Yubikey III – Faire un double de sa clef d’authentification Windows

Cet article fait suite à l’article sur la protection d’ouverture de sa session Windows par Yubikey.

L’objectif est de voir comment faire un double de sa Yubikey, soit parce que l’on est prudent et que l’on veut avoir un double par précaution (c’est bien sur le cas général ….. ), soit on la perdue, elle a été détruite, ou on souhaite qu’une autre personne puisse s’identifier sous la même session de Windows.

Le double que l’on va réaliser est pour une authentification HMAC-SHA1. Pas pour une authentification  OTP.

Il est totalement impossible (Quoique, avec des moyens un peu extrêmes,  des chercheurs ont pu reconstituer la clef AES d’un OTP sur une Yubikey. Je présenterai peut-être cela dans un article dédié. A priori Yubico a modifié son implémentation de l’algorithme AES dans les firmwares des Yubikey pour éviter que cela puisse être exploité) d’extraire d’une Yubikey, sa phrase secrète (heureusement !).
Ce qui veut dire que même si on possède une Yubikey physiquement, il n’est pas possible d’en faire un double si on ne dispose pas de la phrase secrète archivée sur papier ou dans un fichier.

Nous avons vu dans l’article sur la protection d’une session Windows par Yubikey, que lors de la programmation de la Yubikey, la phrase secrète pouvait être générée aléatoirement :

Yubikey-pt13A la fin de la programmation de la Yubikey, l’outil proposait de sauvegarder un fichier au format csv, que j’avais nommé sauvegarde-Yubikey-2652235 dans mon exemple :

Yubikey-pt17Pour pouvoir faire un double d’une Yubikey, il faut donc :

  • Soit le fichier csv qui est une sauvegarde de la phrase secrète
  • Soit la phrase secrète sur papier ou copie d’écran ou dans un fichier texte

Dans le second cas, la phrase secrète est directement visible. Dans le premier, il faut ouvrir le fichier csv, avec le Exel ou le bloc note, pour en extraire la phrase secrète.

On final on doit se retrouver avec une chaine de caractères, qui dans mon exemple est :

62fc5816dd7fc7bbbd32f12cd3d5d5af428e98

Programmation du double

On lance ensuite l’outil de personnalisation de la Yubikey, on connecte la Yubikey qui va devenir un double, puis on accède au menu Challenge-Response (Pour plus de détail voir l’article sur la protection d’une session Windows).

Yubikey-copiehmac1On sélectionne le slot 2, puis dans la zone ‘Secret Key’, on entre en copier/coller ou au clavier la phrase secrète qui doit être identique à la Yubikey originale.

On clique ensuite sur ‘Write Configuration’ pour programmer le double :

Yubikey-pt14L’outil propose de sauvegarder le fichier. Si vous disposez déjà celui généré lors de la programmation de la première clef, c’est inutile, car redondant.

 Test du double

Le plus simple est d’essayer d’ouvrir la session Windows avec la Yubikey. Si cela ne fonctionne pas, vérifier qu’il n’y a pas d’erreur de saisie de la phrase secrète, car c’est le seul motif pour lequel la clef ne fonctionnerait pas.

Posts relatifs

Laisser un commentaire


NOTE - Vous pouvez utiliser les éléments et attributs HTML tags and attributes:
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre lang="" line="" escaped="" cssfile="">