Une clé de sécurité physique, comme une YubiKey, est un excellent moyen de renforcer votre authentification à deux facteurs et de protéger vos comptes et données en ligne contre les attaquants. Voici ce que vous devez savoir sur leur utilisation sur iOS et macOS.

Bien que toutes les formes d’authentification à deux facteurs soient meilleures que de s’appuyer uniquement sur un mot de passe, une clé physique présente un certain nombre d’avantages par rapport aux méthodes plus populaires telles que les codes d’accès à usage unique (OTP). Si vous ne savez pas par où commencer, voici quelques notions de base.

Qu’est-ce qu’une clé de sécurité physique?

La sécurité des comptes avec l’authentification à deux facteurs se résume en grande partie à deux choses: quelque chose que vous connaissez comme un mot de passe et quelque chose que vous avez comme l’accès à un téléphone pour les codes OTP.

L’authentification à deux facteurs (2FA) ajoute ce deuxième élément – quelque chose que vous avez – comme étape requise pendant le processus de connexion. Mais la plupart des systèmes 2FA de base reposent sur des codes d’accès envoyés via SMS, une méthode vulnérable aux attaquants qualifiés et aux techniques telles que le SIM-jacking.

Les clés de sécurité peuvent aider à éliminer certaines des vulnérabilités inhérentes. Il s’agit essentiellement d’un petit appareil de la taille et de la forme d’une clé USB. Une fois qu’ils sont configurés, il vous suffit de les brancher sur votre appareil et de les utiliser comme deuxième facteur d’authentification.

En exigeant un accès physique à votre clé, cela réduit considérablement les chances que quelqu’un puisse s’introduire dans vos comptes même si vos mots de passe ont été compromis.

Il existe de nombreuses clés de sécurité disponibles sur le marché aujourd’hui, mais il est préférable de s’en tenir à celles qui adhèrent au FIDO Universal 2nd Factor ou U2F. Certains fabricants populaires incluent Yubico, HyperFido et Thetis.

Comparaison des clés de sécurité avec les autres méthodes 2FA

Les clés de sécurité sont généralement beaucoup plus sécurisées que les autres méthodes 2FA.

Les clés de sécurité ne sont pas la seule option pour l’authentification 2FA ou multifactorielle. Et par rapport à d’autres options, ils ont leur propre ensemble d’inconvénients.

D’une part, les clés de sécurité ne sont actuellement pas compatibles avec les services Apple ID ou iCloud. Apple s’appuie sur son propre système 2FA, envoyant des codes d’accès uniques à vos appareils Apple de confiance.

Le 2FA d’Apple est plus sécurisé qu’un code d’accès SMS. Mais vous ne pouvez pas utiliser Apple 2FA pour sécuriser vos comptes Gmail ou Facebook. C’est là qu’intervient un système tiers.

Il existe d’autres options au-delà des clés de sécurité physiques, telles que les applications d’authentification qui génèrent de manière aléatoire des codes d’accès uniques après des intervalles spécifiques. Ces codes d’authentification ne quittent jamais votre appareil, ils sont donc beaucoup plus sûrs que les codes d’accès SMS.

Comme tous les codes d’accès à usage unique, les applications d’authentification sont toujours vulnérables à certains types d’attaques de phishing. Et si quelqu’un a obtenu un accès physique à votre iPhone ou à tout autre appareil doté de votre application d’authentification, il peut également accéder à vos comptes.

Une clé de sécurité élimine la vulnérabilité de phishing car vous n’êtes jamais obligé de copier, coller ou taper quoi que ce soit. L’accès physique à la clé peut être un problème, mais quelqu’un aurait toujours besoin de votre mot de passe et vous pouvez toujours supprimer la clé de votre compte à tout moment.

Services compatibles sur iOS et macOS

À peu près n’importe quel compte ou plate-forme en ligne qui propose un code 2FA sans mot de passe prend en charge les clés de sécurité, bien que votre propre kilométrage puisse varier. Cela inclut les sites de médias sociaux et les services en ligne comme Google, Facebook, Twitter et Dropbox.

Vous pouvez également les utiliser pour verrouiller vos coffres de gestionnaire de mots de passe, bien que la plupart des gestionnaires de mots de passe nécessitent un abonnement premium payant pour déverrouiller cette fonctionnalité.

Sur macOS, vous pouvez utiliser une clé de sécurité sur la plupart des navigateurs Web. Certaines touches, comme celles faites par Yubico, vous permettent également de verrouiller réellement votre appareil Mac.

