Disponibles en France depuis août dernier, les clés Titan sont censées apporter une sécurité supplémentaire pour l’accès aux services en ligne de Google et, ainsi, empêcher les piratages. En tant qu’utilisateur quotidien d’une clé de sécurité Yubikey 4, j’étais évidemment impatient de pouvoir tester cette nouvelle offre.
Celle-ci se présente sous la forme d’un pack d’une valeur de 55 euros, composé d’une clé USB-A/NFC et d’une clé Bluetooth. Pourquoi deux ? Pour pouvoir couvrir tous les terminaux du marché. En effet, la première permet d’utiliser l’authentification à double facteur sur un poste fixe ou sur un smartphone Android doté du NFC. Malheureusement, le NFC d’iOS ne peut pas être utilisé pour l’authentification. C’est pourquoi Google propose une seconde clé pour laquelle l’authentification à double facteur se fait via Bluetooth. En lui connectant un câble micro USB, celle-ci peut également réaliser des authentifications fortes sur poste fixe et, par conséquent, servir de roue de secours.
Une installation rapide et simple via USB
L’usage de la clé USB-A/NFC ne présente aucune difficulté. Un lien dans le manuel permet de se rendre directement vers la bonne page de paramétrage, où l’on peut ajouter la clé de sécurité sur le compte Google. Il suffit de suivre les indications et, quelques minutes plus tard, l’association est accomplie.
Sur un poste fixe, chaque fois que l’utilisateur se connectera à son compte Google depuis un quelconque navigateur, il devra montrer patte blanche en insérant la clé et en appuyant sur le disque doré. Attention : Google propose par défaut de faire confiance à ce navigateur et de ne plus demander de second facteur à l’avenir. Cette option est évidemment à décocher impérativement sur un poste en accès libre ou partagé avec d’autres personnes.
Sur un smartphone Android doté de NFC, l’usage est encore plus simple. Lors de la connexion d’un compte Google, il suffit d’approcher la clé USB-A/NFC du terminal, et la validation se fait automatiquement.
Les lourdeurs de l’authentification Bluetooth
L’utilisation de la clé Bluetooth sur un iPhone ou iPad, en revanche, est beaucoup moins fluide. Pour bénéficier de la double authentification, il faut d’abord installer l’application « Smart Lock » de Google et se connecter à son compte Google. L’application va automatiquement lancer la procédure d’association de la clé Bluetooth qui nécessite l’entrée d’un code à six chiffres indiqué sur le dongle.
Une fois cette installation terminée, chaque connexion à un compte Google depuis un navigateur ou une application inconnue nécessitera de lancer « Smart Lock » et d’actionner la clé Bluetooth pendant quelques secondes. Comparée à la méthode NFC sur Android, cette façon de faire est nettement plus pénible, et en plus cela ne fonctionne pas à tous les coups. On comprend mieux pourquoi Yubico a opté, dans le cas de l’iPhone, pour une authentification via la prise Lightning. Nous n’avons testé cette solution. Quoi qu’il en soit, celle de Google a au moins le mérite d’exister dans le cadre d’une offre packagée (pour plusieurs terminaux).
Comme les clés de sécurité Titan s’appuient sur le standard FIDO U2F (Universal 2nd Factor), elles peuvent être utilisées pour d’autres services que ceux de Google. La clé USB-A fonctionne ainsi parfaitement, sur poste fixe, pour une authentification forte d’un compte Facebook ou Twitter.
Sur Android, l’authentification par NFC sur Twitter passe également comme une lettre à la poste. Sur Facebook, en revanche, ce mode n’est bizarrement pas proposé. Parmi les autres services qui supportent FIDO U2F figurent GitHub, Dashlane, OneLogin ou Dropbox. À noter toutefois, que la double authentification pour tous ces services tiers ne sera pas disponible pour l’iPhone. Smart Lock, en effet, ne gère que les accès aux comptes Google. C’est évidemment regrettable.
Au final, que faut-il penser des clés de sécurité Titan ? C’est un très bon choix pour ceux qui disposent d’un iPhone et qui veulent sécuriser leurs comptes Google et quelques autres services. Même si l’authentification Bluetooth n’est pas optimale, les deux clés permettent alors de couvrir toutes les situations possibles, tout en offrant une redondance intrinsèque. Avec un prix de 55 euros, c’est certainement la meilleure solution du marché.
D’autres solutions existent
Pour les adeptes de smartphones Android, c’est déjà plus discutable. La clé Bluetooth terminera probablement au fond d’un tiroir et ne servira plus vraiment. Il pourrait être plus judicieux de dépenser alors sept euros de plus et d’acheter, par exemple, deux clés Yubico Security Key NFC. Un tel pack serait fonctionnellement équivalent et permettrait d’avoir une seconde clé réellement opérationnelle en cas de perte de la première.
Enfin, avant de faire un choix, il est préférable d’analyser les services ou applications que l’on souhaite sécuriser. Certains peuvent supporter le FIDO U2F, alors que d’autres utilisent des techniques comme le « One Time Password » ou le « Challenge-Response ». Un autre type de clé peut alors s’avérer nécessaire.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
