Annoncée il y a un an pour les États-Unis, la clé Titan de Google a débarqué en France au début du mois d’août. Elle permet d’ajouter une couche de protection supplémentaire lors de l’accès à ses comptes numériques… tout comme le fait Google Authenticator, une application que la firme de Mountain View avait lancé dès 2010.
Mais pourquoi diable Google propose-t-il deux produits qui servent peu ou prou à la même chose ? La clé Titan et le Google Authenticator remplissent tous deux le même type de processus : l’authentification à facteurs multiples (« MFA » pour multi-factor authentication, ou « 2FA » quand il n’y a que deux facteurs).
La MFA consiste à demander à l’utilisateur plusieurs informations permettant de l’identifier, au lieu d’un simple mot de passe. C’est par exemple le cas quand notre banque nous envoie un SMS pour confirmer un paiement. Si la MFA est toujours meilleure que rien du tout, elle est loin d’être parfaite selon les solutions utilisées. Dans le cas du SMS, elle ne protège pas de l’hameçonnage par sites frauduleux, et des hackeurs peuvent intercepter le SMS ou usurper la carte SIM.
Authenticator et Titan sont des formes plus sophistiquées de MFA, mais chacune a ses avantages et ses inconvénients.
Pourquoi utiliser Google Authenticator (ou une autre application de TOTP)
Google Authenticator repose sur un algorithme bien éprouvé des procédures de MFA : le Time-based One-Time Password (TOTP), un standard central du consortium OATH de promotion de méthodes d’authentification communes. Vous avez tous déjà eu affaire à du TOTP, qui vous envoie sur un appareil tiers un code à durée de validité limitée, que vous rentrez ensuite dans le site où vous voulez vous identifier.
Comme pour tout bon TOTP, vous n’avez besoin que de votre smartphone pour utiliser Authenticator ou une application concurrente comme Authy. Nul besoin de dépenser de l’argent, c’est gratuit pour les deux. Du chiffrement de bout en bout assure une bien meilleure résistance aux attaques que ne le permet le SMS. Cependant, on conserve certains défauts inhérents au TOTP. En particulier, cela ne protège pas contre l’hameçonnage. Si l’utilisateur tente de s’authentifier sur un site frauduleux, les pirates n’ont qu’à rapidement retaper ses identifiants (code TOTP compris) dans le vrai site.
L’autre problème d’Authenticator est que les identifiants sont stockés sur un seul et unique appareil : le smartphone de l’utilisateur. Si on perd son téléphone, on perd définitivement ses identifiants. Des incidents similaires peuvent également se produire au moment de passer à un appareil plus récent, si l’on ne fait pas attention. Il faut alors enclencher la procédure de récupération de son compte Google.
D’autres applications de TOTP, comme Authy, permettent d’éviter ce problème en conservant ses identifiants dans le cloud, où ils peuvent être accédés depuis plusieurs appareils. Mais on devient alors plus susceptible aux pirates, qui peuvent prendre le contrôle de l’application s’ils parviennent à usurper le numéro de téléphone de la victime (c’est le même genre de vulnérabilité que pour une MFA par SMS).
Pourquoi utiliser une clé Titan (ou une autre clé U2F)
L’arrivée du standard Universal 2nd Factor (U2F) en 2014 a été acclamée par la communauté de la cybersécurité. Celui-ci permet d’utiliser comme deuxième facteur d’identification une clé physique, branchée par USB ou communicant par NFC. L’U2F est entre les mains de la FIDO Alliance et a été développée conjointement par Google et par la start-up Yubico, aujourd’hui connue pour ses YubiKey d’identification.
Google avait depuis quelques années son propre programme Protection avancée, offrant la compatibilité U2F pour ses services, mais ce n’est que maintenant qu’il propose sa propre version de la YubiKey sous la forme de la clé Titan.
