Les clés de sécurité physiques, une solution efficace contre les attaques d'hameçonnage ?
Oui, d'après le retour d'expérience de Google

Le , par Bill Fassinou, Chroniqueur Actualités
Les cyberattaques sont un problème récurrent auquel toutes les entreprises technologiques sont, à un moment ou à un autre, confrontées. Google, une des plus grandes firmes IT au monde, n’a certainement pas été épargné par les pirates. Mais, la donne a changé - en ce qui concerne les attaques par hameçonnage - lorsqu’en 2017, l’entreprise de la Silicon Valley a remplacé les mots de passe de tous ses employés par des clés de sécurité physiques, rendant ipso facto les attaques d’hameçonnage beaucoup plus ardues. Rappelons que dans la même année, l’entreprise avait entrepris de renforcer la sécurité autour de ses services tels que Gmail ou Google Drive en y associant également des clés de sécurité physiques. C’est donc dans la droite ligne de ces mesures que Google a exigé de ses employés l’usage de ces clés de sécurité en lieu et place des mots de passe ou des codes uniques.


Les clés de sécurité sont des périphériques USB peu coûteux qui offrent une approche alternative à l'authentification à deux facteurs (2FA), qui obligeait l'utilisateur à se connecter à un site Web à l'aide d’un mot de passe et d’un appareil mobile. Elles fonctionnent sans avoir besoin de pilotes logiciels spéciaux. Et apparemment, elles semblent faire leurs preuves. « Nous n'avons eu aucune prise de contrôle de compte signalée ou confirmée depuis la mise en place des clés de sécurité chez Google », a déclaré un porte-parole de l’entreprise. « Les utilisateurs peuvent être invités à s'authentifier en utilisant leur clé de sécurité pour de nombreuses applications et pour diverses raisons. Tout dépend de la sensibilité de l'application et du risque de l'utilisateur à ce moment-là », a-t-il ajouté.

Le principe de l'authentification à deux facteurs est que même si les pirates parviennent à dérober votre mot de passe, ils ne puissent toujours pas se connecter à votre compte, sauf s'ils parviennent à pirater ou posséder le second facteur. Les formes les plus courantes d’authentification à deux facteurs exigent que l'utilisateur ajoute un mot de passe avec un code unique envoyé à son appareil mobile via un message texte ou une application. Et avant 2017, même les employés de Google devaient se servir de codes uniques générés par Google Authenticator. La clé de sécurité, par contre, exécute une forme d’authentification appelée Universal 2nd Factor qui permet à l’utilisateur d’achever le processus de connexion rien qu’en insérant le périphérique USB et en appuyant sur un bouton de l’appareil.

L'Universal 2nd Factor est une norme émergente d'authentification open source, et à ce titre seule une poignée de sites de haut niveau le supportent (Dropbox, Facebook, Github, les services de Google). La plupart des principaux gestionnaires de mots de passe, notamment Dashlane, Keepass et LastPass, le prennent également en charge. Il est actuellement supporté par Chrome, Mozilla Firefox et Opera.

L'utilisation de SMS et d'appels téléphoniques automatisés pour recevoir un code ponctuel serait moins sûre que de se fier à une application telle que Google Authenticator ou Authy. En effet, les pirates pourraient intercepter ce code ponctuel en incitant le fournisseur de services mobiles à échanger la carte SIM de l'appareil mobile ou à transférer le numéro de mobile vers un autre appareil. Cependant, si les seules options d’authentification à deux facteurs offertes par un site sont des SMS et/ou des appels téléphoniques, c'est toujours mieux que d'utiliser uniquement un mot de passe.

Source : Billet de blog

Et vous ?

Qu’en pensez-vous ?
Les clés de sécurité physiques sont-elles une solution efficace contre les attaques d’hameçonnage ? Pourquoi ?

