Écoutez cet article

Si vous avez été sur Internet, alors vous avez probablement entendu parler de l’authentification à deux facteurs, généralement abrégée en 2FA. En général, l’authentification à deux facteurs consiste à recevoir un code que vous devez insérer après avoir entré votre mot de passe correctement. Vous pouvez recevoir ce code par SMS, par courrier électronique ou par une application d’authentification.

Ces solutions peuvent toutefois poser des problèmes, notamment parce que les SMS peuvent être interceptés par des attaques par échange de cartes SIM, que les e-mails peuvent être piratés par ingénierie sociale et que les applications d’authentification perdent leur valeur si votre téléphone est volé ou si vous l’oubliez quelque part.

C’est là que les clés de sécurité entrent en jeu. L’utilisation de l’authentification multifactorielle, ou AMF, implique l’utilisation de plus d’un vecteur d’authentification, et l’AMF fait donc partie de l’AMF.

L’avantage des clés de sécurité physiques est qu’elles ne présentent pas les problèmes mentionnés ci-dessus concernant l’interception ou l’effraction. Bien sûr, elles peuvent être volées, mais certaines clés comportent des éléments biométriques ou nécessitent un autre code PIN, ce qui en fait une véritable clé MFA. Ainsi, même si elle est volée, personne ne peut pirater vos comptes.

Que devez-vous rechercher lorsque vous choisissez une clé de sécurité matérielle ? Avant tout, vous devez choisir une clé qui prend en charge les mêmes protocoles que ceux utilisés par vos comptes. Par exemple, si vous envisagez de sécuriser vos comptes Twitter, Google et Facebook, il vous faut une clé compatible avec ces protocoles.

L’U2F expliqué : Comment Google et d’autres entreprises créent un jeton de sécurité universel

Actuellement, la forme d’authentification la plus populaire s’appelle FIDO2 et est presque universellement prise en charge. Il existe également FIDO U2F, une version antérieure de FIDO2, et la plupart des appareils qui prennent en charge FIDO2 prennent généralement aussi en charge FIDO U2F. La rétrocompatibilité est une bonne chose.

Une clé de sécurité matérielle peut également offrir des fonctionnalités supplémentaires, comme les mots de passe à usage unique (OTP), via un protocole appelé OATH TOTP ou Yubico OTP. Il y a aussi OpenPGP, qui crypte les e-mails et ne vous permet de les décrypter que si vous avez la bonne clé OpenPGP, ce qui ajoute une autre couche à la sécurité des e-mails.

Quant à savoir ce qu’il faut choisir exactement, cela dépend de vos besoins. Si vous n’avez pas besoin d’OTP ou d’e-mails cryptés, une clé qui utilise FIDO2 couvrira très probablement 90 à 100 % de vos besoins.

Il est également important de s’assurer que vous obtenez une clé qui fonctionne avec les appareils que vous utilisez. Si vous souhaitez principalement utiliser la clé pour un usage mobile, il est préférable d’en choisir une avec NFC. Si vous préférez inclure des données biométriques pour une utilisation avec quelque chose comme Windows Hello, vous aurez besoin d’une clé de sécurité avec un scanner d’empreintes digitales.

Voyons maintenant quelles sont les meilleures clés de sécurité matérielles.

La meilleure clé de sécurité globale : Yubico FIDO Security Key NFC

La Yubico Security Key NFC réussit à équilibrer tous les éléments importants d’une clé de sécurité. Elle ne coûte pas trop cher, elle fonctionne à la fois avec les PC et les appareils mobiles grâce au NFC, et elle prend en charge la plupart des systèmes MFA. Il existe même une version USB-C pour ceux qui en ont besoin.

En termes de prise en charge des protocoles, elle peut gérer FIDO U2F et FIDO2, tous deux pris en charge par Google, Twitter et Microsoft, ainsi qu’une variété de gestionnaires de mots de passe. Il est relativement facile de vérifier avec quoi il fonctionne avant de se lancer en consultant une base de données ou en cherchant sur Google si le site Web ou le service que vous souhaitez utiliser les prend en charge.

Le seul véritable inconvénient est qu’elle ne bénéficie pas de la prise en charge plus large des autres clés de sécurité de cette liste. Il est vrai que la plupart des gens n’auront probablement pas besoin de ces fonctionnalités, car les protocoles FIDO couvrent les sites les plus populaires. En échange d’une prise en charge moins avancée des protocoles, la clé est moins chère, et c’est un bon compromis pour la plupart des gens.

