Feitian Multipass FIDO : on a testé la clé de sécurité U2F compatible Android et iOS

Recommandée par Google
Feitian Multipass FIDO : on a testé la clé de sécurité U2F compatible Android et iOS

La double authentification via le standard U2F est souvent perçue comme une solution exploitable uniquement sur ordinateur avec une clé USB. Mais ce n'est pas le cas, même si les constructeurs et les développeurs ne jouent pas toujours le jeu. La Multipass FIDO de Feitian en est le parfait exemple.

Le mois dernier, Google annonçait la mise en place de son Programme de protection avancée, un dispositif que chacun peut activer sur son compte. Il limite l'accès aux applications tierces, est plus contraignant en cas de tentative de connexion frauduleuse et rend obligatoire l'utilisation de clés de sécurité U2F.

U2F : de l'USB, mais pas que

Problème : si cette norme de la FIDO Alliance est souvent utilisée via des périphériques USB, son emploi pose problème pour les smartphones. Il existe néanmoins des solutions, comme le NFC. Le fabricant Yubico propose ainsi depuis quelques temps un modèle compatible, la Neo. Malheureusement, du fait des limitations imposées par Apple pour le NFC sous iOS (voir notre analyse), elle ne peut être utilisée que sur Android.

Google recommande donc d'opter pour un autre modèle, comme clé principale et multiplateforme : la Multipass FIDO du fabricant chinois Feitian. Celle-ci propose un port USB mais gère également le NFC ou encore le Bluetooth Smart. De quoi assurer un fonctionnement dans les navigateurs pour ordinateur de bureau, Android mais aussi iOS.

Elle n'est proposée que sur Amazon, qui se charge de son expédition, pour un peu moins de 22 euros. Intrigués, nous l'avons commandée afin de voir ce qu'elle permet et comment elle s'utilise dans la pratique.

Feitian Multipass

Bluetooth Smart ou NFC : chacun son point fort

Petit rappel tout d'abord : l'U2F est un standard de double authentification. Cela signifie qu'il permet de compléter votre identifiant et votre mot de passe par un code aléatoire pour assurer une connexion sécurisée à des services compatibles. Ce code est obtenu à travers une clé de sécurité, qui doit donc être reliée à l'appareil.

Cela peut se faire en USB, mais aussi sans fil via le NFC ou le Bluetooth Smart (anciennement LE, pour Low Energy). Cette dernière solution a été officialisée à la mi-2015. Comme nous l'avons évoqué plus haut, selon la plateforme vous pourrez utiliser telle ou telle solution.

Si vous ne vous connectez que depuis un ordinateur, l'USB suffira, sous Android le NFC aura l'avantage d'être une solution supportée par plusieurs produits, le Bluetooth d'être intégré à quasiment tous les smartphones. Sous iOS, seul le Bluetooth peut être utilisé, Apple limitant encore fortement les possibilités du NFC sur sa plateforme mobile.

Ici, vous aurez seulement le choix entre deux références, celle de Feitian étant choisie par Google. Yubico a déclaré travailler sur le sujet l'année dernière, mais n'a toujours rien officialisé depuis.

Feitian Multipass FIDO U2FFeitian Multipass FIDO U2F

Une clé compacte, avec un port Micro USB femelle

La Multipass FIDO de Feitian prend la forme d'un petit porte-clés (47,3 × 29,3 × 8,3 mm) avec un bouton et trois LED en façade : Bluetooth, NFC et... l'état de charge. Car la première spécificité d'une clé de sécurité Bluetooth (même Smart), c'est qu'elle intègre une batterie.

Elle est rechargeable en USB (5V, 22 mA), sa capacité annoncée est de 35 mAh pour une autonomie de trois mois à raison de dix connexions par jour en moyenne. Le port est de type Micro USB femelle. Un câble sera donc nécessaire pour connecter la clé à un ordinateur, ce qui est moins pratique que des modèles avec un port USB mâle Type-A ou C.

À l'arrière, on retrouve la référence de la clé et son code d'appairage Bluetooth. Le tout est livré dans un bundle assez minimaliste avec un petit guide de démarrage (en anglais) et un câble USB. Le manuel complet est disponible au format PDF sur le site de Feitian.