Voir aussi

Californie : un lycéen change ses notes après une attaque par hameçonnage et fait désormais face à 14 chefs d'inculpation

Une campagne d'attaque sur Android combine l'hameçonnage d'identifiant à un Trojan bancaire pour des attaques plus sophistiquées

Les cybercriminels utilisent des jeux de caractères trompeurs dans des noms de domaines pour créer des sites d'hameçonnage difficiles à détecter

Google intègre une fonctionnalité anti-phishing dans son application Gmail pour Android à la suite des récentes attaques subies par ses utilisateurs

Google va remplacer la vérification en deux étapes par une paire de clés physiques pour renforcer la sécurité de ses services


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse Signaler un problème

Avatar de arond arond - Membre expérimenté https://www.developpez.com
le 24/07/2018 à 16:45
Je veux pas faire le rabat joie et tout mais :
Lier ses comptes par le même moyen d'authentification i.e le smartphone n'est ce pas un excellent moyen de lié plusieurs comptes et donc plusieurs sources d'informations à une même personne et donc faire un profil bien juteux à revendre aux publicitaire et autre ?
Avatar de bouye bouye - Rédacteur/Modérateur https://www.developpez.com
le 25/07/2018 à 1:20
L'utilisation de SMS et d'appels téléphoniques automatisés pour recevoir un code ponctuel serait moins sûre que de se fier à une application telle que Google Authenticator ou Authy. En effet, les pirates pourraient intercepter ce code ponctuel en incitant le fournisseur de services mobiles à échanger la carte SIM de l'appareil mobile ou à transférer le numéro de mobile vers un autre appareil.
Il me semble que voler une clé physique ça doit être encore plus facile que de détourner un SMS...
Avatar de benjani13 benjani13 - Membre émérite https://www.developpez.com
le 25/07/2018 à 2:17
Citation Envoyé par arond Voir le message
Je veux pas faire le rabat joie et tout mais :
Lier ses comptes par le même moyen d'authentification i.e le smartphone n'est ce pas un excellent moyen de lié plusieurs comptes et donc plusieurs sources d'informations à une même personne et donc faire un profil bien juteux à revendre aux publicitaire et autre ?
L'Universal 2nd Factor (U2F) empêche cela en générant une paire de clés public/privé par site. Aucune forme d'identifiant n'est non plus accessible par le service utilisé. Tout cela est expliqué dans la documentation d'U2F.

Citation Envoyé par bouye Voir le message
Il me semble que voler une clé physique ça doit être encore plus facile que de détourner un SMS...
On ne recommandera jamais assez de protéger la dite clé physique par un mot de passe. Là tu efface toute menace, dans le cas de vol/perte la clé n'est pas utilisable sans se mot de passe. Je rajoute que même dans le cas d'une compromission d'un PC sur lequel est branché la clé, il est impossible de l'utiliser (il faut appuyer sur un bouton physique sur la clé pour valider) ni même d'en extraire les informations. Les bi clés sont générés par la clé et ne transitent jamais par le PC, seul les clés publiques peuvent ensuite être sortie de la clé.

Les clés types Yubikey et autres cartes à puces permettent vraiment d'améliorer sa sécurité en s’affranchissant des mots de passes bien trop faillibles. Le point noire est que ces solutions sont beaucoup trop compliqués actuellement à mettre en place pour une personne lambda.
Avatar de arond arond - Membre expérimenté https://www.developpez.com
le 25/07/2018 à 9:05
Citation Envoyé par benjani13 Voir le message
L'Universal 2nd Factor (U2F) empêche cela en générant une paire de clés public/privé par site. Aucune forme d'identifiant n'est non plus accessible par le service utilisé. Tout cela est expliqué dans la documentation d'U2F.
Merci j'en apprend tout les jours
Avatar de Elros Elros - Membre éprouvé https://www.developpez.com
le 25/07/2018 à 10:58
Citation Envoyé par benjani13 Voir le message
L'Universal 2nd Factor (U2F) empêche cela en générant une paire de clés public/privé par site. Aucune forme d'identifiant n'est non plus accessible par le service utilisé. Tout cela est expliqué dans la documentation d'U2F.

