Aller au contenu

Outils d'authentification multi-facteurs

Outils d'authentification multi-facteurs cover image

Clés de sécurité matérielles

YubiKey

Recommendation

YubiKeys

Les YubiKeys font partie des clés de sécurité les plus populaires. Certains modèles de YubiKey disposent d'un large éventail de fonctionnalités telles que : Universal 2nd Factor (U2F), FIDO2 et WebAuthn, Yubico OTP, Personal Identity Verification (PIV), OpenPGP, TOTP et HOTP.

L'un des avantages de la YubiKey est qu'une seule clé peut faire presque tout (YubiKey 5) ce que vous pouvez attendre d'une clé de sécurité matérielle. Nous vous encourageons à faire le quiz avant d'acheter afin d'être sûr de faire le bon choix.

Page d'accueil

Le tableau de comparaison montre les fonctionnalités de chaque YubiKeys et leurs différences. Nous vous recommandons vivement de choisir des clés de la série YubiKey 5.

Les YubiKeys peuvent être programmées à l'aide du Gestionnaire YubiKey ou de l'Outil de Personnalisation YubiKey. Pour gérer les codes TOTP, vous pouvez utiliser le Yubico Authenticator. Tous les clients de Yubico sont open source.

Pour les modèles qui supportent HOTP et TOTP, il y a 2 emplacements dans l'interface OTP qui peuvent être utilisés pour HOTP et 32 emplacements pour stocker les secrets TOTP. Ces secrets sont stockés et chiffrés sur la clé et ne sont jamais exposés aux appareils sur lesquels elle est branchée. Une fois qu'une graine (secret partagé) est donnée à l'authentificateur Yubico, celui-ci ne donnera que les codes à six chiffres, mais jamais la graine. Ce modèle de sécurité permet de limiter ce qu'un attaquant peut faire s'il compromet l'un des appareils exécutant le Yubico Authenticator et rend la YubiKey résistante à un attaquant physique.

Avertissement

Le micrologiciel des YubiKeys n'est pas open source et ne peut pas être mis à jour. Si vous souhaitez obtenir des fonctionnalités dans des versions plus récentes du firmware, ou si la version du firmware que vous utilisez présente une vulnérabilité, vous devrez acheter une nouvelle clé.

Nitrokey

Recommendation

Nitrokey

Nitrokey possède une clé de sécurité qui prend en charge FIDO2 et WebAuthn appelée la Nitrokey FIDO2. Pour la prise en charge de PGP, vous devez acheter l'une de leurs autres clés comme la Nitrokey Start, la Nitrokey Pro 2 ou la Nitrokey Storage 2.

Page d'accueil

Le tableau de comparaison montre les fonctionnalités de chaque Nitrokey et leurs différences. La Nitrokey 3 répertoriée aura un ensemble de fonctionnalités combinées.

Les modèles de Nitrokey peuvent être configurés à l'aide de l'application Nitrokey.

Pour les modèles qui supportent HOTP et TOTP, il y a 3 emplacements pour HOTP et 15 pour TOTP. Certaines Nitrokeys peuvent faire office de gestionnaire de mots de passe. Ils peuvent stocker 16 identifiants différents et les chiffrer en utilisant le même mot de passe que l'interface OpenPGP.

Avertissement

Bien que les Nitrokeys ne divulguent pas les secrets HOTP/TOTP à l'appareil auquel ils sont connectés, le stockage HOTP et TOTP n'est pas chiffré et est vulnérable aux attaques physiques. Si vous cherchez à stocker des secrets HOTP ou TOTP, nous vous recommandons vivement d'utiliser plutôt un YubiKey.

Avertissement

La réinitialisation de l'interface OpenPGP sur une Nitrokey rendra également la base de données des mots de passe inaccessible.

La Nitrokey Pro 2, la Nitrokey Storage 2 et la Nitrokey 3 à venir prennent en charge la vérification de l'intégrité du système pour les ordinateurs portables dotés du micrologiciel Coreboot + Heads .

Le micrologiciel de la Nitrokey est open source, contrairement à la YubiKey. Le micrologiciel des modèles NitroKey modernes (à l'exception de la NitroKey Pro 2) peut être mis à jour.

Critères

Veuillez noter que nous ne sommes affiliés à aucun des projets que nous recommandons. En plus de nos critères de base, nous avons développé un ensemble d'exigences claires pour nous permettre de fournir des recommandations objectives. Nous vous suggérons de vous familiariser avec cette liste avant de choisir d'utiliser un projet, et de mener vos propres recherches pour vous assurer que c'est le bon choix pour vous.

Cette section est récente

Nous travaillons à l'établissement de critères définis pour chaque section de notre site, et celles-ci peuvent être sujet à changement. Si vous avez des questions sur nos critères, veuillez poser la question sur notre forum et ne supposez pas que nous n'avons pas pris en compte un élément dans nos recommandations s'il ne figure pas dans la liste. De nombreux facteurs sont pris en compte et discutés lorsque nous recommandons un projet, et la documentation de chacun d'entre eux est en cours.

