Pourquoi nous avons conçu la YubiKey de cette manière

February 26, 2020 8 minute read

La première YubiKey a été lancée en 2008, en s’inspirant du mot « ubiquity » (« ubiquité » en français) dans le but de rendre les connexions simples, sécurisées et accessibles à toutes et à tous. À l’époque, nous n’étions que 10 dans l’entreprise, mais notre stratégie était simple : en cherchant à développer encore plus la technologie YubiKey en collaboration étroite avec une poignée de géants de la technologie, nous pourrions contribuer à rendre l’Internet plus sûr pour tous.

Aujourd’hui, 12 ans plus tard, nous nous sommes rapprochés de cet objectif. Depuis que Yubico a sorti la toute première clé de sécurité FIDO en 2014, tous les principaux logiciels de navigation et plates-formes sont désormais compatibles avec la YubiKey et les standards FIDO et WebAuthn avec lesquels nous avons innové. De plus en plus d’authentificateurs compatibles FIDO ont également intégré le marché, notamment ceux qui sont inclus dans les ordinateurs et les téléphones, ce qui correspond à la manière dont nous avions envisagé les choses. D’autres organisations adoptant ces standards continueront de développer cet écosystème qui bénéficiera également aux utilisateurs de YubiKey.

Il n’y aura jamais de solution magique pour combler tous les besoins en authentification, mais la YubiKey est conçue pour couvrir autant de cas d’usage que possible. La gamme actuelle de produits YubiKey est le résultat d’un travail permanent d’innovation et de collaboration avec nos clients, nos partenaires et nos utilisateurs pour atteindre un niveau maximum de sécurité, d’utilisabilité et de durabilité. Vous trouverez ci-dessous un résumé et une explication des choix de design et de production faits par Yubico.

Un authentificateur externe permet de minimiser la surface des attaques

Les authentificateurs FIDO sont désormais intégrés directement aux ordinateurs et aux téléphones, ce qui facilitera leur adoption par les consommateurs et enrichira les cas d’usage. Toutefois, ces composants polyvalents constituent aussi un plus grand vecteur d’attaques ainsi que des risques de sécurité potentiels, notamment le problème d’Intel Spectre.

Les experts en sécurité du monde physique et du monde numérique s’accordent sur le fait qu’il est essentiel de minimiser la surface d’attaque pour obtenir une défense renforcée. Afin d’améliorer la sécurité des comptes en ligne, nous avons créé YubiKey comme authentificateur externe qui assure uniquement l’authentification et le chiffrement, sans être lié à l’Internet. Contrairement aux authentificateurs intégrés, la YubiKey est également conçue pour fonctionner sans batterie, sur tous les ordinateurs et téléphones, mais aussi pour être un appareil de confiance financièrement accessible.

Les appareils de petite taille réduisent l’empreinte environnementale

La YubiKey a été conçue pour durer : un concept monobloc solide, pas de batterie, pas de pièces amovibles. Le porte-clés YubiKey le plus courant a le même poids qu’une carte de crédit, et nous avons conçu tous nos produits et emballages pour qu’ils soient aussi légers et aussi plats que possible de sorte à minimiser le volume des colis et l’empreinte carbone.

USB et NFC sont des facteurs de forme sécurisés et faciles à utiliser

Certains authentificateurs FIDO, notamment les téléphones, les ordinateurs ou les clés de sécurité, ont recours à la communication Bluetooth Low Energy (BLE) pendant le flux d’authentification. Toutefois, le Bluetooth a initialement été créé pour l’audio et non pour la sécurité. Bien que la sécurité se soit améliorée depuis la création des premières caractéristiques BLE, il existe toujours un risque de corruption à quelques mètres de distance. De plus, le BLE rend les choses plus compliquées pour les utilisateurs, ce qui accroît le nombre d’appels aux services d’assistance et les coûts qui y sont associés.

Plusieurs recherches ont montré que les entreprises ayant déployé largement des YubiKeys USB et NFC compatibles FIDO n’ont enregistré aucun piratage de comptes et une réduction de 92 % des appels aux services d’assistance, entraînant des économies atteignant des dizaines de millions.

Des éléments sécurisés offrent une protection physique renforcée

Il est généralement bénéfique à la sécurité de mettre des codes open source à disposition du public, mais malheureusement les problèmes de sécurité liés à l’open source, notamment Heartbleed, sont également une réalité.

Au départ, la YubiKey incluait des composants USB disponibles en vente libre. Afin d’améliorer la sécurité physique de la YubiKey, nous avons ensuite décidé d’élaborer tout notre appareil sur des éléments sécurisés, qui sont également utilisés pour les cartes de crédit et les passeports incluant des puces. Les éléments sécurisés confirment l’authenticité de l’origine des composants et aident à empêcher les fraudeurs qui détiennent physiquement un appareil d’en extraire ou d’en modifier le code.

