Il est devenu de plus en plus difficile de vous protéger ou de protéger votre entreprise contre les attaques de phishing et autres cybermenaces. Alors que certains se sont tournés vers l'authentification à deux facteurs (2FA) pour se protéger, d'autres ont choisi d'utiliser des clés de sécurité physiques pour le faire, et avec beaucoup plus de succès. Pour en savoir plus sur les clés de sécurité et sur la manière dont elles peuvent aider les organisations et les particuliers à protéger leurs comptes, TechRadar Pro s'est entretenu avec le chef de produit de Yubico, Guido Appenzeller.
Pouvez-vous nous parler un peu des origines de votre entreprise et de ce qui a conduit à la création de la première YubiKey?
En 2007, Stina et Jakob Ehrensvärd ont cofondé Yubico avec pour mission de faire d'Internet un endroit plus sûr pour tous. En 2008, la première YubiKey a été lancée, un appareil unique, inspiré du mot "ubiquité", qui rendrait la connexion sécurisée facile et accessible à tous. En 2011, Stina, Jakob et leurs trois enfants ont déménagé dans la Silicon Valley pour s'associer à des leaders d'opinion sur Internet, développer davantage la YubiKey et étendre les nouvelles normes d'authentification ouvertes à l'échelle mondiale. Aujourd'hui, la technologie de Yubico est mise en œuvre et appréciée par 9 des 10 plus grandes marques Internet et des millions d'utilisateurs dans 160 pays. La société est également l'un des principaux contributeurs aux normes ouvertes FIDO Universal 2nd Factor (U2F), FIDO2 et WebAuthn.
![]()
(Crédit d'image: wk1003mike / Shutterstock)
Où fait défaut l'authentification à deux facteurs pour arrêter le phishing et les attaques de type "man-in-the-middle"?
Toute forme d'authentification à deux facteurs (2FA) est plus sûre que zéro, mais il est important de noter que tous les 2FA ne sont pas créés égaux. Deux des méthodes 2FA les plus populaires sont les codes SMS (messagerie texte) ou les applications d'authentification mobile, qui reposent sur la recomposition ou le collage d'un code à usage unique d'un appareil ou d'une application à un autre. Non seulement cela peut être fastidieux pour les utilisateurs, mais il est également sujet aux erreurs. Ces méthodes reposent également sur l'accès mobile, ce qui est problématique dans les environnements où les appareils mobiles ne fonctionnent pas ou sont interdits. Peut-être le plus inquiétant, les méthodes de mot de passe à usage unique de 2FA restent vulnérables aux attaques de phishing et de l'homme du milieu (MITM). Et plus récemment, nous avons vu des attaques de logiciels malveillants voler à la fois le mot de passe du gestionnaire de mots de passe et le code unique d'un smartphone. Contre une telle attaque, un téléphone est essentiellement un dispositif d'authentification à facteur unique. Les clés de sécurité basées sur FIDO offrent un niveau de sécurité plus élevé tout en offrant une expérience utilisateur transparente. Les normes FIDO U2F et FIDO2 et les clés de sécurité compatibles exploitent la cryptographie à clé publique pour se protéger contre le phishing et les attaques de l'homme du milieu. Même si un utilisateur est tenu de remettre ses informations personnelles, comme dans le cas d'une attaque de phishing, une clé de sécurité FIDO ne peut pas être dupe. Les informations d'identification de l'utilisateur sont liées à l'origine, ce qui signifie que seul le site réel peut s'authentifier avec une clé. Les clés de sécurité sont également conçues pour fonctionner avec une seule touche, ce qui rend la connexion jusqu'à quatre fois plus rapide que les codes d'accès à usage unique.
Google a réussi à introduire des clés de sécurité dans ses propres bureaux pour arrêter le phishing en 2017. Connaissez-vous d'autres entreprises qui ont connu un succès similaire après avoir forcé leurs employés à utiliser des clés de sécurité?
Les statistiques convaincantes de Google sur son utilisation interne de YubiKeys ont été un catalyseur continu pour de nombreuses autres grandes entreprises qui cherchent à éliminer les prises de contrôle de compte et à réduire les coûts de support. En fait, Google a également publié des recherches supplémentaires montrant que les clés de sécurité matérielles sont la seule solution d'authentification viable capable d'empêcher les attaques de phishing à 100 % du temps. Bien qu'aucune autre entreprise n'ait publié de statistiques comparables sur Google, Yubico a connu un grand succès avec les implémentations de YubiKey dans plus de 4,000 XNUMX entreprises couvrant une gamme de secteurs allant de la technologie, de la finance, de la santé, de la fabrication et de l'éducation. et le gouvernement. Les principaux clients incluent Facebook, Virginia Tech, Dropbox, Salesforce, GitHub, Gov.UK, etc.
![Lightning YubiKey]()
(Crédit d'image: Yubico)
Votre entreprise a introduit la première clé de sécurité multi-système d'exploitation avec la YubiKey 5Ci. Comment les clients ont-ils réagi à la possibilité d'utiliser une seule clé de sécurité pour protéger tous leurs appareils?
