De nombreuses applis que j’utilise exigent une authentification à deux facteurs (une étape supplémentaire dans le processus de connexion pour confirmer que vous êtes bien celui que vous prétendez être). Autrefois, cela signifiait que je devais sortir mon téléphone, ouvrir une appli d’authentification et saisir manuellement un code unique. Et si je cherchais le code, ce qui, soyons honnêtes, était fréquent, je devrais répéter le processus.
Chez Zapier, cependant, nous utilisons une YubiKey pour ce faire. C'est bien plus pratique. Et pour le plus grand plaisir de notre équipe de sécurité, il est plus sécurisé que les autres appareils d’authentification à deux facteurs. Voici pourquoi et comment tu peux également configurer ta YubiKey.
Table des matières:
Qu'est-ce qu'une YubiKey ?

La YubiKey est un appareil qui rend l’authentification à deux facteurs (2FA) aussi simple que possible. De nombreuses appli, services en ligne et ordinateurs appliquent 2FA chaque fois qu’un utilisateur souhaite se connecter. Au lieu qu’un code vous soit envoyé par SMS ou généré par une appli d’authentification, vous appuyez sur un bouton de votre YubiKey et vous êtes connecté. C'est ça.
Nous pourrions entrer dans les calculs et détailler les différents protocoles pris en charge par de tels appareils, mais tout ce que tu dois probablement savoir, c'est que chaque appareil possède un code unique, qui est utilisé pour générer des codes permettant de confirmer ton identité.
YubiKey n'est pas le seul appareil d'authentification numérique 2du marché, mais le plus populaire. Il existe un certain nombre d'appareils similaires, et la plupart des informations décrites dans cet article s'y appliquent.
Qu’est-ce que l’authentification à deux facteurs ?
Nous avons beaucoup écrit sur l’authentification à deux facteurs, mais il est nécessaire de passer en revue les bases avant de pouvoir expliquer pourquoi le matériel 2les périphériques FA sont une bonne idée.
Les mots de passe sont nuls. La plupart sont trop faciles à deviner pour les pirates informatiques, et les autres sont trop longs ou trop compliqués pour que les humains puissent s'en souvenir. Même les mots de passe sécurisés ne servent à rien une fois qu'ils ont été divulgués, et les fuites sont pratiquement inévitables. Pour ces raisons et bien d'autres encore, c'est une bonne idée de ne pas se fier uniquement aux mots de passe. C’est toute l’idée derrière l’authentification à deux facteurs.
Avec l’authentification à deux facteurs, vous avez besoin de deux choses pour vous connecter : votre mot de passe, oui, mais aussi quelque chose d’autre qui prouve que vous êtes bien celui que vous prétendez être. Tu connais probablement deux manières de faire 2FA :
Codes SMS ou e-mail. Les applications vous envoient un code, que vous devez saisir avant de pouvoir vous connecter. C'est la méthode la plus simple à configurer car tu n'as pas besoin d'installer de logiciel ni d'acheter de matériel. C’est aussi le moins sécurisé car les e-mails et les SMS sont tous deux non cryptés et facilement compromis.
Applications d’authentification. Les applications auxquelles vous souhaitez vous connecter vous demanderont un code que vous pourrez récupérer en ouvrant une appli sur votre téléphone, comme Google Authenticator ou Authy. C’est beaucoup plus sûr que de s’appuyer sur les SMS ou les e-mails, mais ce n’est pas vraiment pratique : vous devez prendre votre téléphone, ouvrir une appli, puis entrer manuellement un code.
La YubiKey représente une troisième méthode d'authentification 2 : l'authentification matérielle. Les applications vous demandent de brancher un outil comme une YubiKey sur votre appareil et d’appuyer sur un bouton. La YubiKey envoie ensuite un code unique que le service peut utiliser pour confirmer ton identité.
Il y a bien plus de nuances que cela, bien sûr. Mais dans l'ensemble, tu dois juste savoir que le matériel 2FA est plus sûr et plus facile à utiliser.
Pourquoi une YubiKey est-elle meilleure que les autres appareils FA 2 ?
Nous y sommes un peu parvenus, mais voyons pourquoi une YubiKey (et des appareils similaires) est meilleure que d’autres formulaires de FA 2. Pour n'en nommer que quelques-unes :
Pratique. Les SMS, les e-mails et les applications d’authentification nécessitent toutes que vous saisissiez ou copiez-colliez manuellement un code. Avec la YubiKey, il suffit d'appuyer sur la touche d'un appareil connecté à ton ordinateur pour saisir le code.