On ne recommandera jamais assez de protéger la dite clé physique par un mot de passe. Là tu efface toute menace, dans le cas de vol/perte la clé n'est pas utilisable sans se mot de passe. Je rajoute que même dans le cas d'une compromission d'un PC sur lequel est branché la clé, il est impossible de l'utiliser (il faut appuyer sur un bouton physique sur la clé pour valider) ni même d'en extraire les informations. Les bi clés sont générés par la clé et ne transitent jamais par le PC, seul les clés publiques peuvent ensuite être sortie de la clé.

Les clés types Yubikey et autres cartes à puces permettent vraiment d'améliorer sa sécurité en s’affranchissant des mots de passes bien trop faillibles. Le point noire est que ces solutions sont beaucoup trop compliqués actuellement à mettre en place pour une personne lambda.
Je n'ai pas encore cherché mais, je suis certain que Developpez.com (et moi) aimerait un petit tutoriel pour faciliter le déploiement de ce genre d'outil

Elros
Avatar de benjani13 benjani13 - Membre émérite https://www.developpez.com
le 25/07/2018 à 12:10
J'avais suivi ce tutoriel, en anglais, pour configurer ma Yubikey et l'utiliser comme clé SSH et PGP : https://gist.github.com/ageis/14adc3...912b4c79c4aaa4

Ce tutoriel donne aussi de bons conseils sur la manière de la configurer de façon sécurisé et faire en sorte de pouvoir recharger une clé avec les mêmes infos si on la perd.
Avatar de Elros Elros - Membre éprouvé https://www.developpez.com
le 25/07/2018 à 12:21
Citation Envoyé par benjani13 Voir le message
J'avais suivi ce tutoriel, en anglais, pour configurer ma Yubikey et l'utiliser comme clé SSH et PGP : https://gist.github.com/ageis/14adc3...912b4c79c4aaa4

Ce tutoriel donne aussi de bons conseils sur la manière de la configurer de façon sécurisé et faire en sorte de pouvoir recharger une clé avec les mêmes infos si on la perd.
Merci
Avatar de Bill Fassinou Bill Fassinou - Chroniqueur Actualités https://www.developpez.com
le 25/07/2018 à 23:51
Google lance sa propre clé de sécurité physique
après avoir constaté que ces périphériques USB sont efficaces contre les attaques d'hameçonnage

Après avoir expérimenté les clés de sécurité en interne, Google a rapporté que celles-ci offrent une solution efficace contre les attaques d'hameçonnage. La suite de l'histoire, c'est que la firme américaine a décidé de lancer maintenant sa propre clé de sécurité, appelée Titan.


À la dernière conférence Google Cloud Next, la marque de clés de sécurité physiques propre à Google a été présentée. Les entreprises comme Yubico, une entreprise spécialisée en sécurité 2FA dont le chiffre d’affaires avait explosé ces deux dernières années du fait du succès des clés de sécurité, doivent donc se préparer à voir arriver une grosse concurrence. Titan, la clé de sécurité physique made by Google, comprend un firmware développé par l’entreprise elle-même et est déjà disponible. Éventuellement, sa commercialisation s’élargira aux clients généraux de l’entreprise. Comme les clés de sécurité qui circulent déjà sur le marché, Titan fournira un deuxième facteur d’authentification pour l’utilisation de logiciel, l’accès au réseau, la gestion de comptes et pour bien d’autres services encore.

Il ne suffit donc plus de saisir un simple mot de passe. L’accès aux services est conditionné à l’insertion de la clé de sécurité physique. « Nous préconisons depuis longtemps l’utilisation de clés de sécurité comme moyen d’authentification le plus puissant et le plus résistant aux attaques d'hameçonnage pour les utilisateurs de grande valeur, en particulier les administrateurs de Cloud, afin de les protéger contre les conséquences potentiellement préjudiciables du vol d’informations », a déclaré Jennifer Lin, une directrice de produit Google Cloud. Elle ajoute que Titan offrira aux utilisateurs la tranquillité d’esprit découlant de la certitude que leurs données sont en sécurité.

