Mon article récent sur les clés de sécurité a suscité un intérêt considérable, et un certain nombre des plus de 1 100 commentaires ont soulevé des questions sur le fonctionnement réel du système de clé de sécurité et sur sa fiabilité. En réponse, j’ai rassemblé cette liste de questions fréquemment posées pour dissiper quelques mythes et faire la lumière sur ce que nous savons – et ne savons pas – sur les clés de sécurité. Cette FAQ sera mise à jour de temps à autre pour répondre à d’autres questions de mérite, alors revenez régulièrement. Cet auteur ne surveillera ni ne répondra aux commentaires à l’avenir, mais peut toujours être contacté par e-mail.
Q : Je ne fais pas confiance à Google. Pourquoi devrais-je utiliser des clés d’accès ?
R : Si vous n’utilisez pas Google, les clés d’accès Google ne vous conviennent pas. Si vous n’utilisez pas de produits Apple ou Microsoft, la situation est similaire. L’article original était destiné aux centaines de millions de personnes qui utilisent ces plateformes majeures (même à contrecœur).
Cela dit, l’utilisation des clés d’accès s’étend rapidement au-delà des principaux acteurs technologiques. Dans un mois ou deux, par exemple, 1Password et d’autres tiers prendront en charge la synchronisation du mot de passe qui remplira les informations d’identification sur tous vos appareils de confiance. Alors que Google est plus avancé que tout autre service dans l’autorisation des connexions avec des clés de sécurité, de nouveaux services permettent aux utilisateurs de se connecter à leurs comptes avec des clés de sécurité presque chaque semaine. En bref, vous pouvez utiliser des clés d’accès même si vous ne faites pas confiance à Google, Apple ou Microsoft.
Q : Je ne fais confiance à aucune entreprise pour synchroniser mes identifiants de connexion ; Je ne les garde stockés que sur mes appareils locaux. Pourquoi devrais-je utiliser des clés de sécurité ?
A : Même si vous ne faites pas confiance n’importe quel service cloud pour synchroniser vos identifiants de connexion, les spécifications FIDO autorisent ce que l’on appelle des clés d’accès à un seul appareil. Comme leur nom l’indique, ces mots de passe fonctionnent sur un seul appareil et ne sont synchronisés via aucun service. Les clés d’accès à un seul appareil sont généralement créées à l’aide d’une clé de sécurité FIDO2, telle qu’une Yubikey.
Toutefois, si vous synchronisez des mots de passe via un navigateur, un gestionnaire de mots de passe, iCloud Keychain ou l’un des équivalents Microsoft ou Google, sachez que vous faites déjà confiance à un service cloud pour synchroniser vos informations d’identification. Si vous ne faites pas confiance aux services cloud pour synchroniser les clés d’accès, vous ne devez pas non plus leur faire confiance pour synchroniser vos mots de passe.
Q : Il semble extrêmement risqué de synchroniser les clés d’accès. Pourquoi devrais-je faire confiance à la synchronisation à partir de n’importe quel service ?
R : Actuellement, les spécifications FIDO exigent une synchronisation avec un chiffrement de bout en bout, ce qui, par définition, signifie que rien d’autre que l’un des appareils de confiance de l’utilisateur final n’a accès à la clé privée sous une forme non chiffrée (c’est-à-dire utilisable). Les spécifications n’imposent pas actuellement de ligne de base pour cet E2EE. Le mécanisme de synchronisation d’Apple, par exemple, repose sur le même cryptage de bout en bout que le trousseau iCloud utilise déjà pour la synchronisation des mots de passe. Apple a documenté la conception de ce service en détail ici, ici, ici, ici et ici. Les experts indépendants en sécurité n’ont pas encore signalé de divergences dans l’affirmation d’Apple selon laquelle il n’a pas les moyens de déverrouiller les informations d’identification stockées dans le trousseau iCloud.
iCloud est une fonctionnalité de sécurité fondamentale. Il incombe à l’entreprise d’affirmer qu’il est sûr de prouver ladite sécurité [sic]pas sur les autres pour réfuter [sic] il.
