Test Yubico YubiKey 5 NFC : notre avis

Mise à jour du 28 octobre 2021 : ce modèle est toujours d’actualité et la marque l’a décliné dans une version pour les ports USB-C à un prix légèrement supérieur. Une autre version plus modeste qui prend en charge un peu moins de protocole mais suffisamment pour un usage avec les services du quotidien pour les particuliers vient d’être dévoilée avec un port USB-C et le NFC,  la Yubico Security Key C à découvrir ici.

Le piratage de comptes est une plaie pour les utilisateurs d’internet et de l’informatique. Quelle que soit la technique utilisée, il suffit de deviner ou cracker un mot de passe pour voir s’envoler des données, perdre l’accès à un compte ou être rançonné. Les services en ligne ont mis en place des sécurités supplémentaires avec la double authentification, c’est à dire une vérification en plus du mot de passe. La clé USB de sécurité en fait partie.

Les comptes en ligne importants et sensibles sont nombreux, les plus connus sont probablement ceux de Google et de Microsoft, puis ceux des réseaux sociaux comme Facebook ou Twitter. Si vous êtes un tant soit peu prudent, vous avez déjà pris soin de configurer la double authentification sur votre compte. Lorsque vous tentez de vous connecter avec un nouvel appareil et après avoir saisi votre mot de passe, vous devez saisir un code envoyé par SMS ou faire une action sur votre smartphone pour autoriser la connexion.

Il existe aussi un autre moyen proposé par Yubico qui peut avoir quelques avantages : la clé de sécurité Yubikey. Le fabricant nous a fait parvenir deux types de clé, l’une au format Nano, très discrète, qui s’insère dans un port USB et qui servira uniquement pour les ordinateurs. L’autre est la clé YubiKey 5 NFC qui sera peut-être plus pratique à insérer d’une part, mais qui possède aussi le NFC pour une utilisation sans contact avec le smartphone.

Pour l’une ou l’autre, le packaging est simple et ne contient que la clé. Un cordon ou un anneau aurait pu être livré avec.

Cette clé possède une fiche USB qui est compatible avec tous les ports USB des appareils et s’insère très facilement. Le bouton central n’est pas là pour décorer. Sensible au toucher il va servir à valider la connexion. Ce n’est toutefois pas un lecteur d’empreinte.

Au dos se trouve le numéro de série unique, qui ne sert pas à l’authentification. L’orifice va servir à l’attacher à un cordon ou tout autre anneau de porté clé. Yubico indique que sa clé est résistante aux chocs et à l’eau, elle peut donc être attachée avec des clés et trainer au fond d’un sac sans problème.

Il n’y a pas de mode d’emploi pour utiliser la clé et il faut aller sur le site de Yubico pour accéder à la base de connaissances, malheureusement en anglais et qui aborde beaucoup de sujets techniques. La page qui liste les services compatibles renvoie vers une démo vidéo et/ou vers le guide de chaque service pour configurer la clé.

Nous avons choisi de la mettre en fonctionnement sur un compte Google. Cela se passe dans les paramètres de compte à la rubrique sécurité dans la section de la validation en deux étapes.

La validation en deux étapes était déjà configurée avec les SMS mais ajouter un autre moyen d’authentification ne pose pas de problème. En cas de perte de la clé Yubikey, nous pourrons toujours utiliser les notifications Push via l’appli Google sur smartphone ou l’envoi de SMS, l’utilisation de codes de secours etc.

L’assistant nous guide dans la procédure, avec l’intervention de la sécurité Windows, mais la configuration est simple et très rapide. A la fin il est possible de nommer cette clé si l’on en possède plusieurs.

Le premier test de connexion se fait sur un ordinateur. Lors de la connexion au compte Google sur un navigateur qui n’est pas encore connu, Google demande d’insérer la clé après avoir saisi le mot de passe.

La clé est détectée et une simple pression sur le bouton permet de confirmer. Nous sommes connecté.

L’étape suivante est le test via le smartphone. Sans avoir configuré la clé au préalable sur l’appareil mobile, une tentative de connexion est faite à un compte Google. Cette fois Google propose d’utiliser le Bluetooth, l’USB ou le NFC. C’est cette dernière option que l’on choisit.

Notre Pixel 3A XL reconnait instantanément la clé dès qu’on la plaque sur le dos de l’appareil. L’accès est accordé.

Le test avec Windows Hello quant à lui n’aboutira pas, n’espérez donc pas pouvoir déverrouiller votre session Windows avec votre YubiKey, et c’est bien dommage. Une fois dans les paramètres de comptes et d’options de connexion de Windows 10, on pensait pourtant pouvoir la configurer. Les seules options proposées sont celles d’insérer un code PIN ou de réinitialiser la clé.

Si on ignore dans quelles circonstances l’ajout de PIN peut être utile, la réinitialisation pourrait l’être. Mais ce n’était pas le but recherché. La documentation sur le site Yubico est riche mais technique et s’adresse plutôt aux « power users » et développeurs. D’autre part l’application Yubico fournie qui a aussi été testée ne permet pas non plus aux profanes de comprendre ou de suggérer quel type d’utilisation complémentaire on peut avoir de l’objet. Heureusement les guides fournis par les services compatibles permettent à Mr tout le monde de configurer la clé pour une utilisation de base.

Au final l’expérience avec cette clé de sécurité YubiKey 5 NFC de Yubico est plutôt bonne malgré la déception de ne pouvoir l’utiliser avec Windows Hello. Cela aurait constitué une bonne option pour les utilisateurs de PC portables qui n’ont ni lecteur d’empreinte ni caméra infrarouge compatible pour l’identification via la reconnaissance faciale. D’autre part un petit porte clé ou un cordon solide aurait pu être fourni pour l’ajouter à son trousseau ou l’accrocher facilement.

Pour une cinquantaine d’euros, la clé intéressera les personnes qui se connectent régulièrement à leur compte sur des ordinateurs qu’ils n’utilisent pas au quotidien. C’est aussi un moyen rassurant d’ajouter une méthode supplémentaire d’identification quand on en perd une (en l’absence de smartphone par exemple), d’autant que l’objet n’est ni encombrant, ni fragile.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici