Prise en charge de la clé de sécurité FIDO2 pour les clients mobiles

Le protocole d'authentification sans mot de passe FIDO2 facilite la connexion sans mot de passe et continue de gagner du terrain en tant que norme industrielle. Les mises à jour des systèmes d'exploitation mobiles ont ajouté un support natif pour le standard, permettant au support Bitwarden FIDO2 de tirer parti de ce protocole sécurisé. Mais qu'est-ce que FIDO2 et quel est son impact sur vous ?

FIDO est l'acronyme de Fast IDentity Online (pas le nom d'un chien), qui désigne la norme d'authentification créée par l'Alliance FIDO, une association industrielle ouverte. Le groupe, qui comprend des leaders de l'industrie de l'internet, a travaillé ensemble pour développer la norme et faire progresser l'authentification en ligne, en particulier pour réduire la dépendance à l'égard des mots de passe.

FIDO2 sert de protocole de communication entre les applications, les serveurs et d'autres dispositifs, garantissant que l'utilisateur qui tente de se connecter est authentifié de manière appropriée. En d'autres termes, il est bien celui qu'il prétend être. Parmi les autres technologies regroupées sous ce terme générique, citons WebAuthn, une norme web ouverte, et CTAP ; ces deux technologies fonctionnent sous le capot pour assurer la sécurité de l'ensemble. Comparé à d'autres protocoles tels que les OTP (codes de passe à usage unique), FIDO2 offre une meilleure protection car il est plus résistant au phishing et aux faux sites web grâce à l'utilisation d'une paire de clés publiques/privées dans le cadre de sa sécurité.

Un exemple de FIDO2 est la clé de sécurité matérielle, un dispositif spécial qui peut ressembler à une clé USB. Lorsqu'elle est branchée sur un ordinateur ou tenue à proximité d'un téléphone pour être lue par la NFC (communication en champ proche), la clé de sécurité authentifie l'utilisateur. Une clé matérielle est considérée comme très sûre car elle ne peut pas être dupliquée et nécessite un dispositif physique à porter par l'utilisateur.

Avec cette version, Bitwarden est désormais un gestionnaire de mots de passe FIDO2 qui prend en charge l'utilisation des clés de sécurité matérielles FIDO2 sur les clients mobiles. Cela s'ajoute à la gamme des coffres-forts web, des extensions de navigateur et des clients de bureau Windows qui prennent en charge FIDO2 comme forme de connexion en deux étapes pour aider à sécuriser votre compte.

Il est important de noter que Bitwarden utilise FIDO2 pour la connexion en deux étapes, et non comme moyen de déverrouiller votre coffre-fort Bitwarden. Le mot de passe principal est utilisé pour se connecter afin de télécharger le coffre-fort crypté sur le client, et la clé dérivée du mot de passe principal est utilisée pour le décrypter. Pour en savoir plus sur le cryptage, consultez le Livre blanc sur la sécurité de Bitwarden.

Lors de la connexion en deux étapes, Bitwarden vous demandera de brancher votre clé de sécurité matérielle USB ou de la tenir (si elle est compatible NFC) à proximité de votre téléphone. Une fois la clé lue, Bitwarden utilisera les protocoles FIDO2 Webauthn pour vérifier votre identité. Si vous sélectionnez Remember Me, il se souviendra de votre appareil pendant 30 jours. Il s'agit d'une forme puissante de connexion en deux étapes proposée par Bitwarden.

La connexion en deux étapes, également connue sous le nom d'authentification à deux facteurs, 2FA, et d'authentification multifactorielle, est un moyen d'augmenter considérablement la sécurité de n'importe lequel de vos comptes. C'est un sujet tellement important que, même s'il a été largement abordé dans un blog, un webcast et un guide de terrain de Bitwarden, il vaut la peine d'y revenir ici.

La connexion en deux étapes peut être considérée comme une chose que l'on sait et une chose que l'on a. Par exemple, pour qu'un aventurier puisse entrer dans la cité mystique interdite, il doit prononcer la phrase magique (qu'il connaît) et présenter le médaillon enchanté (qu'il possède). Entendre la phrase magique dans une taverne ne suffit pas pour y accéder !