Une utilisation assez simple, une application à installer pour Google sous iOS

Pour le moment, la double authentification U2F depuis un appareil mobile n'est proposée par presque aucun service, excepté ceux de Google. Si l'on espère que son support s'étendra, nous avons utilisé la solution du géant américain pour tester notre produit du jour.

Comme on pouvait s'y attendre, le fonctionnement est assez classique. Dans un navigateur pour ordinateur, connecter la clé suffit. C'est la méthode à privilégier pour l'ajouter à votre compte, à travers les paramètres de sécurité. On regrettera au passage que, bien que Firefox gère désormais l'U2F, Google exige toujours l'utilisation de Chrome. Ici, ne comptez pas sur l'utilisation du Bluetooth ou du NFC, seul l'USB peut être exploité.

Sous Android, tout sera également natif avec l'utilisation du NFC. Ainsi, lors de l'ajout d'un compte Google, il suffira de présenter la clé sur la zone de détection du smartphone (qui doit donc être activée) pour que la double authentification soit validée. Si vous optez pour le Bluetooth, il faudra avoir auparavant appairer la clé avec l'appareil.

Pour cela, il suffit de presser le bouton en façade pendant 5 seconde (sans l'USB de connecté), la diode Bluetooth clignote. C'est le signe que la clé peut être ajoutée en confirmant le code inscrit à son dos.

Sous iOS, seul le Bluetooth peut être utilisé. Cette procédure sera donc également nécessaire, mais Google exige que la connexion soit effectuée à travers une application spécifique : Smart Lock. Elle est pour le moment le seul moyen de gérer la validation eu deux étapes sous l'OS mobile d'Apple.

Elle vérifie que l'appairage Bluetooth a bien été effectué. Si tel est le cas, votre connexion sera validée et vous pourrez alors utiliser votre compte Google depuis n'importe quelle autre application du géant du Net.

Google Smart Lock U2F iOSGoogle Smart Lock U2F iOSGoogle Smart Lock U2F iOSGoogle Smart Lock U2F iOSGoogle Smart Lock U2F iOSGoogle Smart Lock U2F iOS

U2F : la balle est du côté des développeurs (et d'Apple)

Au final, la clé Multipass FIDO de Feitian est un produit qui aura l'avantage d'être peu coûteux (attention tout de même aux frais de douane en cas d'import), compact et compatible avec les principaux OS. Ceux qui le souhaitent pourront l'utiliser en complément d'une clé de sécurité plus classique, comportant directement un port USB mâle.

On continuera néanmoins de regretter que les développeurs n'implémentent pas de manière plus complète l'U2F au sein de leurs applications. Il est en effet encore trop rare de voir son usage proposé sur un appareil mobile, alors que des solutions Bluetooth et NFC sont disponibles. Une fois encore, Google est l'un des rares à être réellement réactif sur ce terrain, et c'est bien dommage.

Espérons que l'arrivée de Firefox et de ce genre de clés multi-interfaces les incitera à prendre les choses un peu plus au sérieux. On peut aussi espérer qu'Apple finira par changer son fusil d'épaule sur le NFC afin de permettre l'utilisation d'un nombre plus large de clés de sécurité. Il ne saurait en être autrement de la part d'une société qui dit placer la sécurité et la vie privée de ses clients au premier plan.

Ce contenu est désormais en accès libre

Il a été produit grâce à nos abonnés, l'abonnement finance le travail de notre équipe de journalistes.

ou choisissez l'une de nos offres d'abonnement :

19 commentaires
Avatar de KP2 Abonné
Avatar de KP2KP2- 27/11/17 à 11:42:41

Et au quotidien, ça marche comment ?

Exemple : sur iOS, mon compte gmail est enregistré dans Mail, je dois appuyer sur le bouton à chaque fois que je veux consulter mes mails ou c'est juste à l'enregistrement du compte ?

Sur Mac, est-ce que je peux enregistrer mes clés SSH dedans ?