« Titan fournit une sécurité très renforcée avec très peu d’interaction et d’effort de la part de l’utilisateur. Sur le backend, tout ce que vous avez à faire sur la console d’administration est de cocher une case qui dit "utiliser les clés de sécurité Titan pour cette application". C’est si simple. Et même en cas d’attaque de type man-in-the-middle ou d’attaques similaires, l’authentification échouera et la connexion sera refusée », a souligné Rob Sadowski, Trust and Security Marketing Lead de Google Cloud.

L’efficacité de la mesure semble donc être à la hauteur de la menace que représente l'hameçonnage. Selon CyberScoop, environ 71 % des attaques ciblées commencent par des tentatives d'hameçonnage. Bien que d’autres formes plus courantes d’authentification à deux facteurs existent, les clés de sécurité semblent se placer en pole position parce que les autres, semble-t-il, pourraient toutes être piratées beaucoup plus facilement. Mais il faut garder en mémoire que même une authentification multifactorielle pas très sécurisée est toujours mieux qu’une authentification à un seul facteur.

Source : CyberScoop

Et vous ?

Qu’en pensez-vous ?
Google a-t-il raison de faire confiance à la clé de sécurité physique contre les attaques d'hameçonnage ?

Voir aussi

Les clés de sécurité physiques, une solution efficace contre les attaques d'hameçonnage ? Oui, d'après le retour d'expérience de Google

Californie : un lycéen change ses notes après une attaque par hameçonnage et fait désormais face à 14 chefs d'inculpation

Une campagne d'attaque sur Android combine l'hameçonnage d'identifiant à un Trojan bancaire pour des attaques plus sophistiquées

Les cybercriminels utilisent des jeux de caractères trompeurs dans des noms de domaines pour créer des sites d'hameçonnage difficiles à détecter

Google intègre une fonctionnalité anti-phishing dans son application Gmail pour Android à la suite des récentes attaques subies par ses utilisateurs
Avatar de Tagashy Tagashy - Membre averti https://www.developpez.com
le 27/07/2018 à 12:24
Et même en cas d’attaque de type man-in-the-middle ou d’attaques similaires, l’authentification échouera et la connexion sera refusée
eum eum eum ...

Faudrais pas prendre les gens pour des cons ... en cas de Man-In-The-Middle l'authentification seras un sucées pour l’attaquant mais il n'auras pas le mot de passe ah bas si en fait, il auras juste pas le token donc il ne pourra pas se reloguer par la suite par contre il est logué donc il peut potentiellement désactiver le 2FA enfin bref ...

Le seul moyen qu'ils aurais pour empêcher ça c'est de faire une validation de l'ordinateur sur laquelle la clé est branché, mais ça servirais a rien vue que en MITM bas la validation passerais a travers l'attaquant, j'ai besoin d'en rajouter ? à la rigueur un challenge à la WPA2 bloquerais le mitm jusqu'as un certain point mais il faudrait que toute la co passe via un channel cré via cette négociation de clé, ce qui n'est pas du tous prévue via HTTP(S).

ils faut ce rappeler qu'a la base un ordi c'est une machine a recopier des bits donc faut pas s'attendre a ce que la machine d'un attaquant ne puisse pas recopier les bits d'un 2FA.

par contre c'est niquel pour remplacer des mots de passe comme ils le disent vue que ça va bloquer les attaques par dico et la bruteforce sur ce genre de clé c'est inutile (trop longue chaîne de caractère)

bref je m’énerve lorsque je vois des absurdité pareille la clé est certainement le moyen le plus secure en 2FA mais non ça n’arrête pas du MITM seul un handshake style WPA2 ou du HSTS peuvent empêcher le MITM de fonctionner
Avatar de Steinvikel Steinvikel - Membre éclairé https://www.developpez.com
le 02/08/2018 à 8:49
" il faudrait que toute la co passe via un channel cré via cette négociation de clé, ce qui n'est pas du tous prévue via HTTP(S). "
" ça n’arrête pas du MITM seul un handshake style WPA2 ou du HSTS peuvent empêcher le MITM de fonctionner "

Je ne comprend pas, HSTS (HTTP Strict Transport Security) n'est pas une partie une partie de HTTPS ?
Comment HSTS le permettrait si HTTPS ne le permet pas ? ^^'
Contacter le responsable de la rubrique Accueil