Auteur Sujet: Clé de sécurité Yubikey (Lu 1458 fois)

rooot · « **le:** 04 août 2024 à 20:57:27 »

Bonjour,
je viens de faire l'acquisition de 2 clés YUBIKEY 5 NFC usb, histoire de voir un peu comment ca marche et si c'est vraiment pratique.
J'ai vu une offre sur Ebay a un tarif très intéressant 50€ les 2. On en trouve aussi au meme prix sur Leboncoin.
Ceux qui connaissent bien le principe de fonctionnement de ces clés, est-ce qu'il y a un risque si on les achete hors du circuit normal ?
J'ai vu sur le site de YUBIKEY que le firmware est non modifiable, pour éviter les Hacks.

artemus24 · « **Réponse #1 le:** 06 août 2024 à 02:04:34 »

Salut Rooot.

Si elles sont dans leur emballage d'origine, je ne vois pas pourquoi il y aurait un problème.

Un site où il est expliqué comment "[Test] Sécuriser ses authentifications avec la Yubikey 5 NFC".
Ce qui m'intéresse est ton retour d'expérience avec ces clefs YUBIKEY.

vivien · « **Réponse #2 le:** 06 août 2024 à 07:52:59 »

Pourquoi ne pas prendre une clé de sécurité Titan de Google ?

Neuf, on peut avoir deux à 50€ lors des promos.

Hors promo, c'est 35€ l'unité.

Perso, j'ai arrêté de l'utiliser, je trouve plus simple d'avoir l'application Authy sur mon smartphone qu'une clé à avoir partout avec moi.

coco · « **Réponse #3 le:** 06 août 2024 à 08:10:05 »

Pour moi les clés de sécurité permettent de se passer de son téléphone et d’avoir un backup si il est perdu ou volé.
Aussi, c’est plus sécurisé car le MFA est souvent synchronisé avec un compte Google ou Microsoft sur les applis. C’est peu probable mais on pourrait imaginer que ça puisse être piratable (et en même temps ça permet d’avoir ses codes qui reviennent facilement si on change de téléphone mais du coup c’est moins secure).

La clé, tu l’a vraiment physiquement avec toi, et tu peux aussi en avoir plusieurs en backup.

La clé titan a l’air plus grosse et moins solide.

vivien · « **Réponse #4 le:** 06 août 2024 à 08:56:55 »

La clé de sécurité n'est qu'un moyen de plus d'accès : Il est toujours possible de se connecter via un code envoyé par SMS.

L'usage de la clé ne supprime pas les autres moyens de faire de l'authentification à deux facteurs (2FA).

coco · « **Réponse #5 le:** 06 août 2024 à 11:08:09 »

Ça dépend des services. Apple par exemple en cas de clé enregistrée supprime tous les autres mfa et c’est vraiment sécurité.
Pour la plupart des services on a le choix et on peut faire en sorte que ça soit sur les clés.
Ou la clé peut servir à faire du passwordless : on entre plus le mot de passe.

rooot · « **Réponse #6 le:** 06 août 2024 à 12:49:40 »

@Artemus24
comme je n'y connais pas grand chose pour le moment, on pourrait très bien m'envoyer autre chose qu'une vrai clé YUBIKEY. Une copie avec un firmware custom, bref on peut tout imaginer.
Concernant l'emballage, ca aussi ca ne veut rien dire, j'en ai vu plusieurs sur internet. Je ne suis pas en mesure de différencier un vrai d'un faux.
Autre truc qui me dérange un peu aussi, c'est que justement sur l'emballage il y a très peu d'infos, pas de version de firmware par exemple, et le code barre je ne sais pas s'il suffit a indiquer que tout est vrai dans ce qu'on m'a envoyé.
Voilà, beaucoup de questions très paranoiaques certe, mais quand on ne sait pas trop ou on met les pieds je préfère demander

J'achete quand meme 2 clés neuves pour le prix d'une seule...donc on pourrait aussi se demander comment c'est possible.

rooot · « **Réponse #7 le:** 06 août 2024 à 13:24:51 »

Bon j'ai trouvé en fait la réponse à toutes mes questions, il existe une page qui permet de vérifier l'authenticité d'une clé YUBIKEY.
https://www.yubico.com/genuine/

Antoinel · « **Réponse #8 le:** 06 août 2024 à 13:30:54 »

Ce n'est pas exactement comparable une Yubikey et une app 2FA.

Une clé sécurisé est beaucoup plus sécurisante qu'une app sur smartphone en 2FA car elle réduit grandement la surface d'attaque : l'implémentation (bug) de l'app 2FA et l'OS du smartphone. De plus, un 2FA TOTP peut être dupliqué (il suffit de connaitre la "seed") alors que ce n'est pas possible pour une clé physique qui ne permet pas d'extraire la clé privée.

Pas possible de tomber dans du phishing non plus avec car l'URL du site est prise en compte par exemple.

En bonus sur la Yubikey, on peut l'utiliser comme une carte à puce (fonction PIV ou openPGP selon votre envie) et elle peut se comporter ainsi comme une clé SSH très sécurisée car la clé privée est générée directement dans la clé et n'est pas extractable. Le firmware de la clé n'est pas modifiable non plus (s'il y a un gros bug de sécu, Yubico remplace la clé gratuitement).

Pour vérifier l'authenticité de la clé, il y a le site officiel https://www.yubico.com/genuine/ .

Pour le prix des clés, il y a 2 ans, Cloudflare a fait un partenariat avec Yubikey et a donné un gros bon de réduction permettant de commander des clés à 10 euros / pièce . Elles proviennent peut-être de là.

coco · « **Réponse #9 le:** 06 août 2024 à 15:01:52 »

Attention, la possibilité de gérer des clés ssh n’est pas offerte pour les clés les moins chères de yubikey, elles ne font que fido2

rooot · « **Réponse #10 le:** 06 août 2024 à 15:08:25 »

Citation de: Antoinel le 06 août 2024 à 13:30:54

Pour le prix des clés, il y a 2 ans, Cloudflare a fait un partenariat avec Yubikey et a donné un gros bon de réduction permettant de commander des clés à 10 euros / pièce . Elles proviennent peut-être de là.

effectivement, j'ai trouvé une trace de ça ici : https://www.reddit.com/r/yubikey/comments/xrcly7/cloudflare_deal_for_1011_keys/
donc on pouvait acheter jusqu'a 10 clés...Ce qui explique le business qu'on trouve sur LBC : https://www.leboncoin.fr/ad/accessoires_informatique/2769388117

Free_me · « **Réponse #11 le:** 06 août 2024 à 19:04:09 »

surtout que sur le cout du materiel uniquement ca ne doit pas depasser quelques euros, Donc 10, 15, 30, 50 euros de revente, pourquoi pas.