En termes contemporains, lorsque vous avez activé la connexion en deux étapes sur l'un de vos comptes, le fait de vous connecter avec un nom d'utilisateur et un mot de passe à partir d'un appareil non reconnu déclenche la deuxième étape. Selon le site, on peut vous demander une séquence de codes qui vous a été envoyée par SMS ou par courriel, ou un mot de passe unique chronométré (TOTP) provenant d'une application d'authentification, par exemple.

Les différents types de méthodes de connexion en deux étapes présentent des niveaux de sécurité et de résistance aux attaques variables. Les codes de message texte (SMS) sont généralement considérés comme les moins sûrs, car les numéros de téléphone peuvent être vulnérables aux attaques par permutation de carte SIM. Les clés matérielles sont généralement considérées comme la forme la plus sûre de vérification de l'identité.

Tout type de connexion en deux étapes offre une sécurité nettement supérieure à celle d'un compte non protégé ! Sans la connexion en deux étapes, votre compte n'est protégé que par un seul mot de passe. Les violations de données et les fuites de mots de passe peuvent révéler un mot de passe réutilisé accidentellement, ou une attaque par force brute peut essayer de deviner votre mot de passe des millions de fois par minute. La connexion en deux étapes permet d'arrêter ces mauvais acteurs dans leur élan !

Des instructions détaillées, étape par étape, pour activer FIDO2 WebAuthn dans Bitwarden sont disponibles sur la page d'aide.

Depuis le coffre-fort web, allez dans l'onglet Paramètres, puis sur la page Connexion en deux étapes. De là, vous pouvez sélectionner la forme de connexion en deux étapes à utiliser. Notez que l'option FIDO2 est disponible dans le plan Bitwarden Premium.

N'importe quelle clé de sécurité FIDO2 peut être configurée pour être utilisée. Les marques les plus courantes sont YubiKey, SoloKey et Nitrokey. Notez que YubiKey peut être pris en charge de deux manières différentes par Bitwarden : OTP (mot de passe à usage unique) et FIDO2. Assurez-vous de faire le bon choix en fonction de vos besoins.

Les utilisateurs gratuits peuvent avoir jusqu'à cinq clés de sécurité sur leur compte pour l'authentification à deux facteurs et les utilisateurs payants de Bitwarden peuvent avoir jusqu'à dix clés. Quelle que soit la formule choisie, il est conseillé d'en enregistrer plusieurs afin d'en conserver une sur soi et une autre en lieu sûr. Vous devez également générer un code de récupération et le conserver en lieu sûr au cas où vous perdriez vos clés matérielles. N'oubliez pas que si vous perdez vos clés et votre code de récupération, vous risquez de ne plus pouvoir accéder à votre compte, même si vous avez encore votre mot de passe principal !

Il existe deux mesures importantes que chacun peut prendre aujourd'hui pour améliorer la sécurité sur l'internet. La première consiste à mettre en place toute forme de connexion en deux étapes (2FA, authentification à deux facteurs, authentification multifactorielle) sur chaque compte qui le propose. Bitwarden peut vous aider avec un outil appelé "Inactive 2FA Report" qui vérifiera toutes les connexions dans le coffre-fort par rapport à une liste de sites qui offrent TOTP comme connexion en deux étapes et signalera les connexions qui n'ont pas été configurées.

La deuxième chose à faire est d'adopter de bonnes habitudes en matière de mots de passe : utiliser des mots de passe forts, uniques et générés de manière aléatoire pour chaque compte. Le générateur de mots de passe intégré à Bitwarden est un outil utile pour faciliter cette tâche, ainsi que pour stocker ces mots de passe dans un coffre-fort sécurisé afin de ne pas avoir à s'en souvenir.

De plus, le Bitwarden Authenticator, disponible avec le plan Bitwarden Premium, peut aider à la connexion en deux étapes TOTP en générant des codes et en rendant plus pratique la vérification des identités sur les sites web.

Activez la connexion en deux étapes sur tous vos comptes dès aujourd'hui !

Découvrez comment Bitwarden peut vous aider à améliorer la sécurité sur Internet grâce à la gestion des mots de passe. Inscrivez-vous pour une démonstration en direct et découvrez les plans sur bitwarden.com.

Note de l'éditeur : Cet article a été initialement rédigé le 28 septembre 2021 et a été mis à jour le 23 juillet 2022.