opensk
Produits et Services PRODUITS & SERVICES

OpenSK : le projet de clé de sécurité open-source lancé par Google

Vous souhaitez utiliser des clés de sécurité matérielles pour vous connecter aux services en ligne de manière plus sécurisée ? Eh bien, vous pouvez maintenant créer la vôtre à partir de zéro, grâce à un projet open-source que Google vient de lancer récemment.

Google a sorti une implémentation open-source appelée OpenSK. Il s’agit d’un firmware que vous pouvez installer sur votre propre clé USB, en la transformant en une clé opérationnelle de type FIDO ou U2F.

FIDO est une norme d’accès sécurisé en ligne via un navigateur qui va au-delà des mots de passe. Il en existe aujourd’hui trois versions : Universal Second Factor (U2F), Universal Authentication Factor (UAF) et FIDO2.

UAF gère l’authentification biométrique, tandis qu’U2F permet aux utilisateurs de s’authentifier à l’aide de clés de sécurité matérielles que vous pouvez brancher sur un port USB ou utiliser avec un lecteur de type NFC. Cette technique fonctionne comme une couche supplémentaire en plus de votre seul mot de passe habituel.

FIDO2 supprime complètement les mots de passe en passant par une clé matérielle qui utilise un protocole d’authentification appelé WebAuthn. Cette méthode utilise le jeton numérique sur votre clé de sécurité pour vous connecter directement à un service en ligne compatible.

À ce jour, Yubikey et Google ont tous deux été des fournisseurs populaires de clés compatibles FIDO, mais ils l’ont fait en utilisant leur propre matériel et logiciel propriétaires. Google espère que la mise à disposition d’une version open-source du firmware FIDO favorisera l’adoption plus large de cette norme.

Google a conçu le firmware OpenSK pour qu’il fonctionne sur un dongle Nordic, qui est une petite carte sans boîtier avec un connecteur USB. Il supporte tous les canaux de communication pris en charge par FIDO2, n’incluant pas seulement l’USB, mais aussi ceux sans fil comme le Bluetooth Low Energy (BLE) et les communications en champ proche (NFC). Ainsi vous pouvez utiliser une puce Nordic flashée avec OpenSK comme clé de sécurité sans fil si vous le souhaitez.

En tant que projet open-source, certaines mises en garde s’imposent, rendant ainsi cette initiative plus proche du projet de recherche que d’une alternative officielle aux clés de sécurité fabriquées et dédiées aux cartes matériellement libres (hacker-board). D’une part, Google n’a testé le firmware qu’avec deux cartes Nordic : la nRF52840-DK et la nRF52840-dongle. Il n’y a aucune raison pour que vous ne puissiez pas l’essayer sur d’autres cartes, mais les chances que cela fonctionne sont faibles. De plus, alors que Google a testé le firmware en intégrant le CTAP 2.0, qui est un protocole faisant partie de FIDO2 et permettant aux clés numériques de fonctionner avec un navigateur, l’Alliance FIDO n’a pas certifié OpenSK, signifiant ainsi que ce projet ne peut être considéré comme ‘certifié FIDO‘.

Enfin, il existe la cryptographie. Google n’a pas encore connecté le code de cryptographie intégré au matériel avec son firmware. Au lieu de cela, il a développé les algorithmes de cryptographie lui-même dans Rust. Google a déclaré que :

Ces implémentations sont des codes qui restent du domaine de la recherche en matière de qualité et n’ont pas été examinés. Ils n’offrent pas de garanties dans la durée et ne sont pas conçus pour résister aux attaques par canal auxiliaire.

Rust est un langage connu pour ses mesures de sécurité comme la sécurisation de la mémoire. Le firmware comprend également un système d’exploitation appelé TockOS, qui est placé dans une sandbox afin que les évènements qui se produisent au niveau du firmware n’affectent pas le noyau sous-jacent.

À proprement parler, il s’agit, pour les pirates ciblant le matériel, plus d’un moyen d’expérimenter que de produire des clés de sécurité matérielles certifiées et sécurisées, c’est pourquoi Google a pris soin d’utiliser le terme “clé développeur” dans son article de blog sur OpenSK. Pourtant, nous sommes sûrs que cela n’empêchera pas certains individus de le faire de toute façon. Google a même fourni des plans d’impression 3D afin d’obtenir un boitier Nordic, pour ceux qui le souhaitent.

Ce n’est pas le seul toolkit FIDO open-source disponible. CrowdSupply a lancé avec succès le financement participatif de Somu, une minuscule clé de sécurité open-source prenant en charge FIDO2. Il existe également une autre clé appelée Solo. Les deux sont conçues pour un usage grand public, tandis que Solo Hacker est destinée aux hackers et aux fabricants qui souhaitent bricoler en se lançant dans des expérimentations.

Dernier podcast Sophos-Naked Security


Billet inspiré de Google launches open-source security key project, OpenSK, sur Sophos nakedsecurity.