Tout ce que vous devez savoir sur les clés de sécurité matérielles

Du phishing aux fuites de bases de données, se protéger en ligne devient de plus en plus difficile de nos jours. Les clés de sécurité matérielles sont une solution viable qui ajoute une couche de protection supplémentaire à vos comptes en ligne. Cet article explique comment fonctionnent les clés de sécurité matérielles, leurs avantages et leurs inconvénients, ainsi que les problèmes courants pour vous aider à déterminer si elles constituent le bon appareil pour vous.

Qu'est-ce qu'une clé de sécurité matérielle ?

Une clé de sécurité matérielle est un petit dispositif hautement sécurisé qui agit comme un « facteur » supplémentaire dans une configuration d'authentification multifacteur (MFA). Semblable à un OTP traditionnel, une clé de sécurité matérielle garantit que les méchants ne peuvent pas accéder à vos comptes en ligne même s'ils disposent de vos informations de connexion.

Les clés de sécurité matérielles se présentent généralement sous la forme de cartes à puce compatibles NFC ou de clés USB que vous pouvez brancher sur votre PC. Certaines clés, comme la populaire Yubikey 5 NFC, offrent une combinaison d'USB et de NFC, vous permettant d'utiliser l'appareil à la fois sur des ordinateurs et des appareils mobiles.

Comment fonctionnent les clés de sécurité matérielles

Essentiellement, les clés de sécurité matérielles utilisent la cryptographie à clé publique pour authentifier vos informations de connexion. Lorsque vous configurez une clé pour la première fois avec un site Web ou une application compatible, elle génère une paire de clés cryptographiques spécifiques à ce service. La clé stocke la partie privée de cette paire de clés dans sa « puce de sécurité », tandis que le service prend la partie publique et la stocke sur ses serveurs.

Une fois connecté avec succès, votre site Web ou votre application vous invitera à brancher la clé sur votre appareil ou à détecter la clé via NFC. Le service enverra des données à votre clé, qui doit être signée avec la clé privée. Le service prend ensuite ces données et vérifie que les données ont été correctement signées par la clé privée à l’aide de sa clé publique.

Tous les services permettent-ils l’utilisation de clés de sécurité matérielles ?

Pour la plupart des principaux services en ligne, une clé de sécurité matérielle fonctionnera. Bien que la prise en charge ne soit pas explicitement garantie, vous pouvez vous attendre à ce que des plateformes populaires telles que Google, Amazon et X prennent en charge les clés de sécurité matérielles. Par exemple, vous pouvez ajouter la prise en charge de Yubikey dans X en accédant à la section Sécurité et accès au compte sur la page Paramètres du compte .

De plus, le soutien dépend souvent du cas par cas. Cela est dû au fait que la plateforme elle-même est responsable de l’ajout et de la prise en charge des clés de sécurité matérielles. Par conséquent, vous devez tenir compte des sites Web que vous visitez et déterminer s’ils prennent en charge cette méthode MFA avant de décider de faire un achat.

Comparaison des clés de sécurité matérielles avec d'autres méthodes MFA

Clés de sécurité matérielles vs MFA par SMS et e-mail

L’un des avantages de l’utilisation de clés de sécurité matérielles par rapport aux MFA traditionnelles par SMS et par e-mail est qu’il s’agit d’un moyen transparent de vérifier votre identité. Il ne repose pas sur le code OTP, ce qui signifie qu'aucune intervention de l'utilisateur n'est requise pour se connecter au compte. Cela empêche non seulement les attaques de phishing, mais accélère également le processus de connexion.

Cependant, cette approche transparente a également un prix assez élevé. La plupart des clés de sécurité matérielle coûtent aujourd’hui entre 30 et 80 dollars, les moins chères n’étant utilisables que pour des applications spécifiques. D'autre part, les SMS et les e-mails MFA exploitent les appareils que vous possédez déjà. Cela réduit efficacement le coût des SMS et des e-mails MFA à 0 $, ce qui en fait un moyen très abordable de protéger vos comptes.

Clés de sécurité matérielles vs. applications d'authentification

Tout comme les SMS et les e-mails MFA, les applications d'authentification souffrent également des mêmes problèmes fondamentaux par rapport aux clés de sécurité matérielles. Il s'appuie sur l'OTP, ce qui le rend vulnérable aux attaques de phishing.

Cependant, la plupart des applications d'authentification utilisent la norme RFC 6238 (TOTP), ce qui en fait l'une des méthodes MFA les plus accessibles disponibles aujourd'hui. Cela signifie qu'il y a de fortes chances que le site Web que vous visitez ait la possibilité d'activer TOTP. Il s’agit également d’un avantage par rapport aux clés de sécurité matérielles, car tous les sites Web ne peuvent pas prendre en charge leur norme FIDO2.

Clés de sécurité matérielles vs. biométrie

Bien que les serrures de sécurité matérielles et les serrures biométriques offrent des niveaux de sécurité et de commodité similaires, elles diffèrent sur certains points importants. Premièrement, les clés biométriques ne peuvent être utilisées que sur l’appareil sur lequel elles sont stockées. Par exemple, Touch ID ne peut autoriser les connexions que sur votre iPhone. Cela limite considérablement ce que les serrures biométriques peuvent faire, en particulier par rapport aux serrures de sécurité matérielles.

Les serrures biométriques sont également souvent plus pratiques et plus faciles à utiliser que les serrures de sécurité matérielles. Le verrouillage biométrique n’implique aucun dispositif externe et exploite ce que vous possédez déjà. Cette clé ne repose pas non plus sur l’OTP, ce qui la rend résistante aux attaques de phishing.

Que se passe-t-il lorsque vous perdez votre clé de sécurité matérielle ?

L’une des forces des verrous de sécurité matériels est également sa faiblesse. En tant qu'objet physique, vous pouvez perdre la clé. Cela peut être un problème si vous comptez sur votre clé de sécurité matérielle pour vous connecter à des choses importantes, comme les services bancaires en ligne.

Lorsque cela se produit, il est important de se rappeler que la plupart des serrures disposent d’une certaine protection contre les accès non autorisés. Par exemple, le Yubikey 5 nécessite que l'utilisateur définisse un code PIN et dispose d'un mécanisme d'auto-effacement après plusieurs saisies incorrectes du code PIN.

De plus, les clés de sécurité matérielles ne stockent pas d’informations sensibles telles que votre nom d’utilisateur et votre mot de passe. Ces clés stockent également les clés privées sur une puce sécurisée, ce qui les rend impossibles à extraire pour les méchants.