Google propose deux services d’authentification à facteur multiple. Si vous hésitez entre l’application mobile et la clé physique pour sécuriser votre identité numérique, voici de quoi alimenter votre choix.

Annoncée il y a un an pour les États-Unis, la clé Titan de Google a débarqué en France au début du mois d’août. Elle permet d’ajouter une couche de protection supplémentaire lors de l’accès à ses comptes numériques… tout comme le fait Google Authenticator, une application que la firme de Mountain View avait lancé dès 2010.

Mais pourquoi diable Google propose-t-il deux produits qui servent peu ou prou à la même chose ? La clé Titan et le Google Authenticator remplissent tous deux le même type de processus : l’authentification à facteurs multiples (« MFA » pour multi-factor authentication, ou « 2FA » quand il n’y a que deux facteurs).

La MFA consiste à demander à l’utilisateur plusieurs informations permettant de l’identifier, au lieu d’un simple mot de passe. C’est par exemple le cas quand notre banque nous envoie un SMS pour confirmer un paiement. Si la MFA est toujours meilleure que rien du tout, elle est loin d’être parfaite selon les solutions utilisées. Dans le cas du SMS, elle ne protège pas de l’hameçonnage par sites frauduleux, et des hackeurs peuvent intercepter le SMS ou usurper la carte SIM.

Authenticator et Titan sont des formes plus sophistiquées de MFA, mais chacune a ses avantages et ses inconvénients.

Pourquoi utiliser Google Authenticator (ou une autre application de TOTP)

Google Authenticator repose sur un algorithme bien éprouvé des procédures de MFA : le Time-based One-Time Password (TOTP), un standard central du consortium OATH de promotion de méthodes d’authentification communes. Vous avez tous déjà eu affaire à du TOTP, qui vous envoie sur un appareil tiers un code à durée de validité limitée, que vous rentrez ensuite dans le site où vous voulez vous identifier.

Comme pour tout bon TOTP, vous n’avez besoin que de votre smartphone pour utiliser Authenticator ou une application concurrente comme Authy. Nul besoin de dépenser de l’argent, c’est gratuit pour les deux. Du chiffrement de bout en bout assure une bien meilleure résistance aux attaques que ne le permet le SMS. Cependant, on conserve certains défauts inhérents au TOTP. En particulier, cela ne protège pas contre l’hameçonnage. Si l’utilisateur tente de s’authentifier sur un site frauduleux, les pirates n’ont qu’à rapidement retaper ses identifiants (code TOTP compris) dans le vrai site.

L’autre problème d’Authenticator est que les identifiants sont stockés sur un seul et unique appareil : le smartphone de l’utilisateur. Si on perd son téléphone, on perd définitivement ses identifiants. Des incidents similaires peuvent également se produire au moment de passer à un appareil plus récent, si l’on ne fait pas attention. Il faut alors enclencher la procédure de récupération de son compte Google.

D’autres applications de TOTP, comme Authy, permettent d’éviter ce problème en conservant ses identifiants dans le cloud, où ils peuvent être accédés depuis plusieurs appareils. Mais on devient alors plus susceptible aux pirates, qui peuvent prendre le contrôle de l’application s’ils parviennent à usurper le numéro de téléphone de la victime (c’est le même genre de vulnérabilité que pour une MFA par SMS).

Pourquoi utiliser une clé Titan (ou une autre clé U2F)

L’arrivée du standard Universal 2nd Factor (U2F) en 2014 a été acclamée par la communauté de la cybersécurité. Celui-ci permet d’utiliser comme deuxième facteur d’identification une clé physique, branchée par USB ou communicant par NFC. L’U2F est entre les mains de la FIDO Alliance et a été développée conjointement par Google et par la start-up Yubico, aujourd’hui connue pour ses YubiKey d’identification.

Google avait depuis quelques années son propre programme Protection avancée, offrant la compatibilité U2F pour ses services, mais ce n’est que maintenant qu’il propose sa propre version de la YubiKey sous la forme de la clé Titan.

Le kit de la clé Titan coûte 55 euros en France. Pour ce prix-là, la résistance au phishing est garantie, car le (vrai !) site doit pouvoir vérifier que la clé est physiquement présente. C’était d’ailleurs l’argument de vente de Google lors du lancement de son produit l’année dernière. L’utilisation est probablement plus simple que celle d’Authenticator, vu qu’il suffit de connecter la clé à son appareil et d’appuyer sur un bouton. Il n’y a pas à recopier un code à l’écran durant un temps imparti.

Le kit contient deux clés, une principale et une de secours. Ce n’est pas encore trop grave d’en perdre une, mais si on égare les deux, il faut passer par la case de la récupération de compte. Globalement, avec une clé Titan, vous ne risquez de perdre les accès à vos comptes que si vous êtes très tête-en-l’air ; alors qu’avec une application de TOTP, cela vous arrivera surtout si l’on vous vole votre téléphone.

Les clés U2F sont généralement plus sûres et efficaces que les applications de TOTP, même si elles ne sont pas non plus à l’abri de failles de sécurité. En mai dernier, Google avait dû rappeler certaines de ses clés Titan à cause d’une vulnérabilité dans la fonction Bluetooth.

SMS, code, clé physique : la double authentification est-elle vraiment infaillible ?