compatibles avec le standard FIDO (voire FIDO2), acronyme de Fast Identity Online. Cela veut dire que vous pouvez vous connecter à tous les services en ligne qui prennent en charge ce standard sans avoir besoin de mot de passe. Parmi les plus connus, vous retrouvez Apple, Google, Microsoft, Amazon, Facebook, Discord, Dropbox, Yahoo, Twitter, eBay, Opera.

Notez que cette liste n’est pas exhaustive. Le reste de la liste est essentiellement constitués de services professionnels. Petite remarque à ce propos : nous l'avons constituée à partir des services compatibles avec notre clé de test. Avec d'autres clés, vous pourriez accéder à d'autres services. Twitch, Nintendo, Electronic Arts, Epic Games, Tesla, etc. Vérifiez bien quel produit est compatible avec les services que vous utilisez tous les jours avant de l'acheter.

Compte Facebook

Pour connecter la clé à un compte compatible, il suffit d’ajouter une nouvelle méthode de connexion. Pour cela, voici un petit tuto (à adapter selon les services) :

Compte Facebook
Compte Google
Compte Microsoft

Pour se connecter au même service après avoir configuré la clé, il suffit d’insérer la clé, d’ouvrir le service web concerné. Il vous est alors demandé d’activer la clé : appuyez dessus, faites le code PIN et appuyez une seconde fois. C’est fait. Notez qu’il est possible d’ajouter autant de clé que vous le voulez à un même compte. Yubico conseille d’ailleurs d’en acheter deux, une principale et une de secours. Mais cela veut dire deux fois plus de coûts.

Yubikey dépend aussi beaucoup des développeurs

Nous avons constaté jusqu’ici tous les atouts de la clé. Sa petitesse. Sa facilité d’usage. Mais il n’y a pas que des avantages. Il y a aussi de petits défauts d’usage. Pour la plupart, ces soucis ne sont pas liés à Yubico, mais à l’écosystème et aux développeurs d’application. C’est en effet à eux de choisir d’adopter ou non le protocole FIDO nécessaire à l’authentification sécurisée d’une clé. Voilà pourquoi de nombreux services que nous utilisons quotidiennement ne sont pas dans la liste citée précédemment.

Ensuite, il y a une certaine hétérogénéité dans l’intégration d’une clé de sécurité dans les paramètres d’un compte. Les menus et les appellations ne sont souvent pas les mêmes. Il n’est donc pas toujours aisé de savoir comment ajouter une clé de sécurité à un compte. Heureusement, certains incluent un moteur de recherche dans les menus afin de trouver plus facilement l’option.

De même, certains développeurs n’accepteront pas qu’une clé puisse suffire à l’identification d’un utilisateur, reléguant la clé à un simple moyen de confirmer son identité (dans une connexion à double facteur par exemple). C’est le cas de Facebook ou Amazon, par exemple. Certes, cela suffit à améliorer la sécurité d’un compte. Mais cela manque parfois d’un peu de sens pratique.

Facebook n'accepte pas l'authentification mais la confirmation d'authentification avec une clé

Toujours côté sens pratique, il n’est pas toujours possible de s’identifier à un service en ligne avec la Yubikey sur toutes les plates-formes (ordinateur, smartphone), tous les OS (Windows, Android, iOS, macOS) et tous les moyens (navigateur web ou application native). Sur mobile, le bon vieux mot de passe avec confirmation par SMS reste beaucoup plus simple (et universel), même si le niveau de sécurité est plus faible.

Certains pourraient également évoquer les problèmes de sécurité des clés. En effet, en septembre 2024, une firme spécialisée dans la sécurité informatique appelée NinjaLab a décelé une faille de sécurité dans certaines Yubikey. Une faille qui ne peut être comblée par une mise à jour logicielle du firmware des clés.

Compte Microsoft

Contacté par nos soins, Yubico explique que le problème a été identifié et reste très peu étendue, pour deux raisons : le nombre de produits concernés est peu élevée et sont d’anciens modèles, les modèles actuels n’ayant pas ce souci ; et l’énergie qu’il faut déployer pour exploiter cette faille rend cette dernière peu rentable auprès d'un particulier. De notre point de vue, ce sont donc plutôt les entreprises qui pourraient être visées par ce type d'attaque et non le grand public.

Combien ça coute une Yubikey ?

Parlons maintenant du prix, parce que c’est le nerf de la guerre. Vous pouvez acheter, en tant que particulier, une clé de sécurité. Les prix démarrent à 30 euros TTC pour un modèle compatible FIDO seulement et avec une connectique USB-A. Vous avez, avec ce produit, toutes les fonctions que nous avons couvertes dans cette prise en main. Notre modèle est très légèrement plus cher : 36 euros TTC. La différence est simple avec le premier : c’est la connexion USB-C. Sinon, c’est strictement la même chose.

Pour avoir un peu plus de fonctionnalités, que ce soit au niveau de la biométrie, des ports ou des protocoles de sécurité, vous devez débourser au minimum 60 euros et cela peut monter jusqu’à 130 euros. Et nous n’incluons pas ici les produits destinés uniquement (ou presque) aux grandes entreprises. Notez que vous pouvez aussi accessoiriser une Yubikey, avec un porte-clé rotatif à 30 euros, un cordon de transport, à 4 euros ou des stickers à 6 euros.

Alors, on achète ?

La Yubikey est une chouette petite clé de sécurité qui s’emporte partout et qui permet d’apporter une protection supplémentaire à vos différents comptes en ligne. Toujours dans votre poche, ne nécessitant pas d’accès à Internet pour fonctionner, souvent compatible NFC, Yubikey a de nombreux avantages. Et si vous en avez le besoin, nous ne pouvons que vous conseiller cette petite clé.

En revanche, il est clairement dommage que l’intégration de tels clés de sécurité ne soit pas plus systématique. Car cela amoindrit la justification de son achat. En tant que moyen complémentaire d’authentification, cette option vaut tout aussi bien qu’une empreinte digitale ou une reconnaissance faciale avancée (type Face ID). Ces dernières sont souvent gratuites et intégrées à votre smartphone ou votre ordinateur.

Voir les commentaires
Ailleurs sur le web