R : Comme indiqué précédemment, si vous ne faites pas confiance à Apple ou à toute autre société proposant la synchronisation, envisagez d’utiliser une clé d’accès pour un seul site. Si vous ne faites pas confiance à Apple ou à toute autre société proposant la synchronisation et vous ne voulez pas utiliser une clé d’accès pour un seul site, les clés d’accès ne sont pas pour vous, et il n’y a pas grand intérêt à lire les futurs articles d’Ars sur ce sujet. N’oubliez pas que si vous ne faites pas confiance à iCloud et al. pour synchroniser vos clés d’accès, vous ne devez pas leur faire confiance pour synchroniser les clés d’accès ou toute autre donnée sensible.
Q : Qu’en est-il des autres services de synchronisation ? Où est leur documentation ?
R : Google a de la documentation ici. 1Password dispose d’une documentation sur l’infrastructure qu’il utilise pour synchroniser les mots de passe (ici et ici). Encore une fois, si vous faites déjà confiance n’importe quel plate-forme de synchronisation de mots de passe basée sur le cloud, il est un peu tard pour demander de la documentation maintenant. Il y a peu, voire aucun, risque supplémentaire lié à la synchronisation des clés de sécurité.
Q : N’y avait-il pas un article récent sur les nouveaux logiciels malveillants macOS qui pourraient voler des éléments du trousseau iCloud ?
R : Il peut s’agir d’une référence à MacStealer, un logiciel malveillant qui a récemment fait l’objet d’une publicité sur des forums clandestins. Il n’y a aucun rapport d’utilisation de MacStealer dans la nature, et il n’y a aucune confirmation que le malware existe même. Nous ne connaissons que des annonces affirmant que de tels logiciels malveillants existent.
Cela dit, le colporteur publicitaire MacStealer dit qu’il est en version bêta précoce et se présente sous la forme d’un fichier DMG standard qui doit être installé manuellement sur un Mac. Le fichier DMG n’est pas signé numériquement, il ne s’installera donc pas à moins qu’un utilisateur final ne modifie les paramètres de sécurité de macOS. Même dans ce cas, une victime devrait continuer à saisir son mot de passe iCloud dans l’application après son installation avant que les données basées sur le cloud puissent être extraites.
D’après la description de MacStealer d’Uptycs, la société de sécurité qui a repéré l’annonce, je ne pense pas que les gens aient à s’inquiéter. Et même si le logiciel malveillant constitue une menace, cette menace ne s’étend pas seulement aux clés de sécurité, mais à tout ce que des centaines de millions de personnes stockent déjà dans iCloud Keychain.
Q : Les clés d’accès donnent le contrôle de vos informations d’identification à Apple/Google/Microsoft, à un service de synchronisation tiers ou au site auquel vous vous connectez. Pourquoi est-ce que je ferais ça ?
R : En supposant que vous utilisiez un mot de passe pour vous connecter à un service tel que Gmail, Azure ou Github, vous faites déjà confiance à ces sociétés pour mettre en œuvre leurs systèmes d’authentification d’une manière qui n’expose pas les secrets partagés qui vous permettent se connecter. La connexion à l’un de ces sites avec un mot de passe au lieu d’un mot de passe donne aux sites le même contrôle, ni plus ni moins, sur vos informations d’identification qu’ils avaient auparavant.
La raison en est que la partie clé privée d’un mot de passe ne quitte jamais les appareils chiffrés d’un utilisateur. L’authentification se produit sur la machine utilisateur. L’appareil de l’utilisateur envoie ensuite le site connecté à une preuve cryptographique que la clé privée réside sur l’appareil qui se connecte. La cryptographie impliquée dans ce processus garantit que la preuve ne peut pas être usurpée.