La réponse à ce jour a été positive. La convivialité est une considération clé pour Yubico, et il est important que nos clients aient la meilleure expérience possible avec nos produits. Les gens passant de plus en plus de temps sur une multitude d'appareils mobiles, la YubiKey 5Ci était la prochaine étape naturelle de notre feuille de route de produits. Au moment de la sortie, Apple ne prenait pas encore en charge la technologie NFC ouverte sur les iPhones, ce qui rendait difficile pour les utilisateurs d'iOS de se déplacer de manière transparente entre les appareils avec une YubiKey. Le YubiKey 5Ci a été le premier produit à résoudre ce problème, et il a reçu les éloges de la presse et des clients. Avec le NFC ouvert d'Apple et la prise en charge récente de WebAuthn dans iOS et iPadOS Safari, nous sommes ravis de la prochaine version du YubiKey 5C NFC. En plus de la YubiKey 5 NFC, qui prend en charge USB-A et NFC, la YubiKey 5C NFC sera le prochain facteur de forme YubiKey qui fonctionnera de manière transparente sur tous les appareils dotés de connexions Near Field Communication (NFC) et USB-C.
![]()
(Crédit d'image: Google)
Google permet désormais d'utiliser les smartphones comme clés de sécurité. Quels sont les avantages d'utiliser une clé de sécurité physique au lieu de s'appuyer sur un smartphone pour l'authentification?
Il y a de grands avantages à utiliser une clé de sécurité physique au lieu de compter sur un smartphone pour 2FA. Alors que les utilisateurs se déplacent entre différentes plates-formes et différents appareils informatiques, il est essentiel de disposer de ce que nous appelons une « racine de confiance portable ». Par exemple, une clé de sécurité externe qui n'est pas liée à un appareil informatique à usage général réduit le vecteur d'attaque, est facilement déplacée entre les appareils ou peut être utilisée pour se connecter à des comptes sur un nouvel appareil, fonctionne dans les environnements d'accès mobile, tels que les centres d'appels ou hôpitaux, et apporte une garantie de sécurité élevée et fiable pour des opérations sensibles telles que le transfert de grosses sommes d'argent vers une application bancaire. Pour les entreprises, un deuxième avantage est qu'avec une YubiKey, il existe une solution d'authentification commune qui fonctionne de manière identique et possède les mêmes propriétés de sécurité pour tous les employés. Si les employés utilisent leurs propres téléphones, il existe une variété de fournisseurs, de systèmes d'exploitation et de versions de systèmes d'exploitation qui peuvent ou non être corrigés avec tous les correctifs de sécurité. L'année dernière, nous avons trouvé plus de 100 vulnérabilités pour iOS et Android. Il est très difficile d'atteindre un haut niveau de sécurité dans un tel environnement. C'est l'avenir que Yubico envisageait lorsque nous avons aidé à créer les nouveaux standards ouverts FIDO2 et WebAuthn. Nous voulions qu'il y ait une liste croissante d'options d'authentification forte pour les utilisateurs, et que certaines de ces options d'authentification soient intégrées directement dans les appareils. L'amélioration des options et de l'accessibilité est importante pour promouvoir un large support pour FIDO2 et WebAuthn. Cependant, les clés de sécurité continueront de jouer un rôle important dans ce paysage d'authentification en pleine croissance.
![YubiKey Organic]()
(Crédit d'image: Yubico)
Pouvez-vous nous dire quelque chose sur vos projets de lancement de YubiKeys avec reconnaissance d'empreintes digitales?
Pour le moment, nous n'avons pas beaucoup de détails à partager sur Bio YubiKey, et nous n'avons pas encore de date de sortie. Ce que nous pouvons partager, c'est qu'il tirera parti de la gamme complète des capacités d'authentification multifacteur (MFA) décrites dans les spécifications standard FIDO2 et WebAuthn avec prise en charge de la connexion biométrique et par code PIN.
Quel avenir pour Yubico et pouvez-vous partager des détails sur les produits ou mises à jour à venir?
En plus des lancements à venir de nos produits Yubikey Bio et YubiKey 5C NFC, Yubico investira massivement dans l'expansion de notre nouvelle offre basée sur les services : YubiEnterprise Services. YubiEnterprise Services comprend actuellement YubiEnterprise Subscription, et bientôt YubiEnterprise Delivery, pour améliorer le processus d'approvisionnement, de livraison et de gestion des YubiKeys. L'objectif des services de YubiEnterprise est que Yubico devienne un partenaire commercial plus précieux. L'idée est que nous éliminons une grande partie des complexités ou des obstacles logistiques liés aux ressources, permettant à nos clients de se concentrer sur la croissance de leur activité principale. Nous prévoyons également des développements passionnants avec FIDO2 et WebAuthn. Non seulement nous verrons une croissance et une adoption continues des principaux services et applications, mais nous commencerons également à voir ces normes utilisées pour des choses comme les paiements électroniques, l'identification et les transactions électroniques, les appareils connectés, etc.