Le kit de la clé Titan coûte 55 euros en France. Pour ce prix-là, la résistance au phishing est garantie, car le (vrai !) site doit pouvoir vérifier que la clé est physiquement présente. C’était d’ailleurs l’argument de vente de Google lors du lancement de son produit l’année dernière. L’utilisation est probablement plus simple que celle d’Authenticator, vu qu’il suffit de connecter la clé à son appareil et d’appuyer sur un bouton. Il n’y a pas à recopier un code à l’écran durant un temps imparti.
Le kit contient deux clés, une principale et une de secours. Ce n’est pas encore trop grave d’en perdre une, mais si on égare les deux, il faut passer par la case de la récupération de compte. Globalement, avec une clé Titan, vous ne risquez de perdre les accès à vos comptes que si vous êtes très tête-en-l’air ; alors qu’avec une application de TOTP, cela vous arrivera surtout si l’on vous vole votre téléphone.
Les clés U2F sont généralement plus sûres et efficaces que les applications de TOTP, même si elles ne sont pas non plus à l’abri de failles de sécurité. En mai dernier, Google avait dû rappeler certaines de ses clés Titan à cause d’une vulnérabilité dans la fonction Bluetooth.
Pour aller plus loin
SMS, code, clé physique : la double authentification est-elle vraiment infaillible ?
Envie de retrouver les meilleurs articles de Frandroid sur Google News ? Vous pouvez suivre Frandroid sur Google News en un clic.
Bon alors tout d'abord, je suis un simple utilisateur, je fais par contre très attention à la sécurité des "outils" que j'utilise, et donc je lis beaucoup surtout tout ce qui est notice d'aide et forum officiel pour comprendre au mieux les tenant et aboutissant des manipulations ou configurations que je peux faire. Je ne suis un informaticien réseau ou autre, du coup ce que je vais dire peut être complètement faux... mais en attendant c'est ce que j'ai compris et que je fais. Le problème soulevé est celui-là : <blockquote>L’autre problème d’Authenticator est que les identifiants sont stockés sur un seul et unique appareil : le smartphone de l’utilisateur. Si on perd son téléphone, on perd définitivement ses identifiants. Des incidents similaires peuvent également se produire au moment de passer à un appareil plus récent, si l’on ne fait pas attention. Il faut alors enclencher la procédure de récupération de son compte Google.</blockquote> Tout d'abord, il faut considérer son compte "Google" <b>dans mon cas</b>, comme le compte "maître" et doit donc être parfaitement sécurisé (mot de passe long avec divers caractères mélangés) voir ces deux sites pour bien choisir son mdp : https://www.cnil.fr/fr/les-conseils-de-la-cnil-pour-un-bon-mot-de-passe et https://www.ssi.gouv.fr/guide/mot-de-passe/. Un bon gestionnaire de mot de passe est aussi parfait. Voir Keepass qui est certifié par l'ANSI https://www.ssi.gouv.fr/entreprise/certification_cspn/keepass-version-2-10-portable/ Il doit aussi être activé la double authentification. Et avoir prévu tous les types de récupération de compte possible (codes à imprimer et à garder en lieu sur, numéros de téléphone, adresse email d'un autre compte qui doit lui aussi être parfaitement sécurisé) et ce afin de pouvoir récupérer son compte Google "qui est un compte maître" je le rappelle avec facilité. A noter que la double authentification Google, peut si on a un tel Android, être validée par une notification "push" sur le tel sans avoir à utiliser l'application authentificator. En outre, si perte du téléphone, vous pouvez également avoir sur votre pc fixe ou portable l'application Authy (<b>même en dur sans synchro cloud</b>) qui, si vous l'avez paramétrée, aura l'accès au code d'identification de votre compte Google. Il est donc faux dans ce cas de dire que "Si on perd son téléphone, on perd définitivement ses identifiants". (en plus ce n'est pas identifiants, mais accès aux codes d'identifications, l'identifiant, c'est en général Tre [at] gmail.com. Enfin, pour tout service tiers utilisant la double authentification (par exemple Amazon), en admettant que vous perdiez votre tel et que vous ne pouviez donc pas rentrer le code d'authentification, ben il suffira d'utiliser la fonction genre "me connecter avec un autre moyen" et là amazon vous enverra un sms (certes moins sécurisé mais one shot le temps de reconfigurer l'appli), une fois connecté à amazon, vous pouvez reconfigurer votre application authentificator avec votre nouveau tel ou votre tel que vous reconfigurez. Pour cette partie <blockquote>Mais on devient alors plus susceptible aux pirates, qui peuvent prendre le contrôle de l’application s’ils parviennent à usurper le numéro de téléphone de la victime (c’est le même genre de vulnérabilité que pour une MFA par SMS).</blockquote> Le système de fonctionnement des opérateurs français semble que ça limite tre tre fortement le risque pour nous. Reste qu'une interception entre l'antenne et votre tel par une sorte de snifeur sera possible, mais si quelqu'un tente ça c'est que vous être une cible bien précise... Voilà, j'espère que ça ira, et espère ne pas avoir dit trop de bêtises... EDIT : le screenshot de QR code comme proposé par @LoossSS est aussi possible, mais je trouve que cela est une faille dans la sécurité car le fichier et/ou le petit papier où vous aurez mis le QR code peut être retrouvé par un tiers...