Avatar de Minikea Abonné
Avatar de MinikeaMinikea- 27/11/17 à 11:45:36

à noter que la connexion via NFC (yubikey neo) sur Google avec android et Firefox mobile ne fonctionne pas.

je crois que même la connexion d'un compte Google (dans les paramètres Android, pas dans un navigateur) sur un Android avec une Yubikey Neo en NFC n'a jamais fonctionné chez moi, j'ai toujours du me rabattre sur un SMS (qui est lu automatiquement par l'appli Google d'ailleurs, ce qui m'embête un peu! )

Édité par Minikea le 27/11/2017 à 11:45
Avatar de Minikea Abonné
Avatar de MinikeaMinikea- 27/11/17 à 11:47:07

Google, c'est réauth forte à chaque nouveau matériel détecté. tu dois pouvoir mettre une tempo dans ton compte aussi (genre réauth tous les 30 jours par exemple).

et pour la 2ème question: non mais tu peux peut-être avoir un gestionnaire de clé SSH qui gère U2F pour son authentification.

Édité par Minikea le 27/11/2017 à 11:48
Avatar de TheGuit Abonné
Avatar de TheGuitTheGuit- 27/11/17 à 12:41:53

J'ai acheté une clé Feitian il y'a peu et impossible de la faire fonctionner en USB sous linux dans Chrome. Alors que mon autre clé (HyperFIDO) fonctionne par contre très bien. Du coup je suis un peu inquiet de réinvestir dans une autre clé qui ne marchera pas non plus sous linux, avez-vous pu tester ce cas ?

Avatar de keralan Abonné
Avatar de keralankeralan- 27/11/17 à 12:54:23

Est-ce que ça peut marcher avec keepass et un plug in qui va bien ?

Avatar de David_L Équipe
Avatar de David_LDavid_L- 27/11/17 à 13:41:43

On a déjà évoqué des solutions de type KeePass et 2FA, même si en général les implémentations utilisent autre chose que l'U2F : 

https://www.nextinpact.com/news/104945-keepassxc-ajoute-support-natif-yubikey-po...
https://www.nextinpact.com/news/103288-keepass-comment-proteger-acces-avec-yubik...

 

Avatar de keralan Abonné
Avatar de keralankeralan- 27/11/17 à 13:45:47

Oui, mais l'idée pour moi est d'utilisé aussi le BT Smart sur android (pas de puce NFC sur mon appareil) avec l'appli (non officielle et peut être pas non plus compatible ?)

Avatar de brazomyna Abonné
Avatar de brazomynabrazomyna- 27/11/17 à 14:31:39

David_L a écrit :

On a déjà évoqué des solutions de type KeePass et 2FA, même si en général les implémentations utilisent autre chose que l'U2F

Donc si j'ai un combo linux + keepass et que je prends une yubikey 4 nano, je peux m'en servir pour de l'authentification double sous firefox par exemple ?

Et ça fonctionne aussi pour ce qui concerne l'ouverture de session / le chiffrement de ma partition 'home' ?

Avatar de JCDentonMale Abonné
Avatar de JCDentonMaleJCDentonMale- 27/11/17 à 15:09:53

Quel est l'avantage de cette solution matérielle par rapport à une solution 100% logicielle comme Authy ou Google Auth ?

Édité par JCDentonMale le 27/11/2017 à 15:10
Avatar de hellmut Abonné
Avatar de hellmuthellmut- 27/11/17 à 15:23:35

la clé matérielle est intéressante pour sécuriser l'authentification via ton mobile.
en effet comme Google Auth est dessus, qui a accès à ton mobile a aussi accès à ton 2e facteur.
tout dépend du modèle de menace, mais quelqu'un qui a des rigolos comme la NSA, le FSB ou le GRU en face (ou d'autres petites bêtes dans le genre), ça lui permet d'ajouter une autre couche de sécu pour les emmerder.

Il n'est plus possible de commenter cette actualité.
Page 1 / 2

Votre commentaire

Avatar de lecteur anonyme
Avatar de lecteur anonyme

2000 - 2019 INpact MediaGroup - SARL de presse, membre du SPIIL. N° de CPPAP 0321 Z 92244.

Marque déposée. Tous droits réservés. Mentions légales et contact