Cette clé est à la fois résistante à l’écrasement et à l’eau, de sorte qu’elle ne sera pas facilement cassée.

Meilleure clé de sécurité haut de gamme : YubiKey 5 NFC USB-A

La YubiKey 5 NFC brille par sa prise en charge quasi universelle des protocoles, ce qui signifie que vous ne trouverez probablement pas de site Web ou de service qui ne fonctionne pas avec elle d’une manière ou d’une autre. Cette clé de sécurité est bien adaptée à ceux qui ont tendance à gérer une sécurité importante et qui ont donc besoin d’une clé complète.

En outre, l’application permet d’accéder à des fonctions plus avancées, comme OpenPGP, une signature sécurisée pour authentifier les communications, et une forme avancée de mot de passe à usage unique. Avec la YubiKey 5, vous pouvez envoyer un e-mail crypté via ProtonMail en utilisant PGP, mais au lieu de vous appuyer sur une clé publique, vous pouvez utiliser la clé matérielle.

En outre, elle dispose d’une fonction intéressante de « mot de passe statique » qui fonctionne essentiellement comme un auto-complet lorsque vous touchez le bouton de la YubiKey 5. Vous pouvez écrire seulement une fraction d’un mot de passe de 32 caractères dans une zone de texte et laisser la YubiKey faire le reste du travail pour vous.

Les seuls véritables inconvénients de la YubiKey 5 sont son prix et le fait qu’elle peut être un peu difficile à utiliser sur un téléphone portable. Le prix plus élevé est logique compte tenu du grand nombre de fonctionnalités incluses.

Les problèmes d’utilisation de la clé sur les appareils mobiles sont liés à la façon dont les applications et les navigateurs fonctionnent sur les appareils mobiles. Il est facile d’utiliser la clé sur un navigateur de bureau, et elle fonctionne également très bien sur un navigateur mobile. Cependant, de nombreuses applications mobiles vous obligent à insérer vos mots de passe dans une application plutôt que dans un navigateur, ce qui peut poser quelques problèmes. Cependant, ce n’est pas seulement un problème avec la YubiKey 5.

Meilleure clé de sécurité pour la bio-authentification : Kensington VeriMark

Une chose qui manque aux YubiKeys et que certains pourraient trouver importante est un scanner d’empreintes digitales. Bien qu’il puisse sembler que le bouton de la YubiKey soit biométrique, il s’agit en fait de vérifier si un être humain appuie sur le bouton, et non un logiciel malveillant. En bref, c’est similaire aux reCAPTCHAs que vous devez faire pour prouver que vous n’êtes pas un bot.

Le VeriMark de Kensington est cependant différent. Avec un peu moins d’un pouce de long, la VeriMark fonctionne essentiellement comme une clé d’empreinte digitale pour votre ordinateur portable, et il existe même une version spécialement conçue pour la lecture des empreintes digitales sur les ordinateurs de bureau.

Le design de la VeriMark donne l’impression que la clé est destinée à rester en place plutôt qu’à être transportée. Cependant, elle est dotée d’un capuchon et peut très bien tenir dans votre poche ou sur un porte-clés.

En ce qui concerne les protocoles, elle prend en charge FIDO2, et vous devriez pouvoir l’utiliser sur la plupart des services et applications. Il peut également être utilisé pour Windows Hello – en fait, il semble fait pour le système d’exploitation Windows, étant donné que le VeriMark peut être un peu difficile à faire fonctionner sur Linux et Mac. Les instructions sont également assez rudimentaires, ce qui peut décourager les personnes les plus novices en matière de technologie.

En termes de sécurité, vos empreintes digitales complètes ne sont pas enregistrées dans la mémoire de l’appareil. Au lieu de cela, le Kensington VeriMark crée un modèle de votre empreinte digitale et tente de la faire correspondre. Ce qui est particulièrement impressionnant, c’est que cela semble fonctionner sous n’importe quel angle. Kensington a donc certainement fait du bon travail, tant au niveau du capteur que de sa sécurité interne.

Le plus gros inconvénient du VeriMark est l’absence de NFC, ce qui met de nombreux utilisateurs d’iPhone hors de portée, à moins que vous ne choisissiez la version de bureau avec un câble USB. Si vous le faites, vous devrez probablement utiliser un adaptateur Lightning-to-USB, ce qui ajoute un certain nombre d’étapes inutiles.

Un autre problème est qu’il est un peu cher, puisqu’il coûte un peu moins de 60 dollars. Bien qu’il existe une version à usage unique pour PC à moins de 40 $, c’est un prix élevé pour un produit lié à un seul appareil. Nous pensons qu’il est préférable de dépenser l’argent supplémentaire et de pouvoir se déplacer avec.