ben évidemment, c'est ce que je dis dans mon "long" commentaire. Tu as dis que ça ne marchais pas comme ça... alors que si c'est ce que j'explique !
J'ai pas dit que c'était impossible, j'ai dit qu'il fallait le refaire, aller dans chaque service et refaire la config.
c'est ce que je dis ! Avec amazon, tu te connectes à ton compte avec un "autre moyen de connexion", puis tu recommences la config ! Parsec et synology, je ne sais pas ce que c'est... du coup je ne sais pas comment ça marche, mais tu dois pouvoir faire une récupération de compte vers ton compte Google puis te reconnecter à ces services et reconfigurer non ?
Eh non ca ne marche pas comme ca :) Amazon, Parsec, Synology, etc... Il faut tout refaire quand tu changes de téléphone.
oui (enfin je pense), voir ma réponse, j'ai répondu
c'est bon j'ai répondu !
c'est bon répondu, voir dans le sujet.
oui mais si tu as bien bossé tes autres services sont liés à ton compte google, du coup tu peux faire une récupération sur ces comptes et les reconfigurer
Rrrhhhhooo
Quand ?
Rrrhhhhooo
😁
Normalement demain matin, je n'ai pas oublié
Je cite : - L’autre problème d’Authenticator est que les identifiants sont stockés sur un seul et unique appareil : le smartphone de l’utilisateur. Si on perd son téléphone, on perd définitivement ses identifiants. Faux, puisqu'on a la clé pour remettre notre authenticator. Et voler notre téléphone, de nos jours il peut-être bloqué et repéré.
Ok pour les risques que ça comporte de conserver les QR Code. Par contre ça marche très bien, des mois après. Je parle par expérience.
Moi aussi j'ai hâte de savoir Merci
Oui
Tu es sur de toi ? Parce que je suis de l'avis contraire mais je n'ai pas encore trouvé le temps de le formuler.
Ok merci pour les précisions
Ok
Phishing impossible car la clé u2f utilise l'URL du site lors de la signature cryptographique. Donc le site de phishing ne pourra pas avoir la signature du site d'origine. Et si tu configure u2f avec 2 clé , tu desactive tout le reste (sms, liste de pass de secour), cest ce que fait google avec advanced protection program. Sans l une des 2 clé et le mot de passe, impossible de te connecter.
Ca ne sert que pour Google. Mon authenticator Google me sert pour Google mais aussi pour 5 autres services. Et pour ceux la tes codes ne servent à rien.
Ca ne marche pas après coup, seulement si tu le fais le jour même où tu ajoutes les services tiers. Et ca t'oblige à garder une copie des qr code avec les risques que ca comporte.
Les données de Google authenticator sont en mode 'do not backup', donc tous les utilitaires de backup/transfert n'y peuvent rien. Il n'y a que titanium backup qui peut mais il faut etre root. Au lieu de screenshot, on peux aussi utiliser un lzcteur qrcode pour voir la seed otp, que l'on peut entrer manuellement par la suite
Non avec Google authenticator mais si avec d'autres applis (comme mentionné dans l'article) qui proposent de sauvegarder les comptes (Microsoft il me semble par ex). Et sinon screenshot des qr code pour une sauvegarde perso comme je l'explique plus haut.
