Avec iOS 13.3, Safari prend en charge les clés d'authentification NFC, USB et Lightning

Mickaël Bazoge |

La deuxième bêta d'iOS 13.3 ouvre à Safari le support des clés d'authentification NFC, USB ou Lightning répondant au cahier des charges FIDO2. Cela signifie que l'on pourra s'identifier sur un site web depuis le navigateur d'Apple, avec des clés comme la récente YubiKey 5Ci dotée d'un connecteur Lightning. Cette clé fonctionne avec les principaux gestionnaires de mots de passe, dont 1Password et Dashlane, ainsi qu'avec les protocoles d'authentification Okta et XTN. Mais au rayon des navigateurs web, seul Brave était pris en charge.

Le support de Safari va permettre à cette clé, ainsi qu'à tous les produits du même genre, de gagner en intérêt sur la plateforme iOS. Une bonne nouvelle pour les fabricants de ces périphériques, mais aussi pour les utilisateurs qui cherchent une solution efficace pour le deuxième facteur de connexion à leurs services en ligne.

Tags
avatar Olivier S | 

Excellente nouvelle !
Enfin un esprit d’ouverture d’Apple sur la sécurité

avatar shaba | 

Il y a beaucoup de sites qui prennent en charge ce genre de clés ?

avatar Hideyasu | 

@shaba

Si ça fonctionne avec 1password j’imagine qu’il y en a pas mal oui, sûrement ceux où on peut enregistrer un Mdp tout simplement

avatar shaba | 

@Hideyasu

Ok merci 😊

avatar Sgt. Pepper | 

@Hideyasu

Cela n’a vraiment rien à voir avec le support du site en directe.

Le but est de sécuriser l’accès du site avec un double facteur physique (logon/pwd+ clef Fido) ou n’accepter que la clef.
Et d’empêcher l’accès en login/password seul ( brut force, leaks,keylogger)

avatar Hideyasu | 

@Sgt. Pepper

Ok, c’était une hypothèse merci de l’info

avatar nayals | 

@shaba

Dans les sites grands publics, pas tant que ça pour l’instant, principalement Google, Facebook, Twitter et Dropbox.

Mais ça pourrait s’améliorer dans les années à venir.

avatar shaba | 

@nayals

👍 merci

avatar totoguile | 

C'est une bonne nouvelle ca !

avatar dodomu | 

On peut donc dire que cette mise à jour apporte une meilleure sécurité à la clé ? 🤗

avatar Regios73 | 

@dodomu

😂

avatar johndoo | 

Honnêtement je ne suis pas si sure d’une sécurité encore plus accrue avec ce type de sécurité et si on perd la clé où on nous l’a vole ?
Lastpass et Dash Lane proposent aussi ce type de solutions il me semble? Hummm🤔

avatar Sgt. Pepper | 

La liste des Services compatibles avec la clef FIDO2👇

https://www.yubico.com/works-with-yubikey/catalog/

avatar scanmb | 

Comment cela fonctionne t il, svp ?

avatar nayals | 

@scanmb

Il y a une master private key (matérielle) dans la Yubikey (et équivalent). Quand dans ton compte Google par exemple tu actives ta Yubikey comme 2e facteur, la Yubikey va générer un nombre aléatoire et dériver (avec sa master key) une autre clé privée, et une clé publique. La Yubikey va envoyer la clé publique et le nombre aléatoire à Google.

Ensuite, quand tu veux te login, Google envoie à ta clé le nombre aléatoire précédemment généré, ainsi qu’un « challenge » pour montrer qu’elle peut bel et bien régénérer la clé privée associée à la clé publique enregistrée.

Le principal intérêt est que ça empêche le phishing, car le navigateur envoie aussi à la clé le nom de domaine de la page que tu es en train de visiter. Donc pour google.fake.com, la clé verra que ça ne correspond à rien et ne donnera pas de credentials. Grosso modo.

avatar scanmb | 

@nayals

Super
Merci 👍🏽
Cordialement

avatar Sgt. Pepper | 

@nayals

Non ce n’est pas exactement le protocol Web Authn.

Le site envoie un challenge (random) au browser qui appel la clef avec ce challenge et l’identifiant du site.
La clef signe directement avec la clef privée (associée au site) une concat de données générées par la clef et un hash des données reçues du browser (challenge,..).

Signature qui sera vérifié par le site avec la clef publique associée.

avatar nayals | 

@Sgt. Pepper

On est d’accord, à ceci près que « la clé privée associée au site » n’est (généralement) pas stockée dans la clé (en tout cas pas dans le cas des Yubikey), d’où la génération d’un nombre aléatoire envoyé au site.

https://www.yubico.com/2014/11/yubicos-u2f-key-wrapping/

avatar Sgt. Pepper | 

@nayals

Parce que tu mélanges l’ancienne norme U2F (ton post) avec FIDO2 (WebAuthn) qui le remplace.

La News concerne bien FIDO2.

avatar Sgt. Pepper | 

J’aimerai aussi que mon iPhone serve de Clef FIDO2 🙏

Apple doit se bouger : Safari Techno Preview ( Dec 2018) a apporté des évolutions timides mais pas grand chose depuis 😩

CONNEXION UTILISATEUR