La YubiKey est un dispositif électronique d'authentification forte fabriqué par Yubico qui supporte les mots de passe à usage unique, le chiffrement, l'authentification par clé publique et le protocole Universal Second Factor (U2F) développé par l'alliance FIDO (FIDO U2F). Il permet aux utilisateurs de s'authentifier de façon sécurisée à leurs comptes en émettant un mot de passe à usage unique ou en utilisant une paire de clé privée/publique générée par le dispositif. Yubikey permet également de stocker les mots de passe statiques des sites ne supportant pas les mots de passe à usage unique[1].

Clé YubiKey 4.


Fondée en 2007 par Stina Ehrensvärd, Yubico est une société privée installée à Palo Alto en Californie, à Seattle, dans l'état du Washington, tous deux aux États-Unis ainsi qu'à Stockholm, en Suède. Jakob Ehrensvärd, directeur technique de Yubico, est l'auteur principal de la spécification d'authentification forte devienue U2F.

Historique

modifier

Au CES 2017, Yubico annonce la YubiKey 4C conçue sur l'USB Type-C. La YubiKey 4C est distribuée à partir du . La fonctionnalité de mots de passe à usage unique est supportée sur le système d'exploitation Android à travers une prise USB-C[2].

Fonctionnement

modifier

Yubikey met en œuvre l'algorithme de mots de passe à usage unique basé sur HMAC (HOTP) et celui basé sur le temps (TOTP). Il se substitue à un clavier qui fournit un mot de passe à usage unique à travers le protocole USB HID. Les versions YubiKey NEO et YubiKey 4 incluent des protocoles tels que celui des cartes OpenPGP (utilisant le RSA 2048-bit) et la cryptographie à courbe elliptique (ECC) p256 et p384, la communication en champ proche (NFC) et le FIDO U2F[3]. La quatrième génération de YubiKey lancée le supporte OpenPGP avec RSA 4096-bit et le support Public Key Cryptographic Standards (PKCS #11) pour les smart cards d'identification personnelle, fonctionnalité qui permet la signature d'images Docker.

Les YubiKey émettent des mots de passe dans un alphabet hexadécimal modifié conçu pour être aussi indépendant que possible des configurations de clavier. Cet alphabet (le ModHex ou Hexadécimal Modifié) est constitué des caractères cbdefghijklnrtuv correspondants aux chiffres hexadécimaux 0123456789abcdef.

Fermeture du code source

modifier

Yubico remplace tous ses composants open source dans la YubiKey 4 par du code propriétaire, ce qui ne lui permet plus d'être étudiée de manière indépendante pour la recherche de failles de sécurité. Yubico affirme que son code est analysé de façon interne et externe. Les YubiKey NEO utilisent toujours du code open source. Le 16 mai 2016, Jakob Ehrensvärd (Directeur technique de Yubico) réaffirme le soutien fort de Yubico pour l'open source et décrit les raisons et les bénéfices des mises à jour de la YubiKey 4. Mais ses déclarations de forme ne répondent pas aux interrogations soulevées par la fermeture du code source.

En , des chercheurs en sécurité trouvent une vulnérabilité dans l'implémentation de la génération de paires de clés RSA dans une bibliothèque cryptographique utilisée par un grand nombre de composants électronique de sécurité Infineon. Cette vulnérabilité permet à un attaquant de reconstruire une clé privée à partir d'une clé publique. Toutes les YubiKey 4, 4C et 4 nano entre les versions 4.2.6 et 4.3.4 sont affectées par cette vulnérabilité. Yubico a publié un outil permettant de vérifier si une YubiKey est affectée et remplace ces composants gratuitement[4].

Notes et références

modifier
  1. (en) Eleanor Peake, « This simple USB key protects everyone from phishing », Wired, (consulté le )
  2. (en) Frederic Lardinois, « YubiKey goes USB-C », TechCrunch, (consulté le )
  3. David Legrand, « Les Yubikey Neo (NFC) compatibles avec les derniers iPhone, mais pas pour l'U2F », Nextinpact, (consulté le )
  4. (en) Catalin Cimpanu, « Yubico to replace vulnerable YubiKey FIPS security keys », sur ZDNET (consulté le )