Nous avons testé la Security Key pour protéger son Google

Mail, vidéo, argent, agenda, … la constellation des services proposés par le géant américain Google est devenue, pour des millions d’internautes, un troisième bras pour ces utilisateurs. Une vie numérique qu’il faut protéger. ZATAZ.COM a testé pour vous la clé USB FIDO U2F « Security Key » qui doit permettre de blinder votre petit chez vous 2.0.

Une clé USB FIDO U2F permet de transformer le support, connu habituellement pour la sauvegarde de fichier, en véritable clé d’ouverture de site Internet. La semaine dernière, Google en profitait d’ailleurs pour en faire la promotion en indiquant que, dorénavant, ses services pouvaient être protégés par ce type de hardware grand publique. Cette clé ne permet pas d’accéder intégralement à vos informations, elle seconde et sécurise le mot de passe que vous avez alloué à votre connexion à GMAIL, Youtube, … Sans la clé, point d’accès, sans votre mot de passe, la Security Key sera inutile.

security Key google

Comment ça marche ?

Simple d’utilisation, il vous faut une clé USB compatible, dans notre cas, une Security Key made in France proposée par la société Plug-UP (mise à jour 2019 : l’entreprise n’existe plus et son adresse web dirige aujourd’hui sur un site dédié … aux divorces !). Le site Internet du constructeur est simple et efficace. Il suffit de suivre le mode d’emploi pour mettre en action votre clé. Durée : 30 secondes. Deux petits points noirs : le site est en anglais, donc pas vraiment fait pour attirer les utilisateurs lambda, alors qu’ils sont les premières victimes de piratages de comptes Google ; la clé ne semble pas très solide. Nous mettrons à jour cette page si le plastique ne tient pas la route.

key security

Installation

D’abord, installer le navigateur Chrome, le butineur de Google, version 38 ou ultérieure. Attention, vous ne pourrez utiliser votre clé qu’avec Chrome. Une application est installée par Google, dans le navigateur, lors de la mise en place de cette sécurité. Cette obligation permet de valider et d’enregistrer les informations de votre Security Key dans l’espace « sécurité », option « Validation en deux étapes – Clés de sécurité » de Google. Ensuite, il vous suffit de vous rendre dans l’administration de votre compte Google et  d’enregistrer la clé. Cela prend moins de 5 secondes. Vous pouvez enregistrer plusieurs clés.

A noter que si vous n’avez pas votre clé USB sous la main, il est toujours possible d’utiliser la double authentification proposées par votre téléphone portable comme expliqué ici pour Google, Facebook ou encore DropBox. Il vous faut, dans tous les cas, votre mot de passe initial afin d’accéder à GMail, Youtube et autres possibilités offertes par le géant de l’Internet. Les autres navigateurs pas encore pris en compte (sic!). Google devrait proposer son « option » pour Firefox, Internet Explorer, ou le navigateur d’Apple dans les semaines à venir… ou pas !

Google double authentification

et sinon, Facebook, Twitter, DropBox  ?

Vous avez très certainement du lire, ici et là, que Facebook proposait d’utiliser, lui aussi, cette forme de double authentification par clé USB Fido. Malheureusement, non, pas de possibilité d’utiliser cette security key usb. L’option n’existe pas encore pour Facebook, Twitter, Dropbox. Il existe, heureusement, d’autres solutions, comme montrer dans cet article. Il serait bon d’unifier les sécurités car à à force d’additionner les solutions de double authentification, l’utilisateur lambda va continuer à les ignorer. (Mise à jour :  Windows 10 permet l’utilisation du FIDO2)

Bilan

Excellente idée que cette double authentification par clé USB. Le produit proposé par Plug-Up a le mérite d’être simple et surtout économiquement intéressant. Moins de 8€ pour une sécurité qui ne quittera plus votre poche, sans risque d’interception, nous ne pouvons que saluer. Maintenant, espérons que les autres espaces 2.0 suivront et utiliseront cette norme ouverte FIDO Universal 2nd Factor (U2F).

Google key usb

Facebook sniffe les mots de passe volés abandonnés sur le web

Facebook a lancé des bot, des robots du web. Mission, sniffer les mots de passe piratés et laissés en pâture sur Internet par des pirates. Mission annoncée, permettre aux utilisateurs piégés de changer rapidement leur précieux sésame malmené. L’idée, des logiciels surveillent le web, dont certains espaces comme pastebin à la recherche de logins et autres mots de passe sauvegardés par des pirates informatiques. Facebook explique comparer ces « fuites » aux comptes de ses clients. Si ces derniers ont le même mot de passe que celui découvert, Facebook les alerte. Cela tend à dire que le géant américain aurait donc possibilité de lire nos précieux sésames, non chiffrés, quelque part dans ses serveurs ? Les équipes de Mark Zuckerberg se défendent de posséder les identifiants de connexion en « clair ».

Au sujet de l'auteur
Damien Bancal - Fondateur de ZATAZ.COM / DataSecurityBreach.fr Travaille sur les sujets High-tech/Cybercriminalité/Cybersécurité depuis 1989. Gendarme réserviste - Lieutenant-Colonel (RC) ComCyberGend. Fondateur du Service Veille ZATAZ : https://www.veillezataz.com En savoir plus : https://www.damienbancal.fr

Articles connexes

  1. Nicolas Frey Reply

    >Cela tend à dire que le géant américain aurait donc possibilité
    >de lire nos précieux sésames, non chiffrés, quelque part dans ses
    >serveurs ? Les équipes de Mark Zuckerberg se défendent de
    >posséder les identifiants de connexion en “clair”.

    Pourquoi en « clair »? S’ils ont le mot de passe qui a été piraté, il suffit de le ré-encoder et de faire une vérif sur l’empreinte des mots de passe dans la bdd de facebook, non ?

Laisser un commentaire

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.