Disponible uniquement aux États-Unis jusqu’ici, la clé Titan de Google a fraîchement été lancée en France. Celle-ci promet de vous offrir une meilleure sécurité sur votre compte Google en offrant une authentification à deux facteurs plus robustes que les solutions logicielles classiques qui exploitent des applications tierces ou des codes envoyés par SMS.
Un kit Titan se compose de deux clés :
- la première est un dongle USB-A qui veut être votre solution principale à brancher sur votre appareil
- la seconde est une clé Bluetooth avec un bouton d’activation en son centre à utiliser « comme solution de secours »
En combinant les deux, vous pouvez protéger votre compte Google sur tous les « téléphones, Chromebooks et tablettes Google, et avec tous les appareils équipés de Google Chrome ». Notez que la clé USB peut se connecter avec votre smartphone grâce à l’adaptateur USB-C vers USB-A fourni avec le kit, mais aussi via le NFC. La clé Bluetooth quant à elle fonctionne aussi bien sur Android qu’iOS.
Pour vous protéger, le kit s’appuie sur un logiciel baptisé « Titan » conçu directement par Google et compatible avec le programme Protection avancée mis en place par la firme de Mountain View.
Prix et disponibilité
Le kit Google Titan est disponible en France sur le Google Store au prix de 55 euros avec livraison gratuite. Rappelons toutefois que, récemment, une faille de sécurité a obligé Google à rappeler des exemplaires.
Retrouvez un résumé du meilleur de l’actu tech tous les matins sur WhatsApp, c’est notre nouveau canal de discussion Frandroid que vous pouvez rejoindre dès maintenant !
apres tout les smartphones avec android 7 et superieur peuvent servir de clé de sécurité en lieu et place de ce bundle
<blockquote>Dommage de s'en priver si tu as déjà acheté le bundle</blockquote>En fait je n'ai pas <i>"acheté"</i> le bundle: j'avais déjà la clé Bluetooth/NFC (version Feitian, standalone) et, suite à <a href="https://www.theverge.com/2019/5/15/18625028/google-titan-security-keys-bluetooth-vulnerability-replacement-free">la faille récemment publiée sur certaines version de ce modèle</a>, j'ai validé la procédure de remplacement et on m'a expédié le bundle à la place. Ca ne me dérangerait pas de me passer de la récupération par SMS, par contre la liste de mot de passe à usage unique j'y tiens.
Complexe ? Ca te supprime juste la possibilité de recup par sms et liste de mots de passe, suffit juste de s'assurer de garder une clé en backup... Dommage de s'en priver si tu as déjà acheté le bundle...
<blockquote>Tu n'as pas activé l advanced protection program</blockquote>Je n'ai pas dis l'avoir fait, c'est entièrement optionnel. J'ai un peu lu la doc et cette option ça m'a paru un peu trop complexe pour mon usage (et beaucoup ne le feront pas non plus) Le niveau de sécurité obtenu sans ça me convient dans l'état.
Tu n'as pas activé l advanced protection program. Ces clé sont fait justement pour ca, éviter que quelqu'un se fasse passer pour toi en réinitialisant ta carte sim chez l'opérateur ou en spoofant le site google (déjà arrivé)
<blockquote>Non, il n'y a pas de liste de mot de passe a usage unique</blockquote>et pourtant: https://uploads.disquscdn.com/images/0c7e90e212b3df3d4e36756417b962e4b132dece704cdcd3de0a2ce62bb7b7d1.png
Il y avait le même Bundle feitian sur Amazon pour 35 eur (je l'avais acheté) mais apparemment plus dispo sur le site français.
Non, il n'y a pas de liste de mot de passe a usage unique ! Dès que tu perds une clé, il faut la remplacer pour en avoir toujours une en backup !
Attention, si tu butes le mec, il faut avoir pensé à lui demander son mot de passe avant !
