Nous avons testé la Security Key pour protéger son Google

Posted On 29 Oct 2014

Tag: dropbox, facebook, fido, fido2, google, installation, key, Security, test

Mail, vidéo, argent, agenda, … la constellation des services proposés par le géant américain Google est devenue, pour des millions d’internautes, un troisième bras pour ces utilisateurs. Une vie numérique qu’il faut protéger. ZATAZ.COM a testé pour vous la clé USB FIDO U2F « Security Key » qui doit permettre de blinder votre petit chez vous 2.0.

Une clé USB FIDO U2F permet de transformer le support, connu habituellement pour la sauvegarde de fichier, en véritable clé d’ouverture de site Internet. La semaine dernière, Google en profitait d’ailleurs pour en faire la promotion en indiquant que, dorénavant, ses services pouvaient être protégés par ce type de hardware grand publique. Cette clé ne permet pas d’accéder intégralement à vos informations, elle seconde et sécurise le mot de passe que vous avez alloué à votre connexion à GMAIL, Youtube, … Sans la clé, point d’accès, sans votre mot de passe, la Security Key sera inutile.

Comment ça marche ?

Simple d’utilisation, il vous faut une clé USB compatible, dans notre cas, une Security Key made in France proposée par la société Plug-UP (mise à jour 2019 : l’entreprise n’existe plus et son adresse web dirige aujourd’hui sur un site dédié … aux divorces !). Le site Internet du constructeur est simple et efficace. Il suffit de suivre le mode d’emploi pour mettre en action votre clé. Durée : 30 secondes. Deux petits points noirs : le site est en anglais, donc pas vraiment fait pour attirer les utilisateurs lambda, alors qu’ils sont les premières victimes de piratages de comptes Google ; la clé ne semble pas très solide. Nous mettrons à jour cette page si le plastique ne tient pas la route.

Installation

D’abord, installer le navigateur Chrome, le butineur de Google, version 38 ou ultérieure. Attention, vous ne pourrez utiliser votre clé qu’avec Chrome. Une application est installée par Google, dans le navigateur, lors de la mise en place de cette sécurité. Cette obligation permet de valider et d’enregistrer les informations de votre Security Key dans l’espace « sécurité », option « Validation en deux étapes – Clés de sécurité » de Google. Ensuite, il vous suffit de vous rendre dans l’administration de votre compte Google et d’enregistrer la clé. Cela prend moins de 5 secondes. Vous pouvez enregistrer plusieurs clés.

A noter que si vous n’avez pas votre clé USB sous la main, il est toujours possible d’utiliser la double authentification proposées par votre téléphone portable comme expliqué ici pour Google, Facebook ou encore DropBox. Il vous faut, dans tous les cas, votre mot de passe initial afin d’accéder à GMail, Youtube et autres possibilités offertes par le géant de l’Internet. Les autres navigateurs pas encore pris en compte (sic!). Google devrait proposer son « option » pour Firefox, Internet Explorer, ou le navigateur d’Apple dans les semaines à venir… ou pas !

et sinon, Facebook, Twitter, DropBox ?

Vous avez très certainement du lire, ici et là, que Facebook proposait d’utiliser, lui aussi, cette forme de double authentification par clé USB Fido. Malheureusement, non, pas de possibilité d’utiliser cette security key usb. L’option n’existe pas encore pour Facebook, Twitter, Dropbox. Il existe, heureusement, d’autres solutions, comme montrer dans cet article. Il serait bon d’unifier les sécurités car à à force d’additionner les solutions de double authentification, l’utilisateur lambda va continuer à les ignorer. (Mise à jour : Windows 10 permet l’utilisation du FIDO2)

Bilan

Excellente idée que cette double authentification par clé USB. Le produit proposé par Plug-Up a le mérite d’être simple et surtout économiquement intéressant. Moins de 8€ pour une sécurité qui ne quittera plus votre poche, sans risque d’interception, nous ne pouvons que saluer. Maintenant, espérons que les autres espaces 2.0 suivront et utiliseront cette norme ouverte FIDO Universal 2nd Factor (U2F).

Facebook sniffe les mots de passe volés abandonnés sur le web

Facebook a lancé des bot, des robots du web. Mission, sniffer les mots de passe piratés et laissés en pâture sur Internet par des pirates. Mission annoncée, permettre aux utilisateurs piégés de changer rapidement leur précieux sésame malmené. L’idée, des logiciels surveillent le web, dont certains espaces comme pastebin à la recherche de logins et autres mots de passe sauvegardés par des pirates informatiques. Facebook explique comparer ces « fuites » aux comptes de ses clients. Si ces derniers ont le même mot de passe que celui découvert, Facebook les alerte. Cela tend à dire que le géant américain aurait donc possibilité de lire nos précieux sésames, non chiffrés, quelque part dans ses serveurs ? Les équipes de Mark Zuckerberg se défendent de posséder les identifiants de connexion en « clair ».

Au sujet de l'auteur

Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.

$NIS corriger une fuite de données Infraction de sécurité$

One Comment

Nicolas Frey 29/10/2014 at 20:37 Reply

>Cela tend à dire que le géant américain aurait donc possibilité
>de lire nos précieux sésames, non chiffrés, quelque part dans ses
>serveurs ? Les équipes de Mark Zuckerberg se défendent de
>posséder les identifiants de connexion en “clair”.

Pourquoi en « clair »? S’ils ont le mot de passe qui a été piraté, il suffit de le ré-encoder et de faire une vérif sur l’empreinte des mots de passe dans la bdd de facebook, non ?