Des codes bien plus longs. Les autres méthodes d'authentification 2ne t'envoient généralement qu'un code à six chiffres pour confirmer ton identité, principalement parce qu'il ne serait pas raisonnable de s'attendre à ce que les humains saisissent bien plus que cela. Les YubiKeys ne t'obligent pas à saisir de code manuellement. Tu peux donc utiliser des codes beaucoup plus longs. C'est plus sûr.
Facile à migrer. As-tu acheté un nouvel ordinateur ? Il suffit de débrancher ta YubiKey de l'ancienne et de la brancher sur la nouvelle. Vous pourrez toujours vous connecter à toutes vos applications, comme auparavant. Vous pouvez également utiliser une seule clé pour vous connecter à votre compte sur plusieurs ordinateurs.
C'est vraiment difficile à pirater. Il est relativement facile pour les pirates de compromettre votre e-mail ou votre SMS. Il est beaucoup plus difficile, voire impossible avec les technologies actuelles, de falsifier les codes générés par un appareil unique.
Encore une fois, il y a beaucoup plus de nuances ici, mais ce sont les grands avantages de la YubiKey par rapport aux autres formes de 2FA.
Comment configurer ta YubiKey
La configuration de votre YubiKey n’est pas si différente de la configuration d’une appli 2. Si vous utilisez une YubiKey (et non un autre authentificateur matériel), voici ce que vous devez faire :
Branche ta YubiKey.
Allez dans Yubico.com/setup et cliquez sur votre appareil.
Dans la section Comptes et services compatibles, parcourez la liste des applications et services pris en charge et sélectionnez ceux que vous souhaitez sécuriser avec votre appareil.
Votre sélection apparaîtra dans une liste à côté des appli disponibles.
Cliquez sur l’icône de lecture à côté de l’appli sélectionnée et suivez les instructions de configuration vidéo. Ou cliquez sur la flèche diagonale dans une case pour accéder à la version texte.

La configuration variera en fonction de l’appli et de l’appareil, mais je vais configurer Google sur mon ordinateur à titre d’exemple.
Cliquez sur le lien des instructions textuelles.
Les instructions pour ajouter votre YubiKey à votre compte Google apparaîtront.
Cliquez sur Inscrire votre clé de sécurité.
Insère ta YubiKey dans le port USB de ton ordinateur, puis touche ou appuie sur le bouton.
Autorisez votre navigateur à accéder à votre YubiKey, si nécessaire.
En option, vous pouvez donner un nom à votre YubiKey, ce qui est utile si vous avez des clés de sécurité.
C'est ça. Vous pouvez désormais utiliser votre YubiKey pour vous connecter à votre compte Google sur n’importe quel appareil. Répétez ce processus pour chaque compte que vous souhaitez verrouiller de cette manière.
Qu'est-ce qu'une YubiKey : FAQ
Tu as encore des questions sur l'utilisation de ta YubiKey ? Consultez les réponses à ces questions fréquemment posées.
Comment puis-je arrêter de trigger accidentellement ma YubiKey ?
Je possède la YubiKey 5C Nano, un minuscule dongle USB-C que je laisse branché sur mon ordinateur portable. Il ne s’agit pas tant d’un bouton que d’une fine bande de métal qui se trigger lorsqu’on la touche, ce qui, pour moi, se produit à chaque fois que je prends mon ordinateur portable.
Lorsque vous touchez la YubiKey, elle pense que vous essayez de vous connecter à quelque chose, ce qui entraîne le remplissage d’un code sécurisé dans la zone de texte que vous avez ouverte, puis l’appui sur la touche Entrée. Le résultat, sur Slack, ressemble à ceci :
Ces codes sont générés par OTP, l'un des protocoles que ta YubiKey utilise pour se connecter aux serveurs. Vous pouvez empêcher complètement cela de se produire en désactivant OTP, mais cela peut interrompre votre capacité à vous connecter à certains services.
Je pense que pour la plupart des utilisateurs, il est préférable de configurer OTP pour ne pas trigger à moins que vous ne mainteniez le bouton enfoncé pendant trois secondes. YubiKey propose des instructions pour résoudre ce problème, mais elles sont assez difficiles à suivre. En voici un résumé.
Télécharge le gestionnaire YubiKey sur ton ordinateur.
Installez-le.
Ouvre le programme.
Cliquez sur Applications, puis sélectionnez OTP.
Par défaut, la touche courte de l'emplacement 1 est configurée ; la touche longue de l'emplacement 2 est vide. Cliquez sur Permuter pour modifier cela.
