Yubikey – I – Présentation

Voila quelque temps que je n’ai pas publié, et pourtant il y aurait matière !!!
Je profite d’un peu de temps libre pour combler un peu cette lacune et tenter de faire une série d’articles sur un petit objet que je trouve bien sympathique : la Yubikey.

Présentation

La Yubikey est un « token », un objet, dédié à la sécurité. Son objectif est d’identifier son propriétaire sur un ordinateur, un site internet, … les possibilités sont vastes.
Là ou il est différent de ce que l’on peut trouver d’équivalent sur le marché, c’est qu’il a les caractéristiques suivantes :

  • Peu cher
  • Pas de pile ou d’éléments actifs
  • Pas besoin d’installer un pilote sur l’ordinateur
  • Étanche
  • Solide
  • Le code est open-source
  • Re-paramétrable pour tout ce qui concerne l’authentification.
  • Conçue pour être mise sur un porte clef.

Bref cela est assez alléchant. Mais en plus elle est très simple à utiliser, sécurisée (c’est son but quand même) et plusieurs sociétés de taille plus que raisonnables l’utilisent pour identifier leurs employés. Sur la page de référence de la société qui fabrique la Yubikey, on peut y voir des noms tels que Facebook, Google, le CERN, …..
Plutôt rassurant.

Elle ressemble à une clef USB et s’insère donc dans le port adéquat de l’ordinateur lorsque l’on veut s’authentifier. Voici à quoi elle ressemble  :

Yubikey Neo Elle est moulée et très résistante, certifiée IP 67 (Résistance à l’eau et la poussière).
Le disque doré sert à générer un jeton d’authentification lorsque l’on pose le doigt dessus. (Mais on verra cela plus loin).

Au verso, un numéro de série imprimé numériquement et un code-barres 2D.

yubikey-bak

Principe de fonctionnement

Lorsqu’il est nécessaire de s’authentifier, sur un site Web par exemple, on insère sa Yubikey dans un port USB de l’ordinateur :yubikey-insert1 Puis, de poser son doigt sur la pastille dorée :

yubikey-insert2La Yubikey, alors alimentée par le port USB, va envoyer l’authentification. Nous allons en parler un peu plus bas, mais une petite précision préalable : La pastille dorée n’est pas un bouton ou un contact. Elle détecte la pose du doigt par différentiel électrique. Il n’y a donc aucun risque d’usure.

Test de solidité

Pour m’assurer que l’objet était bien conforme à ses promesses, je l’ai un peu stressé…. Bien sur il s’agit de tests correspondants à ce que l’on peut trouver dans la vie courante et non pas un test de destruction, sinon à mon avis avec une bonne paire de cisaille l’affaire est faite.

  • Je l’ai donc ‘oubliée’, une journée en plein soleil sur le tableau de bord de la voiture. Ça ne l’a pas affectée.
  • Je l’ai mise à la machine au lavage, puis au sèche-linge. Toujours opérationnelle.
  • Je suis allé nager dans le lagon avec. Elle marche toujours.

Finalement depuis plusieurs mois elle est attachée aux clefs de mon 2 roues et subit la pluie, le soleil, les chocs au sol quand je fais tomber mes clefs, …. A ce jour elle est toujours opérationnelle et je m’en sers quotidiennement pour m’authentifier sur mon poste de travail.

Donc, pour moi elle remplit totalement ses promesses.

Les différentes authentifications supportées

La Yubikey permet d’assurer une authentification par :

  • OTP (One Time Password ou mot de passe à usage unique)
  • OATH-HOTP (La RFC 4226)
  • Mot de passe statique
  • OTP Challenge/Réponse
  • RFID sur certains modèles – Pratique pour les téléphones et tablettes qui n’ont pas d’USB
  • U2F-FISO pour certains modèles

A l’aide d’un outil, la Yubilkey est programmable.

Les slots

Il est indiqué ci-dessus les différents modes que la Yubikey permet d’utiliser pour s’authentifier. On fait un choix d’un mode parmi tous. MAIS, cerise sur la gâteau, la Yubikey dispose de deux slots de configuration, c’est à dire qu’on peut programmer deux modes. L’accès à l’un ou l’autre mode dépend du temps pendant lequel on laisse son doigt sur la pastille dorée.

Par défaut, avec juste le doigt posé 1 seconde, c’est la configuration du slot1 qui est employée, par exemple en mode OTP. Si on laisse le doigt plus longtemps, au delà de 3 secondes, c’est le slot 2 qui sera utilisé, qui lui peut être par exemple configuré pour envoyer un mot de passe statique.

En fait une Yubikey permet d’avoir virtuellement deux tokens différents.

Les différents modèles

Il existe quatre modèles  de Yubikey. Les différences sont au niveau des fonctionnalités et se retrouvent sur la page du constructeur.

Pour mes besoins, la clef la plus simple qui est le modèle FIDO U2F Spécial à $18 n’a que peu d’intérêts car trop limité.
Le modèle que j’utilise au quotidien est la Yubikey Standard à $25. Elle remplit parfaitement mon besoin. J’ai aussi une version Néo, qui est la plus élaborée. Elle est vendue $50, soit le double de la Standard, mais a les fonctions suivantes en plus :

  • RFID (Pour les authentifications sans contacts)
  • Compatible U2F/FIDO (Dropbox, Google accounts, …..)
  • OpenPGP

Mais je n’ai pas encore eu le temps de réellement utiliser et explorer ces différents aspects.
Donc, dans les articles suivant j’utiliserai, sauf mention contraire, une clef standard.

Comment se la procurer ?

Pour la grande majorité de la planète, ça ne pose pas de soucis. On la trouve chez Amazon par exemple.

En Polynésie elle n’est pas distribuée. Je les achète chez Amazon US. Après, par un système de renvois de colis je me les fais livrer par DHL, dans ce cas je les ai en moins d’une semaine, ou par un envoi standard postal si je ne suis pas pressé et je les ai en 3/4 semaines.

Comme la Yubikey est très légère, sur de petites quantités une livraison DHL reste abordable.

Contactez moi éventuellement si vous êtes en Polynésie et que vous en voulez. Je pourrais peut-être vous en procurer.

Posts relatifs

Laisser un commentaire


NOTE - Vous pouvez utiliser les éléments et attributs HTML tags and attributes:
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre lang="" line="" escaped="" cssfile="">