Si vous possédez un Google Pixelbook, vous allez découvrir une nouvelle fonctionnalité plutôt intrigante. En effet, il semblerait que le bouton de mis en marche peut maintenant servir d’alternative à l’utilisation de jetons U2F (Universal 2nd Factor) pour l’authentification à deux facteurs (2FA).
Comme son nom l’indique, les jetons U2F tels que YubiKey sont des jetons hardware qui se connectent au niveau d’un port USB afin d’authentifier les utilisateurs qui saisissent un identifiant et un mot de passe sur les sites web compatibles.
Le protocole U2F (co-développé par Google et d’autres) améliore la sécurité, car un cybercriminel doit avoir le jeton en sa possession pour accéder à un compte. Etre en possession du mot de passe et du nom d’utilisateur ne suffit pas.
Ce protocole résiste également au phishing, car la clé privée du jeton est liée de manière cryptographique au(x) site(s) sur le(s)quel(s) il sera utilisé, comme par exemple Gmail. Quiconque incite à visiter le mauvais site web, s’apercevra que le jeton ne fonctionne pas.
Maintenant, il semble que ce protocole, ou un équivalent s’en rapprochant, peut être mis en œuvre simplement en appuyant brièvement sur le bouton d’alimentation d’un Google Pixelbook.
Étant donné que le Google Pixelbook ne dispose que de deux ports USB-C, il n’est pas difficile de comprendre pourquoi Google souhaite activer cette fonctionnalité pour les utilisateurs qui ont envie de dédier un port au jeton.
Étrange initiative, mais il semble que la fonctionnalité soit déjà active, et ce depuis le lancement du Google Pixelbook en septembre dernier, mais personne à part la communauté des développeurs ne l’avait remarquée.
L’activation de cette fonctionnalité implique le téléchargement de Chrome OS 66.0.3359.203 ou postérieur du mois de Mai à partir du canal stable, le passage en mode développeur, l’ouverture du développeur shell de Chrome OS et l’exécution de la commande correcte.
La fonctionnalité doit également être activée en tant que clé de sécurité supplémentaire à l’aide des paramètres de compte Google “2-step verification” (2SV), et en répétant ce processus pour les sites tiers prenant en charge l’authentification U2F.
Avant de passer aux avertissements, n’oubliez pas qu’elle reste une fonctionnalité expérimentale, et nous ne recommandons pas de l’activer si vous n’avez pas l’habitude d’utiliser le mode développeur et son shell.
Comment cela fonctionne-t-il et est-ce que l’utilisation d’une clé U2F est une alternative sécurisée ?
Le “comment ça marche” n’est pas encore clair, nous obligeant ainsi à superposer le fonctionnement général du protocole U2F à ce que Google aura concocté pour ses Pixelbooks.
NB : Notez bien que nous supposons qu’il s’agit de l’U2F et non du Time-based One-Time Password ou TOTP.
En principe (et nous le devinons ici), la clé privée qui devrait normalement être stockée sur le jeton U2F doit être cachée quelque part, comme le TPM (Trusted Platform Module), qui tous les Chromebooks possèdent.
Cela implique la nécessité d’une prise en charge par le firmware, expliquant ainsi probablement pourquoi ceux qui ont essayé, ont trouvé que le protocole ne fonctionnait pas sur un Chromebook par exemple, mais uniquement sur le Pixelbook.
Ou bien peut-être s’agit-il d’une initiative d’authentification complètement différente liée au développement de nouvelles technologies telles que WebAuthn.
Fait intéressant, tout le monde n’est pas enthousiaste à l’idée de brouiller la séparation physique entre le jeton et l’appareil, à commencer par Kevin C. Tofel, un journaliste cybersécurité qui s’intéresse aux Chromebooks et qui a déjà travaillé pour Google :
Pour moi, c’est comme avoir votre code PIN personnel imprimé sur votre carte de crédit. Je n’utiliserai jamais cette technique d’activation du 2FA car elle réduit à néant la force du second facteur d’authentification.
Il s’agit d’un argument valable concernant un problème qui pourrait être partiellement surmonté en facilitant l’accès au Pixelbook lui-même, en ajoutant par exemple l’équivalent du Face ID d’Apple ou de l’authentification Hello de Microsoft (bien qu’il existe toujours la possibilité qu’une faille de sécurité au niveau du périphérique permette de compromettre la clé privée à distance).
Pourtant, l’idée de transformer des équipements tels que les smartphones ou les ordinateurs en jetons est une tendance qui semble être là pour durer. Il semble d’ailleurs maintenant que les Chromebooks vont bientôt rejoindre cette tendance.
Billet inspiré de The Google Pixelbook power button is now a 2FA token, sur Sophos nakedsecurity.