<blockquote>Tu n'as pas activé l advanced protection program</blockquote>Je n'ai pas dis l'avoir fait, c'est entièrement optionnel. J'ai un peu lu la doc et cette option ça m'a paru un peu trop complexe pour mon usage (et beaucoup ne le feront pas non plus) Le niveau de sécurité obtenu sans ça me convient dans l'état.
<blockquote>Non, il n'y a pas de liste de mot de passe a usage unique</blockquote>et poutant: https://uploads.disquscdn.com/images/0c7e90e212b3df3d4e36756417b962e4b132dece704cdcd3de0a2ce62bb7b7d1.png
Déjà, comme il y a deux clés dans le kit, il est conseillé d'associer les deux avec son compte Google En cas de perte ou vol de l'une d'elle suffit de dissocier la clé perdue dans dans la rubrique <a href="https://myaccount.google.com/signinoptions/two-step-verification">"Validation en deux étapes"</a> de son compte Google. Dans tous les cas il est conseillé de garder en lieu une liste de mot de passe à usage unique qu'on peut générer dans cette même rubrique.
C'est un bundle, avec deux clés (mais je reconnais que ça reste cher)
Ben plus de Google !
Déjà, comme il y a deux clés dans le kit, il est conseillé d'associer les deux avec son compte Google En cas de perte ou vol de l'une d'elle suffit de dissocier la clé perdue dans dans la rubrique <a href="https://myaccount.google.com/signinoptions/two-step-verification">"Validation en deux étapes"</a> de son compte Google. Dans tous les cas il est conseillé de garder en lieu une liste de mot de passe à usage unique qu'on peut générer dans cette même rubrique.
55 euros, diantre. De mémoire la yubikey était bien moins chère...
et si on perd la clef ?
Oui je l'utilise à la fois pour le PGP, pour le FIDO2 et pour stocker les codes OTP des sites qui ne font pas le FIDO2 pour le 2FA. A part pour le PGP où faut connaitre un peu pour générer et stocker correctement ses clés, le reste est plutot simple.
et tu l'utilises aussi en 2FA ? c'est facile à utiliser au quotidien ?
et si on perd la clef ?
j'ai bien envie de jouer avec une Yubikey moi. La Yubikey 5 NFC, c'est le bon modèle pour se faire suivre ? Elle fait PC + smartphone Android ?
Tu n'en a pas besoin à chaque fois que tu veux consulter tes mails sur ton téléphone hein :) C'est quand tu te connectes pour la première fois sur un nouvel appareil (que ce soit PC ou smartphone, puis tous les 30 jours sur PC mais pas le téléphone).
Oui, pour le coup je trouve que ma Yubikey est plus complète (mais bon on est pas nombreux à utiliser du PGP ^^).
C'est comme de la double authentification, sauf qu'au lieu d'avoir un code à 6 chiffres dans l'Authenticator ou par SMS, tu branches la clé à l'appareil au moment de t'identifier :) J'ai une Yubikey, l'avantage c'est que si mon téléphone est en panne de batterie (ou volé/cassé et donc que je n'ai plus ni l'authenticator ni les SMS), j'ai toujours la clé pour me connecter à mon compte sur mon PC.
Tu ne peux pas, la clé seule ne te sert à rien si tu ne connais pas l'email et le mot de passe du compte associé.
Ce n'est pas tout à fait exact, la clé de sécurité s'utilise à la place du code second facteur à 6 chiffres (via Authenticator ou SMS), elle ne vient pas en plus du mot de passe et du code ^^ Pour se connecter il faut donc saisir son mail, son mot de passe, puis utiliser la clé FIDO2 (que ce soit une Titan ou une Yubikey ou autre).
C'est pas un produit fait pour toi ou moi (à moins que tu ne flippes h24 qu'on se connecte à ton gmail). C'est une sécurité plus haute que la double authentification, ça rajoute un 3ème facteur parce que le 2ème facteur est "contournable" via du spoofing, un vol de téléphone ou autre. Et si, ça ajoute un max en sécurité, pour te connecter à un compte gmail protégé avec ça, il te faut : - le nom de compte - le mot de passe - le premier authentificateur - cette clé. Autant dire que la probabilité que tu arrives à voler tout ça en même temps est relativement faible (ou alors tu butes le mec, ça fonctionne aussi).
