La Fibre
Télécom => Télécom => 
Veille technologique => Discussion démarrée par: rooot le 04 août 2024 à 20:57:27
-
Bonjour,
je viens de faire l'acquisition de 2 clés YUBIKEY 5 NFC usb, histoire de voir un peu comment ca marche et si c'est vraiment pratique.
J'ai vu une offre sur Ebay (https://www.ebay.fr/itm/355489049781?var=&widget_ver=artemis&media=COPY&siteid=71&toolid=10001&customid=1633262647)a un tarif très intéressant 50€ les 2. On en trouve aussi au meme prix sur Leboncoin.
Ceux qui connaissent bien le principe de fonctionnement de ces clés, est-ce qu'il y a un risque si on les achete hors du circuit normal ?
J'ai vu sur le site de YUBIKEY (https://docs.yubico.com/hardware/yubikey/yk-tech-manual/yk5-overview.html) que le firmware est non modifiable, pour éviter les Hacks.
-
Salut Rooot.
Si elles sont dans leur emballage d'origine, je ne vois pas pourquoi il y aurait un problème.
(https://domopi.eu/content/images/size/w1000/2021/09/IMG_0613.webp)
Un site où il est expliqué comment "[Test] Sécuriser ses authentifications avec la Yubikey 5 NFC (https://domopi.eu/test-securiser-ses-authentifications-avec-la-yubikey-5-nfc/)".
Ce qui m'intéresse est ton retour d'expérience avec ces clefs YUBIKEY.
-
Pourquoi ne pas prendre une clé de sécurité Titan de Google ?
Neuf, on peut avoir deux à 50€ lors des promos.
Hors promo, c'est 35€ l'unité.
Perso, j'ai arrêté de l'utiliser, je trouve plus simple d'avoir l'application Authy sur mon smartphone qu'une clé à avoir partout avec moi.
-
Pour moi les clés de sécurité permettent de se passer de son téléphone et d’avoir un backup si il est perdu ou volé.
Aussi, c’est plus sécurisé car le MFA est souvent synchronisé avec un compte Google ou Microsoft sur les applis. C’est peu probable mais on pourrait imaginer que ça puisse être piratable (et en même temps ça permet d’avoir ses codes qui reviennent facilement si on change de téléphone mais du coup c’est moins secure).
La clé, tu l’a vraiment physiquement avec toi, et tu peux aussi en avoir plusieurs en backup.
La clé titan a l’air plus grosse et moins solide.
-
La clé de sécurité n'est qu'un moyen de plus d'accès : Il est toujours possible de se connecter via un code envoyé par SMS.
L'usage de la clé ne supprime pas les autres moyens de faire de l'authentification à deux facteurs (2FA).
-
Ça dépend des services. Apple par exemple en cas de clé enregistrée supprime tous les autres mfa et c’est vraiment sécurité.
Pour la plupart des services on a le choix et on peut faire en sorte que ça soit sur les clés.
Ou la clé peut servir à faire du passwordless : on entre plus le mot de passe.
-
@Artemus24
comme je n'y connais pas grand chose pour le moment, on pourrait très bien m'envoyer autre chose qu'une vrai clé YUBIKEY. Une copie avec un firmware custom, bref on peut tout imaginer.
Concernant l'emballage, ca aussi ca ne veut rien dire, j'en ai vu plusieurs sur internet. Je ne suis pas en mesure de différencier un vrai d'un faux.
Autre truc qui me dérange un peu aussi, c'est que justement sur l'emballage il y a très peu d'infos, pas de version de firmware par exemple, et le code barre je ne sais pas s'il suffit a indiquer que tout est vrai dans ce qu'on m'a envoyé.
Voilà, beaucoup de questions très paranoiaques certe, mais quand on ne sait pas trop ou on met les pieds je préfère demander ;D
J'achete quand meme 2 clés neuves pour le prix d'une seule...donc on pourrait aussi se demander comment c'est possible.