Maintenant, vous vous êtes acheté 2.9 secondes pour toucher librement votre YubiKey sans qu’elle ne crache accidentellement des bêtises dans votre appli de discussion d’équipe.
Note: Si vous avez déjà configuré l’emplacement 2 à d’autres fins, la configuration devient légèrement plus compliquée. Voici les instructions de Yubico.
Est-ce vraiment mauvais de trigger accidentellement ma YubiKey dans un salon de discussion ?
Si vous collez accidentellement votre code YubiKey dans quelque chose comme Slack ou un éditeur de texte, ce n’est pas une raison pour paniquer immédiatement : il n’est pas tout à fait évident à qui il appartient ou à quoi il peut être utilisé pour se connecter. Et, si vous l’avez publié dans Slack, j’espère que vos collègues n’essaient pas de vous pirater.
Cela dit, il est toujours possible qu'une fuite de code d'authentification 2puisse permettre à un hacker de faire preuve de créativité, alors essaie de ne pas en prendre l'habitude.
Tu n'es pas impuissante non plus si cela se produit. Chaque code YubiKey est unique et devient invalide chaque fois que vous utilisez l’appareil pour vous connecter à quelque chose. Mais si tu es inquiète, tu peux invalider les codes manuellement. Collez simplement votre code divulgué sur ce site Web.
Puis-je utiliser une seule YubiKey sur plusieurs appareils ?
Oui ! Vous pouvez utiliser votre YubiKey pour vous connecter sur autant d’appareils que vous le souhaitez, à condition qu’il y ait un emplacement pour cela. Il vous suffit de brancher votre YubiKey sur n’importe quel ordinateur et de vous connecter comme vous le feriez normalement.
Et si je perds ma YubiKey ?
Ce n'est pas génial. Sans votre YubiKey, vous ne pourrez probablement pas vous connecter. Mais il y a certaines choses que tu peux faire pour réduire les risques.
Utilisez des codes de sauvegarde. La plupart des services qui prennent en charge 2FA (y compris YubiKey) vous permettent de créer des codes de sauvegarde. Fais en sorte de le faire et de conserver les codes dans un endroit sûr, idéalement hors ligne. Pense à les imprimer et à les mettre dans une boîte verrouillée, si possible.
Ajoutez une clé de sauvegarde de sécurité. Vous pouvez acheter une deuxième YubiKey en guise de solution de secours, l'ajouter en option pour tous vos services, puis la stocker dans un endroit sûr (un coffre-fort différent de celui dans lequel se trouvent vos codes de sauvegarde, peut-être ?). Ou vous pouvez ajouter un autre type de FA 2appli à n’importe quel service que vous configurez avec votre YubiKey.
Si vous n’avez pas de codes de sauvegarde ou une autre méthode 2FA et que vous avez déjà perdu votre YubiKey, vous n’avez pas forcément de chance. La plupart des services qui proposent 2FA proposent une sorte de procédure de vérification pour se connecter après avoir perdu tes informations d'identification, mais attention : cela va prendre du temps et poser de nombreux problèmes. Il est de loin préférable d’être préparé, alors assurez-vous d’avoir des codes de sauvegarde dans un endroit sûr ou une deuxième méthode 2FA configurée.
Assurez-vous de supprimer votre YubiKey perdue en tant que méthode FA 2après avoir retrouvé l’accès à votre compte. Il y a de fortes chances que celui qui trouve votre YubiKey ne sache pas à quels comptes il donne accès, mais mieux vaut prévenir que guérir.
Pour clarifier : votre Yubikey ne stocke pas de noms d'utilisateur identifiables et ne stocke aucun de vos mots de passe. Quiconque trouve votre YubiKey n’a absolument aucun moyen de savoir à quels comptes elle peut se connecter. Cela change un peu si la personne qui trouve " avec " sait que c'est à toi, par exemple parce qu'elle l'a volée chez toi ou au bureau. Mais quiconque trouve une YubiKey dans la rue ou à l'aéroport ne pourra pas savoir de qui il s'agit.
Automatisez votre sécurité numérique
Personne n'est à l'abri des pirates informatiques et autres acteurs malveillants en matière de cybersécurité. Tout le monde, y compris les propriétaires de petites entreprises, est exposé à des problèmes de sécurité numérique. Prendre des mesures proactives peut améliorer l’efficacité de votre sécurité numérique contre toutes les menaces. Apprenez-en davantage sur la manière dont vous pouvez améliorer votre sécurité numérique grâce à l’automatisation.
Lectures connexes :
Cet article a été initialement publié en juillet 2020 par Justin Pot. La dernière mise à jour date de novembre 2023.