Essai des clés de sécurité Titan de Google

Pour bien comprendre le fonctionnement des clés de sécurité, il faut d’abord saisir ce qu’est l’authentification à deux facteurs (aussi appelée vérification en deux étapes). Ce type d’authentification doit d’abord être activé dans les réglages d’un compte en ligne, par exemple Google ou Facebook.

Par la suite, quand vous vous connectez pour la première fois à l’un de ces sites, vous devez fournir, en plus de votre mot de passe, un code (envoyé par texto ou généré par une application pour téléphone intelligent comme Google Authenticator), ou encore une clé de sécurité. Selon le modèle de clé et l’appareil (téléphone, tablette ou ordinateur), la connexion peut se faire par USB régulier, USB-C, Bluetooth ou NFC.

L’avantage de l’authentification à deux facteurs? Même si un pirate met la main sur votre mot de passe, il ne pourra pas accéder à votre compte puisqu’il n’aura pas en mains votre téléphone intelligent ou votre clé de sécurité.

Les risques du texto

Les méthodes d’authentification à deux facteurs ne sont toutefois pas toutes aussi sécuritaires les unes que les autres. Dans le cas du texto, des fraudeurs pourraient se faire passer pour vous en appelant votre fournisseur de téléphonie mobile et lui demandant transférer votre numéro de téléphone sur une nouvelle carte SIM. Par la suite, les fraudeurs pourraient ainsi récupérer vos codes. 

Aussi, des méthodes d’hameçonnage très ciblées et sophistiquées permettent en principe aux pirates de récupérer non seulement vos mots de passe, mais aussi les codes obtenus par texto ou avec une application comme Google Authenticator.

Selon Google, la clé de sécurité est le nec plus ultra en matière d’authentification, puisqu’elle protège en plus de l’hameçonnage. 

Maintenant disponible au Canada

J’ai eu l’occasion d’essayer les clés Titan de Google depuis leur lancement au Canada le 31 juillet dernier. Elles sont vendues en ensembles de deux clés (un modèle Bluetooth et un modèle USB/NFC) pour 65 $. Aussi dans la boîte : un adaptateur USB régulier vers USB-C ainsi qu’un câble permettant de brancher la clé Bluetooth dans un ordinateur pour la configurer et la recharger. 

Selon Google, la clé USB/NFC sert à s’authentifier sur un ordinateur ou un appareil Android. Quant à la clé Bluetooth, elle est avant tout conçue pour les appareils iOS. 

Fabriquées en plastique, les deux clés semblent assez solides. Dotées d’un trou, elles s’ajoutent facilement à un porte-clé.

Compatibilité limitée

La liste des services compatibles avec les clés Titan est assez courte : elle compte par exemple Dropbox, Facebook, Google et Twitter, mais pas Apple, Instagram, LinkedIn et Microsoft. Sur un ordinateur, les clés sont compatibles avec les navigateurs Chrome, Firefox, Edge et Opera. Sur un téléphone intelligent, elles fonctionnent uniquement avec le navigateur Chrome.

Ces clés sont relativement faciles à configurer et à utiliser. Dans les réglages de sécurité du site (Facebook, par exemple), il suffit d’activer la vérification en deux étapes, de choisir l’option «clé de sécurité», puis de brancher la clé pour compléter la configuration. 

Par la suite, quand vous vous connectez sur un nouvel appareil pour la première fois, en plus de taper votre mot de passe, vous devez entrer la clé dans un port USB (dans le cas d’un ordinateur), la tenir à proximité d’un téléphone Android (connexion par NFC) ou appuyer sur le bouton de la clé Bluetooth. 

Malgré quelques tentatives sur différents appareils, je n’ai toutefois pas réussi à configurer la clé USB avec Twitter, comme si la clé et le site n’étaient finalement pas compatibles.

Conclusion

Compte tenu du faible nombre de sites et de services compatibles, il est difficile de recommander l’achat des clés Titan de Google. Par ailleurs, l’entreprise les recommande surtout pour les gens à haut risque d’être ciblés par des attaques, par exemple les politiciens, activistes et journalistes. Si ce n’est pas votre cas, l’authentification à deux facteurs par SMS ou, mieux encore, par générateur de code, fera très bien l’affaire.

Mentionnons qu'on trouve aussi sur le marché les clés de sécurité d'autres fabricants, dont YubiKey. Je n'ai toutefois pas encore eu l'occasion de les essayer. 

Mise à jour 08/08/19: Une version précédente de cet article indiquait que les clés Titan fonctionnent uniquement avec le navigateur Chrome. Or, sur un ordinateur, elles sont aussi compatibles avec Firefox, Edge et Opera.