S’authentifier sur Google avec la FIDO U2F Security Key

I. Présentation

La sécurité d'accès à vos différents comptes sur Internet doit prendre de plus en plus d'importance, au vue des nombreuses attaques et fuites de mots de passe qu'il y a de nos jours. Le compte Google est un compte important, notamment parce qu'il donne accès à une multitude de services Google : Gmail, Google+, voir même Google Analytics, Google Adwords ou encore Google AdSense. J'aurais même pu citer Android puisqu'il est nécessaire d'ajouter un compte pour profiter de Google Play.

Bref, tout ça pour vous dire que perdre l'accès à un de ses comptes peut vite devenir inquiétant, alarmant, gênant, etc... Pour éviter de se retrouver dans une situation bancale, Google propose l'authentification à deux facteurs avec clé de sécurité.

Dernièrement, nous avons entendu parlé de la clé de sécurité FIDO U2F de chez Yubico qui peut être utilisée pour s'authentifier sur Google. Nous avons reçu deux exemplaires de cette clé afin de pouvoir l'essayer, ce qui me permet aujourd'hui de vous montrer comment configurer son compte Google pour utiliser la clé de sécurité comme deuxième facteur de connexion.

Pour fonctionner, la clé s'appuie sur la FIDO Alliance (Fast IDentity Online) et son standard d'authentification U2F (Universal 2nd Factor). L'U2F utilise un mécanisme de cryptographie asymétrique, ce dernier reposant sur un couple clé privé/clé publique, en associant le tout à la clé de sécurité Yubico.

II. Pourquoi utiliser l'authentification avec clé de sécurité ?

Utiliser ce type d'authentification améliorera considérablement la sécurité de votre compte Google. Je m'explique :

Lors d'une connexion à son compte Google, on saisit son mot de passe et ensuite on doit connecter la clé de sécurité, effectuer une pression sur la clé pour s'authentifier sur Google. La présence de la clé de sécurité (physiquement connectée à l'ordinateur) est nécessaire pour se connecter à son compte.

La limite : Google supporte l'authentification par clé de sécurité uniquement depuis le navigateur Chrome. De ce fait, si vous vous connectez avec Firefox (par exemple), vous ne pourrez pas utiliser votre clé, sur mobile cela sera le même problème (la clé ne pouvant être connectée). Par conséquent, ailleurs que sur Chrome vous devrez utiliser une autre méthode pour le deuxième facteur, comme le code de validation envoyé par SMS.

Pour le moment, en dehors de Chrome, on obtient le message suivant :

"Vous utilisez habituellement une clé de sécurité, mais vous devez utiliser un code de validation pour cette connexion."

III. Google - Configurer l'authentification en deux étapes

En premier lieu, connectez-vous à votre compte Google grâce à - seulement - votre mot de passe, profitez-en, ça va changer !

Note : Si vous avez déjà configuré l'authentification à deux étapes sur votre compte Google, vous pouvez passer cette étape.

Cliquez sur votre avatar, en haut à droite de la page d'accueil Google, puis sur "Compte".

Cliquez sur "Sécurité" car c'est cette section qui nous intéresses. Ensuite, cliquez sur "Configuration" pour la "Validation en deux étapes".

Google vous rappel les bienfaits de la validation en deux étapes, cliquez sur "Configurer" sur la droite pour continuer.

Indiquez votre numéro de téléphone portable pour que Google puisse envoyer un SMS (ou effectuer un appel vocal) afin de vous transmettre un code. Cliquez sur "Envoyer le code" pour le recevoir.

Saisissez le code reçu par SMS dans la zone de saisie prévue à cet effet et validez.

Google vous propose d'indiquer cet ordinateur comme fiable, cela peut-être utile afin de disposer d'un ordinateur depuis lequel vous pourrez vous connecter même si vous perdez votre mobile, puisque depuis cette machine vous aurez seulement besoin du mot de passe (pas besoin de SMS, ni de clé de sécurité). Sur une machine que vous êtes le seul à utiliser, ça peut être intéressant également. A vous de juger. Cliquez sur "Suivant".

Cliquez sur "Confirmer" pour terminer l'activation de la validation en deux étapes.

Note : Vous devez refaire la connexion à votre compte Google sur l'appareil Android où vous l'utilisez. D'ailleurs, sur l'appareil vous allez recevoir une notification de la part de Google.

Pour vous connecter depuis tout périphériques non définit comme fiable, vous devrez indiquer un code reçu par SMS en plus de votre mot de passe habituel. Passons à la mise en œuvre avec la clé FIDO U2F.

IV. Utiliser la FIDO U2F Security Key avec Google

Nous allons maintenant faire rentrer en jeu la FIDO U2F Security Key, elle permettra de remplacer le code d'activation SMS. A l'aide de Google Chrome, activez à l'onglet Sécurité de votre compte Google (comme précédemment).

Cliquez sur "Paramètres" en face de "Validation en deux étapes".

Cliquez sur l'onglet "Clés de sécurité" et sur "Ajouter une clé de sécurité".

Avant de continuer, assurez-vous que votre clé de sécurité est bien déconnectée. Cliquez sur "Enregistrer" et connectez votre clé :

Sur la page de Google, vous devriez voir un message : La clé a bien été enregistrée.

Cliquez sur "OK". Vous pouvez désormais voir que votre clé apparaît dans la liste des clés associées à votre compte :

Note : En cliquant sur le bouton "Ajouter une autre clé de sécurité" on peut ajouter d'autres clés, si besoin. On peut imaginer avoir une clé de secours.

Simulons maintenant une connexion à Google pour vérifier que la validation en deux étapes fonctionne. Attention tout de même, si votre machine est indiquée comme ordinateur fiable, vous devrez la supprimer avant (Sécurité, Ordinateurs inscrits, Demander des codes, Supprimer cet ordinateur de la liste des ordinateurs fiables) ou tester depuis une autre machine.

Après avoir saisit le mot de passe, vous devez connecter votre clé à l'ordinateur et effectuer une pression sur le bouton présent sur le dessus de la clé FIDO U2F.

L'authentification s'effectue, vous êtes désormais connecté à votre compte Google en toute sécurité. Pour ceux qui souhaitent acquérir une clé de sécurité (18 dollars) :

FIDO U2F Security Key