Les éléments de sécurité de pointe ne permettent pas les intégrations open source car ces puces sont protégées intellectuellement et restreintes en termes de documentation et d’outils. Afin de protéger la qualité et l’intégrité des produits Yubico, nos équipes d’ingénieurs et en charge de la sécurité procèdent en permanence à des vérifications de la sécurité réalisées en interne et par des tiers.

La biométrie et les codes PIN coexisteront dans un monde sans mot de passe

FIDO et WebAuthn nous aideront bientôt à tirer un trait sur nos mots de passe compliqués et à les remplacer par des authentificateurs FIDO physiques en utilisant la cryptographie publique et renforcée des clés. Ces appareils constitueront le premier facteur robuste (ce que vous avez), à associer avec un code PIN (ce que vous savez) et la biométrie (ce que vous êtes).

Malgré le caractère pratique de la biométrie, une image statique telle qu’une empreinte digitale n’est pas nécessairement plus sécurisée qu’un code PIN. Au cours de l’année, Yubico lancera la YubiKey Bio qui prendra en charge empreinte digitale et code PIN. Le produit sera présenté dans un concept fin et solide, avec des caractéristiques de sécurité renforcées par rapport à ce qui est actuellement disponible sur le marché.

La chaîne logistique compte

Les produits Yubico sont fabriqués aux États-Unis et en Suède. Il s’agit d’un choix conscient visant à garantir l’intégrité de nos produits. FIDO ne certifie que l’interopérabilité, mais n’a pour l’instant établi aucune politique de sécurité et ne réalise jusque-là aucun contrôle de la sécurité des produits. C’est donc aux utilisateurs et aux prestataires de services de choisir les fournisseurs en qui ils ont confiance.

La YubiKey a été conçue en pensant à l’avenir. Pour que la route vers demain soit sans encombres, nous avons ajouté des protocoles de sécurité anciens et modernes sur un seul appareil.
Afin de permettre à un authentificateur de fonctionner dans une large gamme de systèmes, de services et d’applications, la YubiKey est compatible avec les mots de passe statiques, one-time password (OTP), PIV (smart card), OpenPGP, FIDO U2F et FIDO2.

La nouvelle formule d’abonnement YubiEnterprise de Yubico permet aux entreprises de mettre à niveau un certain nombre de leurs YubiKeys au fur et à mesure que de nouveaux modèles et fonctionnalités sont mis sur le marché.

Poursuivre notre mission pour que l’Internet soit plus sûr pour toutes et tous

Alors que le marché des authentificateurs FIDO est en pleine expansion, nos clients nous demandent quelles options choisir. Notre réponse générale est de soutenir FIDO2 et WebAuth, d’essayer plusieurs authentificateurs disponibles, puis de laisser les commentaires des utilisateurs et les statistiques de déploiement guider leurs décisions. Avec les standards ouverts, les prestataires de services et les utilisateurs ne sont pas bloqués par un fournisseur ou un concept, et ils sont libres de changer au fur et à mesure que le marché évolue.

Chez Yubico, nous allons continuer d’innover, de stimuler les standards ouverts et de nous concentrer sur nos clients afin de gagner des parts de marché ainsi que la confiance de nos clients sur le long terme.

Share this article:

Recommended content

Thumbnail

Yubico lance la série YubiKey 5 CSPN, la première gamme d'authentificateurs multi-protocoles FIDO2/WebAuthn/PIV/OTP certifiés CSPN (certification ANSSI)

Aujourd’hui, nous sommes ravis d’annoncer le lancement et la disponibilité de la série YubiKey 5 CSPN, la première gamme d’authentificateurs multi-protocoles FIDO2/WebAuthn certifiés CSPN (ANSSI) en France. La série YubiKey 5 CSPN permet aux agences gouvernementales françaises/européennes et aux organisations réglementées de répondre aux normes strictes de sécurité et d’authentification des dernières directives émises  par ...

Thumbnail

Pour les entreprises

Pourquoi utiliser la YubiKey ? Facile à déployer et à gérer dans l’entreprise La YubiKey permet une implémentation et une gestion du cycle de vie efficaces, efficientes et prévisibles. Protégez vos serveurs avec YubiHSM Saviez-vous que le YubiHSM 2 peut protéger vos serveurs et vos applications ? Offrez à votre équipe un module de sécurité ...

Thumbnail

Docaposte, ILEX & Yubico - Webinar Cybersécurité

Docaposte, filiale numérique du Groupe La Poste, sécurise l’accès à ses applicatifs et infrastructures en s’appuyant sur la plateforme de gestion des accès d’Ilex International et sur les YubiKeys.

Thumbnail

Authentification : Pourquoi se débarrasser des mots de passe ? Comment gérer ce projet ?

Retrouvez en replay la conférence donnée par Laurent Nezot (Yubico) et David Martinache (Wavestone) lors de la seconde édition des Identity Days, le 29 octobre 2020.