Accueil » Informatique » [Tuto] Configurer une Yubikey pour la double authentification Google U2F

[Tuto] Configurer une Yubikey pour la double authentification Google U2F

fido-u2fIl y a une bonne semaine, Google a annoncé le support de clé USB sur la norme FIDO U2F pour sa double authentification. En clair, c’est une sécurité apportée aux utilisateurs de Gmail ou Google Apps (le Gmail pour entreprise avec votre propre nom de domaine).

yubikey

La double authentification existe sur plusieurs formes :

D’abord il faut utiliser votre login et mot de passe classique pour accéder à votre compte Google (Gmail, Drive, Analytics … bref, n’importe quel service Google) ensuite une deuxième authentification vous sera demandée et ici plusieurs formules sont disponibles

1. L’envoi d’un SMS ou un appel sur votre numéro de téléphone avec un code à saisir
2. L’utilisation de l’applicatif Google Authenticator sur votre smartphone Android qui génère un code
3. L’utilisation d’une clé USB sous la norme Fido U2F

Évidement dans le cas où vous perdriez également votre téléphone ou votre clé, Google a pensé à tout : vous pouvez lui fournir un second numéro de téléphone avec une règle spécifique (ex : le 1er téléphone sera mon smartphone avec l’envoi de sms, le second une ligne fixe avec appel) ou encore un code de secours à télécharger ou à imprimer.

La validation de l’authentification double peut se faire compte par compte (de l’initiative de l’utilisateur) ou obligatoire sur le domaine via la console d’administration. Dans ce dernier cas, sur votre environnement Google Apps il suffit de se loguer à sa boite mail, de cliquer la roue crantée > Gérer ce domaine > Sécurité > Paramètres généraux > Accéder aux paramètres avancés pour activer la validation en deux étapes > Activer maintenant (dans Validation en deux étapes).

Il faut utiliser obligatoirement le navigateur Chrome et supérieur à la version 38 !

 

1. Préparation de la clé YubiKey Neo

Ayant reçu ma clé Yubico, je vous indique la marche à suivre pour l’utiliser avec votre compte Google. J’ai choisi la Yubikey Neo, une clé compatible OTP, CCID et Fido U2F incluant également une puce NFC. La mauvaise blague si on peut dire, c’est qu’en réalité la clé ne peut pas gérer à la fois l’OTP et l’U2F, il faudra faire un choix ! Le CCID peut cependant être géré en parallèle d’un des 2 protocoles. Aussi le NFC est compatible OTP mais pas Fido U2F pour le moment ! Dommage on aurait donc pu utiliser la clé pour authentifier son compte Google sur son téléphone juste par un contact NFC.

Avant toute chose, il faut savoir que la clé est configurée avec le protocole OTP donc n’essayez pas de tester la fonction U2F sur le site de Yubico cela ne fonctionnera pas. Il faut pour cela modifier le paramètre grâce au logiciel YubiKey NEO Manager

Une fois installé, il suffit d’insérer sa clé dans le PC pour que les drivers s’installent automatiquement et que la clé soit visible dans le logiciel

Tout simplement, il faut cliquer sur la clé en dessous de Devices puis Change connection mode, décocher OTP et activer CCID et U2F, valider OK et retirer la clé pour que les paramètres soient prit en compte.

Yubikey

Votre clé est prête !

2. Tester la clé avec le protocole Fido U2F (optionnel)

Vous pouvez déjà la tester sur le site de Yubico : https://www.yubico.com/start

Choisir la clé que vous avez acheté, en l’occurrence ici la YubiKey NEO et tester le FIDO U2F

TestFido

Le site vous informe avoir besoin d’un plugin sous Chrome qu’il vous faut installer (utile uniquement pour le test)

Plugin

Renseignez ici un login et mot de passe de test. Mettez votre prénom et un mot de passe au hasard. Cette page ne crée pas de vrai compte et vous indique en fin de test les éléments login/mdp en clair !