-
Bon j'ai trouvé en fait la réponse à toutes mes questions, il existe une page qui permet de vérifier l'authenticité d'une clé YUBIKEY.
https://www.yubico.com/genuine/
-
Ce n'est pas exactement comparable une Yubikey et une app 2FA.
Une clé sécurisé est beaucoup plus sécurisante qu'une app sur smartphone en 2FA car elle réduit grandement la surface d'attaque : l'implémentation (bug) de l'app 2FA et l'OS du smartphone. De plus, un 2FA TOTP peut être dupliqué (il suffit de connaitre la "seed") alors que ce n'est pas possible pour une clé physique qui ne permet pas d'extraire la clé privée.
Pas possible de tomber dans du phishing non plus avec car l'URL du site est prise en compte par exemple.
En bonus sur la Yubikey, on peut l'utiliser comme une carte à puce (fonction PIV ou openPGP selon votre envie) et elle peut se comporter ainsi comme une clé SSH très sécurisée car la clé privée est générée directement dans la clé et n'est pas extractable. Le firmware de la clé n'est pas modifiable non plus (s'il y a un gros bug de sécu, Yubico remplace la clé gratuitement).
Pour vérifier l'authenticité de la clé, il y a le site officiel https://www.yubico.com/genuine/ .
Pour le prix des clés, il y a 2 ans, Cloudflare a fait un partenariat avec Yubikey et a donné un gros bon de réduction permettant de commander des clés à 10 euros / pièce . Elles proviennent peut-être de là.
-
Attention, la possibilité de gérer des clés ssh n’est pas offerte pour les clés les moins chères de yubikey, elles ne font que fido2
-
Pour le prix des clés, il y a 2 ans, Cloudflare a fait un partenariat avec Yubikey et a donné un gros bon de réduction permettant de commander des clés à 10 euros / pièce . Elles proviennent peut-être de là.
effectivement, j'ai trouvé une trace de ça ici : https://www.reddit.com/r/yubikey/comments/xrcly7/cloudflare_deal_for_1011_keys/
donc on pouvait acheter jusqu'a 10 clés...Ce qui explique le business qu'on trouve sur LBC : https://www.leboncoin.fr/ad/accessoires_informatique/2769388117
-
surtout que sur le cout du materiel uniquement ca ne doit pas depasser quelques euros, Donc 10, 15, 30, 50 euros de revente, pourquoi pas.
-
Peut-on se servir de ces clefs de sécurités pour s'identifier auprès de sa banque ?
Je pense que c'est bien plus sécurisé que la double authentification (2FA) que propose ma banque.
Pour protéger son ordinateur, pourquoi pas, sauf que je n'en ai aucun usage.
Est-ce que cela peut aussi fonctionner sur un smartphone ou une tablette ?
Est-ce que le smartphone serait inutilisable sans cette clef de sécurité ?
A moins que l'on peut contourner le problème, en réinitialisant le smartphone.
-
Peut-on se servir de ces clefs de sécurités pour s'identifier auprès de sa banque ?
Je ne crois pas avoir vu de banque qui acceptent une clé de sécurité.
Les banques ne sont pas trop à l'avant-garde des technologies, même pour la sécurité.
-
C'est dispo sur BoursoBank. Ils acceptent les clés Fido 2 ainsi que tous les smartphone avec un élément sécurisé (iPhone par exemple).
https://www.boursobank.com/aide-en-ligne/securite/proteger-mon-espace-client/question/comment-se-connecter-a-votre-espace-client-grace-aux-cles-de-securite-5165516
-
Peut-on se servir de ces clefs de sécurités pour s'identifier auprès de sa banque ?
oui, je suis chez boursorama et c'est possible :
https://www.boursobank.com/aide-en-ligne/securite/proteger-mon-espace-client/question/comment-se-connecter-a-votre-espace-client-grace-aux-cles-de-securite-5165516
Edit:
oups grillé ;D
-
Pour protéger son ordinateur, pourquoi pas, sauf que je n'en ai aucun usage.
Est-ce que cela peut aussi fonctionner sur un smartphone ou une tablette ?
