Google, et la FIDO Alliance ont officialisé hier une petite clef USB qui pourrait bien être une nouvelle référence en termes de sécurité pour les particuliers.

android 2014-10-22 à 10.54.25

Google Online Security a révélé hier ses plans à court terme pour faire de vos comptes Google des antres de sûreté. Effectivement, une nouvelle méthode d’authentification va se démocratiser, grâce à une Security Key – une clef USB – qu’il suffira d’insérer sur l’ordinateur avant la connexion à Chrome, et après avoir saisi l’habituel mot de passe.

Cette « Security Key » se base sur le protocole Universal 2nd Factor (U2F) de l’alliance FIDO, dont font partie BlackBerry, Google, Lenovo ou encore Microsoft, ainsi que des géants de l’industrie bancaire et de la sécurité. L’U2F est un protocole récent – deux ans d’existence – et largement démocratisé au sein des entreprises grâce à sa sécurité renforcée. Cette norme se base sur la cryptographie asymétrique, qui repose elle, pour faire simple, sur l’utilisation d’une clé publique (diffusée) et d’une clé privée (gardée secrète). La première permet de coder un message tandis que l’autre permet de le décoder. L’expéditeur peut ainsi utiliser la clé publique du destinataire pour coder un message que seul le destinataire (en possession de la clé privée) peut décoder, garantissant la confidentialité du contenu. Pour l’utilisateur, la clé fournit la confirmation que le site auquel il veut accéder via Chrome est authentique.

Google essaie maintenant de porter cette norme à la connaissance du grand public, en proposant une utilisation ultra-simple et peu contraignante. L’adoption d’une telle clé (entre 5 et 50 euros selon les modèles) permettra entre autres de ne plus avoir à recevoir de codes de vérification par SMS, ou d’être plus serein vis-à-vis de l’utilisation du même mot de passe sur plusieurs comptes et services. On évoque déjà la possibilité d’équiper la clef de Google d’un tag NFC pour qu’elle puisse être utilisée sur mobiles. Pour le moment, en mobilité, il faudra encore faire sans, à moins d’opter pour un produit de Yubico, qui fabrique lui aussi des clefs USB de sécurité.