"ça n'ajoute rien en sécurité" Tu dis ça en ta qualité d'expert en cybersécurité je suppose ?
dommage, s'ils avaient rajouté la gestion de clés GPG, ça aurai pu faire un concurrent à Yubiko...
<blockquote>ça n'ajoute en rien en sécurité, quand on sais avec quel facilité un objet comme ça est perdu ou volé...</blockquote>C'est sur que si on colle une étiquette avec son compte gmail et son mot de passe sur la clé... Mais sinon, je n'imagine pas de scénario où trouver une clé de ce type égarée suffise à permettre de se connecter au compte de son propriétaire.
Je vois beaucoup de méconnaissance dans les commentaires. Ces clés utilise le protocole u2f fido : contrairement au sms ou code unique, le protocole verifie que le code est bien envoyé au site d origine, evitant le spoofing. Ce programme est fait a l'origine pour les personnalité et activistes qui sont soumis a beaucoup de tentative de piratage. Une fois le advanced 0ritection programme, toutes autre moyen de récupérations sont bloquées, il faut obligatoirelent le mdp et une des clés pour acceder au compte. Si perte des 2 clés, il faudra plusieurs jours avec le support google pour récupérer le comote apres moulte verficiatuons
C'est la Yubikey 5 NFC que j'ai en effet, le PGP est possible dessus en USB (via adaptateur non fourni) et en NFC. Sur smartphone j'utilise "OpenKeychain" pour lire les clés PGP de ma Yubikey et K-9 Mail pour signer/chiffrer mes mails.
les gens ont du mal avec le mot "two" dans "two factor authentication"
D'ailleurs ce ne sont pas les seuls, les banques en Europe (et donc les commerçants en ligne) doivent ajouter une sécurité supplémentaire pour éviter toute fraude, via une authentification forte : "L'authentification forte, telle que définie par la DSP21, signifie que les accès aux comptes et les transactions seront vérifiés à l'aide d'au moins 2 des éléments suivants : -un mot de passe ou un code que seul l'utilisateur connaît -un appareil (téléphone mobile, carte à puce, etc.) que seul l'utilisateur possède -une caractéristique personnelle du client (empreinte digitale, reconnaissance vocale ou faciale)" Source : https://www.creditmutuel.fr/fr/particuliers/actualites/dsp2-reglementation-europeenne-authentification-forte.html
<blockquote>ça n'ajoute en rien en sécurité, quand on sais avec quel facilité un objet comme ça est perdu ou volé...</blockquote>C'est sur que si on colle une étiquette avec son compte gmail et son mot de passe sur la clé... Mais sinon, je n'imagine pas de scénario où trouver une clé de ce type égarée suffise à permettre de se connecter au compte de son propriétaire.
C'est clairement pas fait pour n'importe qui, car la double authentification classique est suffisante pour la plupart des gens. Mais pour les entreprises et les personnalités qui peuvent être ciblées ça peut être bien pratique.
Non mais serieusement... qui va vouloir se balader avec ça pour consulter ses mails sur telephone -_- Et ça n'ajoute en rien en sécurité, quand on sais avec quel facilité un objet comme ça est perdu ou volé...
Ce contenu est bloqué car vous n'avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par Disqus.
Pour pouvoir le visualiser, vous devez accepter l'usage étant opéré par Disqus avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l'amélioration des produits d'Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l'audience de ce site (en savoir plus)
En cliquant sur « J’accepte tout », vous consentez aux finalités susmentionnées pour l’ensemble des cookies et autres traceurs déposés par Humanoid et ses partenaires.
Vous gardez la possibilité de retirer votre consentement à tout moment. Pour plus d’informations, nous vous invitons à prendre connaissance de notre Politique cookies.
Gérer mes choix