Ensuite le site vous demande de vous authentifier avec la clé au travers un popup « Performing U2F Action », enfichez donc celle ci et appuyez sur le bouton qui clignote. Note : le bouton est sensitif, ne cherchez pas à appuyer comme un sourd !

test-fido-u2f-yubico-key-neo-1

Une fois fait, le site devrait vous retourner vers ce message. J’ai un peu hésité au début car il vous repropose de vous loguer (pour refaire le test). n’en faites rien, si vous voyez ce message sur la page c’est que c’est OK

test-ok

En cliquant sur Technical Data vous obtiendrez quelques infos :

Login Data
username: GeeKNewZ
password: test-u2f

Enroll Data
origin: http://demo.yubico.com
version: U2F_V2 challenge:ywBUDViik4Bi1L3CUFxJeBRgH6viO4tmAjlI3psFAug
appId: http://demo.yubico.com

Response Data
clientData: {« typ »: »navigator.id.finishEnrollment », »challenge »: »ywBUDVxxxxxi1L3CUFxJeBRxxxvL 


3. Activation de la double authentification Google

Connectez vous à votre compte Google (Gmail par exemple) puis cliquez votre photo > Compte > Sécurité > Activez la validation en deux étapes puis Paramètres

GoogleParam

Vous pouvez commencer par activer les options que vous souhaitez. Pour ma part j’ai choisi un téléphone mobile, un téléphone secondaire en plus de ma clé Fido U2F. Il est fortement conseillé d’avoir au minima une solution de secours.

doubleauth

On clic sur Clé de sécurité puis Ajouter une clé de sécurité. Google nous demande de nous authentifier avec votre mot de passe.

ajouter-u2f

La suite est très bien expliquée : Assurez vous d’avoir bien débranché la clé, cliquez le bouton « Enregistrer » puis insérez votre clé

ajouter-cle-u2f-google

Cliquez le bouton physique sur la clé, votre clé est désormais reconnue par votre compte Google

ajout-OK

Désormais vous pouvez gérer vos clés a ce même endroit avec la possibilité d’ajouter et supprimer une clé (un utilisateur peut avoir plusieurs clé et une clé peut authentifier plusieurs comptes)

manage-key

supprimer-cle

4. Gérer les ordinateurs autorisés

Lorsque vous enfichez votre clé dans un ordinateur, vous avez la possibilité de l’autoriser à accéder à votre compte soit ponctuellement, soit durant une période de 30 jours maximum (si c’est un ordinateur de confiance : votre ordinateur par exemple).

Cliquez votre photo > Compte > Sécurité > Activez la validation en deux étapes puis Paramètres. Dans Ordinateurs inscrits vous pouvez « Demander des codes » pour l’ordinateur actuellement utilisé (ce qui aura pour effet de redemander automatiquement votre clé au prochain login sur ce poste) mais de réinitialiser les codes des autres ordinateurs (tous sans exception). Pratique en cas de vol ou d’oublie de logout.

gestion-ordinateurs-autorises

5. Connexion au compte Google avec la clé

On fait un essai de connexion au compte, automatiquement Google demande, une fois le login / mot de passe saisi, de s’authentifier avec la clé. Notez qu’il existe une règle de priorité automatiquement gérée par Google.

essai-cle-u2f

Il suffit d’insérer la clé, d’appuyer sur le bouton et magie : le compte Google apparaît ! Vous avez la possibilité de choisir un code d’activation au lieu de la clé et de mémoriser l’ordinateur sur lequel vous êtes connecté pendant 30 jours afin de vous éviter une connexion à chaque fois (voir section 4. pour gérer les ordinateurs).

C’est terminé !

5 plusieurs commentaires

  1. Je ne percute pas l’Intérêt d’une clé supportant les deux protocoles (OTP et U2F) pour faire de l’U2F alors qu’il existe des clés uniquement U2F (et même chez Yubikey d’ailleurs)

  2. Certain service en ligne ne sont pas compatible U2F donc le fait de conserver l’OTP le tout sur une seule clé s’avère pratique 😉

  3. Je disais ça à cause de la phrase « la clé ne peut pas gérer à la fois l’OTP et l’U2F, »
    Possible que je n’ai peut-être pas bien compris ce « à la fois »: j’ai interprété qu’une fois la clé configurée en U2F elle reste dans ce mode à moins de la réinitialiser. Sinon comment bascule-t-on d’un mode à l’autre (surtout en l’absence d’afficheur indiquant le mode en cours)

  4. Ah oui ! En fait ce n’était pas possible, mais depuis une mise à jour (il y a déjà quelques mois) on peut utiliser les 2 🙂

Laisser une réponse

Votre adresse email ne sera pas publiéeLes champs requis sont surlignés *

*