Exigences minimales

  • Doit utiliser des modules de sécurité matériels de haute qualité et resistant aux attaques physiques.
  • Doit prendre en charge la dernière spécification FIDO2.
  • Ne doit pas permettre l'extraction de la clé privée.
  • Les appareils qui coûtent plus de 35 $ doivent prendre en charge la gestion d'OpenPGP et de S/MIME.

Dans le meilleur des cas

Nos critères de cas idéal représentent ce que nous aimerions voir d'un projet parfait dans cette catégorie. Nos recommandations peuvent ne pas inclure tout ou partie de cette fonctionnalité, mais celles qui l'inclus peuvent être mieux classées que les autres sur cette page.

  • Devrait être disponible en format USB-C.
  • Devrait être disponible avec NFC.
  • Devrait prendre en charge le stockage de secrets de TOTP.
  • Devrait prendre en charge les mises à jour sécurisées du micrologiciel.

Applications d'authentification

Les applications d'authentification implémentent une norme de sécurité adoptée par l'Internet Engineering Task Force (IETF) appelée Mots de Passe à Usage Unique Basé sur le Temps, ou Time based One Time Password (TOTP). Il s'agit d'une méthode par laquelle les sites web partagent avec vous un secret qui est utilisé par votre application d'authentification pour générer un code à six chiffres (généralement) basé sur l'heure actuelle, que vous saisissez lorsque vous vous connectez pour que le site web puisse le vérifier. En général, ces codes sont régénérés toutes les 30 secondes, et dès qu'un nouveau code est généré, l'ancien devient inutile. Même si un pirate obtient un code à six chiffres, il n'a aucun moyen d'inverser ce code pour obtenir le secret original, ni de prédire quels seront les codes futurs.

Nous vous recommandons vivement d'utiliser des applications TOTP mobiles plutôt que des alternatives de bureau, car Android et IOS offrent une meilleure sécurité et une meilleure isolation des applications que la plupart des systèmes d'exploitation de bureau.

ente Auth

Recommendation

logo ente Auth

ente Auth est une application gratuite et open source qui stocke et génère des jetons TOTP sur votre appareil mobile. Elle peut être utilisée avec un compte en ligne pour sauvegarder et synchroniser vos jetons sur tous vos appareils (et y accéder via une interface web) de manière sécurisée et chiffrée de bout en bout. Elle peut également être utilisée hors ligne sur un seul appareil, sans qu'aucun compte ne soit nécessaire.

Page d'accueil

Téléchargements

Aegis Authenticator (Android)

Recommendation

Logo Aegis

Aegis Authenticator est une application gratuite et open-source pour Android qui permet de gérer vos jetons de vérification en 2 étapes pour vos services en ligne. Aegis Authenticator fonctionne complètement hors ligne/localement, mais inclut l'option d'exporter vos jetons pour les sauvegarder, contrairement à de nombreuses alternatives.

Page d'accueil

Téléchargements

Critères

Veuillez noter que nous ne sommes affiliés à aucun des projets que nous recommandons. En plus de nos critères de base, nous avons développé un ensemble d'exigences claires pour nous permettre de fournir des recommandations objectives. Nous vous suggérons de vous familiariser avec cette liste avant de choisir d'utiliser un projet, et de mener vos propres recherches pour vous assurer que c'est le bon choix pour vous.

Cette section est récente

Nous travaillons à l'établissement de critères définis pour chaque section de notre site, et celles-ci peuvent être sujet à changement. Si vous avez des questions sur nos critères, veuillez poser la question sur notre forum et ne supposez pas que nous n'avons pas pris en compte un élément dans nos recommandations s'il ne figure pas dans la liste. De nombreux facteurs sont pris en compte et discutés lorsque nous recommandons un projet, et la documentation de chacun d'entre eux est en cours.

  • Le code source doit être accessible au public.
  • Ne doit pas nécessiter de connexion à internet.
  • Ne doit pas se synchroniser avec un service tiers de synchronisation/sauvegarde cloud.
    • La prise en charge facultative de la synchronisation E2EE avec des outils natifs du système d'exploitation est acceptable, par exemple la synchronisation chiffrée via iCloud.

Vous êtes en train de consulter la copie française de Privacy Guides, traduite par notre fantastique équipe de traducteurs sur Crowdin. Si vous remarquez une erreur, ou si vous voyez des sections non traduites sur cette page, n'hésitez pas à nous aider! Pour plus d'informations et de conseils, consultez notre guide de traduction.

You're viewing the French copy of Privacy Guides, translated by our fantastic language team on Crowdin. If you notice an error, or see any untranslated sections on this page, please consider helping out! For more information and tips see our translation guide.