C'est faux si tu es un minimum organisé. Au moment d'ajouter un compte, je fais un screenshot du qr code et je conserve ça en lieu sûr. Si on me vole ou que je casse ou perd mon téléphone, je rescanne les qr code avec le nouveau téléphone...
Si 50 eur est trop chère, il y a plein de clé u2f fido entre 5 et 10eur sur amazon. Suffit den acheter/en avoir 2 pour pouvoir activer l advanced protection program.
Ok, fais nous une réponse, qu'on soit informé de ton poste
" Si on perd son téléphone, on perd définitivement ses identifiants. Des incidents similaires peuvent également se produire au moment de passer à un appareil plus récent, si l’on ne fait pas attention. Il faut alors enclencher la procédure de récupération de son compte Google." Google fournit des codes de récupération (10) à utiliser justement en cas d'impossibilité d'accès à l'application... Il est évidemment conseillé de les noter ailleurs que sur son smartphone ! PS: Microsoft aussi a un équivalent. Instagram et Amazon proposent également ce mode de protection (via une app tierce comme celle de Google).
bonjour 007. tu as des exemples de données interessantes a hacker sur ton mobile 🙄??
Faut être Root non ?
Il y a des sites qui forcent l'utilisation de la Clé Titan ? Sinon les hackers vont pas se faire chier à pirater ce protocole mais un autre plus facile. Et vous pensez pas que l'on peut créer des sites de fishing qui simulent une bonne 2 ème authentification de la clé en ayant récupéré les premiers identifiants ? Et là on en revient a la première question, si le site propose plusieurs authentifications il suffira d'en utiliser une autre sans clé ?
Il y a des sites qui forcent l'utilisation de la Clé Titan ? Sinon les hackers vont pas se faire chier à pirater ce protocole mais un autre plus facile. Et vous pensez pas que l'on peut créer des sites de fishing qui simulent une bonne 2 ème authentification de la clé en ayant récupéré les premiers identifiants ? Et là on en revient a la première question, si le site propose plusieurs authentifications il suffira d'en utiliser une autre sans clé ?
Titanium backup et syncthing sur un synology ça résout tout le problème. Je peux changer de téléphone quand je veux, on peut me le voler. J'aurais toujours accès à authentificator.
effectivement c'est totalement faux, surtout si on y a ajouté des services tiers. Il n'y a pas de moyen de tout transférer facilement.
Faut que je trouve le temps, mais ça nécessite un peu de recherche
Merci pour les explications Tre 😉
ce n'est pas forcement l'un ou l'autre. on peut utiliser les 2.
Tre bon article, cependant ce passage est erroné, faut que je trouve le temps d'expliquer pourquoi : " Si on perd son téléphone, on perd définitivement ses identifiants. Des incidents similaires peuvent également se produire au moment de passer à un appareil plus récent, si l’on ne fait pas attention. Il faut alors enclencher la procédure de récupération de son compte Google."
Merci pour les explications Tre 😉
Tre bon article, cependant ce passage est erroné, faut que je trouve le temps d'expliquer pourquoi : " Si on perd son téléphone, on perd définitivement ses identifiants. Des incidents similaires peuvent également se produire au moment de passer à un appareil plus récent, si l’on ne fait pas attention. Il faut alors enclencher la procédure de récupération de son compte Google."
Ce contenu est bloqué car vous n'avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par Disqus.
Pour pouvoir le visualiser, vous devez accepter l'usage étant opéré par Disqus avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l'amélioration des produits d'Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l'audience de ce site (en savoir plus)
En cliquant sur « J’accepte tout », vous consentez aux finalités susmentionnées pour l’ensemble des cookies et autres traceurs déposés par Humanoid et ses partenaires.
Vous gardez la possibilité de retirer votre consentement à tout moment. Pour plus d’informations, nous vous invitons à prendre connaissance de notre Politique cookies.
Gérer mes choix