Est-ce que le smartphone serait inutilisable sans cette clef de sécurité ?
A moins que l'on peut contourner le problème, en réinitialisant le smartphone.
>Pour les ordinateurs, en entreprise ça pourrait être pratique quand la politique de sécurité impose un changement de mot de passe tous les 3 mois par exemple. Ca fait parti des choses que je veux justement tester pour voir si c'est viable.
>Oui ca marche sur smartphone et tablettes, si elles ont le NFC ou un port USB-C.
>En cas de perte/vol de la clé, le smartphone reste toujours accessible par les moyens habituels(code pin, reconnaissance faciale, empreinte digitale,...)
Un lien interessant, la liste de tous les services compatibles avec Yubikey:
https://www.yubico.com/works-with-yubikey/catalog/?sort=popular
-
J’ai déjà fais une boîte ou on avait une clé qui ressemblait à du yubikey mais c’était en plus du mot de passe qu’on changeait tous les 3 mois.
-
J'ai recu mes 2 Yubikey aujourd'hui, le vendeur Ebay n'aillant jamais expédié les clés la vente a été annulée et remboursée par Ebay.
J'ai donc passé commande sur leboncoin de 2 clés pour 50€. Elles sont en Firmware 5.4.3.
J'ai enregistré mes clés sur Github, et sur ma banque Boursorama.
Avec Boursorama ce n'est que du bonheur, je n'ai jamais pu retenir mon code utilisateur et mon mot de passe... maintenant avec ma Yubikey je n'ai plus qu'a l'insérer dans un port usb, taper un code PIN de 4 caractères (ca c'est bon j'arrive a le retenir ;D ) et toucher la zone tactile de la clé, et hop je suis connecté !
(https://i.imgur.com/PrdZ89y.png)
-
J'ai recu mes 2 Yubikey aujourd'hui, le vendeur Ebay n'aillant jamais expédié les clés la vente a été annulée et remboursée par Ebay.
J'ai donc passé commande sur leboncoin de 2 clés pour 50€. Elles sont en Firmware 5.4.3.
J'ai enregistré mes clés sur Github, et sur ma banque Boursorama.
Avec Boursorama ce n'est que du bonheur, je n'ai jamais pu retenir mon code utilisateur et mon mot de passe... maintenant avec ma Yubikey je n'ai plus qu'a l'insérer dans un port usb, taper un code PIN de 4 caractères (ca c'est bon j'arrive a le retenir ;D ) et toucher la zone tactile de la clé, et hop je suis connecté !
Génial!
j'envisage de proposer la même chose à mon entourage pour ne plus dépendre du smartphone ; question complémentaire : est ce que système peut fonctionner sous linux ou unix/bsd?
merci!
-
je dirais que oui, les logiciels de configuration existent pour win/mac/linux : https://www.yubico.com/support/download/yubikey-manager/
après les navigateurs je pense qu'ils supportent tous les clés de sécurité aussi.
https://www.yubico.com/products/yubico-authenticator/
https://support.yubico.com/hc/en-us/articles/360016615020-Operating-system-and-web-browser-support-for-FIDO2-and-U2F
(https://i.imgur.com/ER1g6Mh.png)
Un reproche tout de même, avec l'application Yubico Login for Windows : https://www.yubico.com/products/computer-login-tools/
il faut quand meme indiquer le user/pass. Cela confirme ce que disait @coco plus haut.
Dans ce cas ça n'apporte pas plus de simplicité, avec par exemple un pin a 4 chiffres + la clé. Du coup j'ai désinstallé cette appli car je n'ai pas besoin, chez moi, de renforcer la sécurité de mon PC.
-
je viens de voir que Binance supporte aussi les clés de sécurité, j'ai ajouté mes clés a l'application mobile.
Avant : connexion avec email/pass + reception d'un mail avec un code qu'il fallait rentrer dans l'appli
Maintenant : connexion avec email + lecture NFC de la clé.
Bien plus pratique ;)