La compatibilité sur iOS est un peu plus pointilleuse. La plupart des applications tierces qui autorisent les clés de sécurité les prendront en charge sur leurs applications iOS. Depuis iOS et iPadOS 13.3, Apple prend également en charge nativement les clés de sécurité lors de la connexion aux services en ligne dans Safari.

Certaines clés de sécurité offrent également une authentification sans fil à courte portée via NFC, y compris des modèles Yubico populaires comme la YubiKey 5. Si votre smartphone ou tablette ne prend pas en charge NFC, recherchez une clé dotée d’un connecteur compatible.

Configuration d’une clé de sécurité

Le processus de configuration exact pour être opérationnel variera selon le modèle mais est à peu près le même dans tous les cas: il existe un processus d’identification ou de liaison, et c’est à peu près tout. Bien que Google possède sa propre clé de sécurité physique, tout comme les autres fournisseurs, pour les besoins de cet article, nous nous en tiendrons au fabricant de clés de sécurité le plus populaire, Yubico.

Yubico a une page Web dédiée avec des instructions de configuration pour tous ses services compatibles. En haut de cette page, vous verrez des instructions pour les plates-formes les plus populaires, mais vous pouvez faire défiler vers le bas jusqu’à ce que vous voyiez la plate-forme que vous souhaitez sécuriser. Mais, comme mentionné précédemment, un identifiant Apple ne fait pas encore partie de ces services pris en charge.

Vous pouvez suivre les liens de cette page Web ou accéder directement au site Web de votre service. Une fois que vous le faites, il s’agit généralement de trouver la page des paramètres de sécurité du service et d’ajouter une clé de sécurité en tant qu’option 2FA.

Notez que vous voudrez vous assurer d’avoir une méthode de sauvegarde 2FA au cas où vous perdriez jamais votre clé de sécurité. Cela pourrait être une clé de sécurité secondaire ou une application d’authentification. Assurez-vous simplement d’ajouter une méthode de sauvegarde lors de l’installation.

Utilisation d’une clé de sécurité

La plupart des services vous guideront à travers les étapes d’utilisation d’une clé de sécurité.

Après avoir ajouté votre clé de sécurité comme deuxième facteur, vous voudrez probablement l’emporter partout avec vous. En fonction de vos paramètres de sécurité, vous ne pourrez pas vous connecter à vos comptes sans lui.

Comme 2FA basé sur SMS, vous n’aurez pas besoin d’utiliser une clé de sécurité lors de la connexion à des appareils de confiance. De même, l’authentification des appareils déjà connectés à vos comptes ne sera pas nécessaire.

Lorsque vient le temps de vous connecter à un compte protégé par 2FA, vous branchez généralement votre clé de sécurité sur un port USB de votre ordinateur ou un port Lightning sur votre iPhone ou iPad. Comme mentionné précédemment, certaines clés prennent en charge l’authentification sans fil via NFC. Si votre clé le fait, tenez-la simplement près de votre iPhone ou appareil compatible NFC.

Certains modèles, comme ceux de Yubico, vous obligeront à prendre physiquement contact avec la clé elle-même. Habituellement, ce sera un certain type de point de contact ou de bouton – reportez-vous aux instructions de votre modèle spécifique. Une fois que vous le faites, vous devez être connecté normalement.

Seul le début des clés de sécurité sur macOS et iOS

Les clés de sécurité ne sont pas incroyablement populaires à ce stade. Pour cette raison, de nombreux services et types de comptes ne sont pas compatibles avec eux. Même si elles le sont, la compatibilité n’est pas toujours bien implémentée.

Malgré cela, les clés de sécurité sont toujours une excellente option pour sécuriser les comptes, en particulier pour les utilisateurs à haut risque ou soucieux de la sécurité. Et à mesure qu’ils deviennent plus populaires, il est probable que des services comme Apple les adopteront plus largement dans tous les domaines.

La prévalence croissante des violations de données, des attaques de phishing et d’autres risques de sécurité rendra les systèmes 2FA tels que les clés de sécurité et les applications d’authentification beaucoup plus nécessaires à l’avenir.

Mais que vous commenciez à utiliser des clés de sécurité plus tôt, plus tard ou jamais, l’important est d’être conscient de toutes les limites de votre sécurité. L’utilisation de tout type de 2FA est un pas dans la bonne direction.