Meilleur combo clé et gestionnaire de mots de passe : OnlyKey

La clé CryptoTrust OnlyKey est un peu unique parmi les clés de sécurité car elle comprend un gestionnaire de mots de passe. C’est une bonne chose car cela évite qu’un keylogger ait accès à votre mot de passe puisque vous saisissez les caractères du mot de passe sur la clé de sécurité elle-même.

C’est encore plus simple car il vous suffit d’appuyer sur l’une des six touches de la clé OnlyKey pour saisir le mot de passe dans un champ de texte. En outre, vous pouvez effectuer des pressions longues et courtes sur chaque touche, ce qui vous permet de stocker jusqu’à 12 mots de passe différents sur la clé.

Comme si cela ne suffisait pas, vous pouvez même protéger davantage chaque mot de passe avec un code PIN supplémentaire, ce qui fait de la clé OnlyKey l’une des rares, sinon la seule, clés de sécurité qui intègre complètement l’authentification à trois facteurs.

En ce qui concerne la prise en charge de l’authentification à trois facteurs, elle peut gérer TOTP, Yubico OTP et FIDO 2 U2F, ce qui devrait couvrir la majorité des sites et des applications, tout en offrant une certaine sécurité pour l’avenir. Il y a aussi un code d’autodestruction que vous pouvez configurer. Malheureusement, le code ne fait pas exploser la clé, mais il efface complètement l’OnlyKey.

Malheureusement, il y a un inconvénient important, à savoir que l’interface est très maladroite. Cela signifie que ceux qui ne sont pas très au fait de la technologie peuvent avoir du mal à l’utiliser et à tout configurer. Bien que cela puisse en rebuter certains, les avantages et les caractéristiques uniques de la clé OnlyKey compensent les difficultés supplémentaires que vous aurez à surmonter.

La clé OnlyKey est également dépourvue de NFC et de Bluetooth, et est un peu plus volumineuse que les autres choix de cette liste. Ce ne sont pas nécessairement des obstacles, mais c’est un élément à prendre en compte.

Meilleure clé de sécurité open-source : Nitrokey FIDO2

Pour beaucoup de gens, les logiciels libres sont la solution idéale. Si vous êtes l’une de ces personnes, alors la Nitrokey FIDO2 est la clé de sécurité qu’il vous faut. Malheureusement, les clés de sécurité open-source ont tendance à ne pas avoir les mêmes caractéristiques que les clés propriétaires dont nous avons parlé plus haut.

Ne vous méprenez pas : la prise en charge des protocoles est assez complète avec FIDO U2F, FIDO2, WebAuthn/CTAP. Ils couvrent la majorité des services pour lesquels vous avez besoin de la clé.

Qu’est-ce qu’un logiciel libre, et pourquoi est-ce important ?

Puisqu’il s’agit d’un logiciel libre, n’importe qui peut examiner le code du microprogramme de la Nitrokey et s’assurer qu’il est à jour et ne présente aucune vulnérabilité.

C’est très bien, mais cela n’a pas beaucoup d’importance pour l’utilisateur moyen qui souhaite une expérience conviviale. Il y a aussi l’inconvénient de ne pas disposer du NFC ou d’une option USB-C, ce qui vous oblige à utiliser un adaptateur USB-A vers USB-C, et si vous avez un iPhone, vous devrez vous procurer un câble USB-A vers Lightning.

Il suffit de dire qu’il peut être problématique d’utiliser la Nitrokey ailleurs que sur un bureau. Vous ne bénéficiez pas d’une fonctionnalité comme un scanner d’empreintes digitales ou un gestionnaire de mots de passe pour ce compromis.

Cela peut amener certains à penser que la Nitrokey est mal conçue, mais il est clair qu’elle a fait l’objet d’une certaine réflexion, notamment parce qu’elle est assez solide, même si elle peut sembler un peu creuse lorsqu’elle est portée. Elle cache également les deux voyants lumineux et le bouton tactile sous le plastique, ce qui lui donne un aspect et une sensation uniformes, ce qui est agréable.

La seule chose que nous aurions souhaitée est un moyen d’attacher le capuchon au corps avec un cordon, car il est assez facile de perdre le capuchon.

Dans l’ensemble, bien que ce ne soit pas nécessairement la meilleure clé de sécurité pour la plupart des utilisateurs, c’est l’une des meilleures clés pour ceux qui veulent une solution open-source.