Quelles alternatives à la YubiKey ?

jeudi 20 février 2025, par Jérémy De Cock

Nous avons eu la chance d'écrire un article pour MISC (LES EDITIONS DIAMOND) qui portait sur le sujet suivant : "Renforcer la sécurité de vos connexions RDP avec YubiKey". Il nous semblait important d'aborder l'aspect des alternatives logicielles et matérielles à la YubiKey, mais l'article étant déjà beaucoup trop long, nous avons décidé d'en faire un article dédié sur notre blog. Nous vous mettrons le lien vers l'article ici, quand il sortira.

img

Si la YubiKey est une option populaire pour notre cas, d'autres solutions matérielles et logicielles peuvent également être envisagées, en fonction des besoins et des contraintes de votre infrastructure. Passons en revue les principales alternatives, je me propose pour chacune de vous lister leurs points forts et leurs points faibles.

Cartes à puce (Smart Card/PIV)

Les cartes à puce, utilisées pour l'authentification PIV (Personal Identity Verification) sont courantes dans des environnements à haute sécurité. Ces cartes stockent un certificat permettant l'authentification forte.

Avantages Inconvénients
Utilisée dans des environnements règlementés (gouvernement, finance) Nécessité d'un lecteur de carte compatible
Compatibilité avec divers systèmes d'exploitation via le standard PIV Moins populaire et plus coûteuse que des solutions comme la YubiKey

Applications mobiles (authentification par push et OTP)

Des applications comme Google Authenticator, Authy ou Microsoft Authenticator génèrent des codes OTP sur le téléphone mobile de l'utilisateur.

Avantages Inconvénients
Facilité d'installation, pas de matériel physique supplémentaire Risque en cas de vol ou perte du téléphone mobile
Fonctionne sur n'importe quel système mobile Moins sécurisée que des solutions matérielles, car vulnérable en cas de compromission du téléphone

Clé USB et jetons (tokens) USB

Les jetons USB (comme ceux proposés par Feitian ou Thetis) fonctionnent de manière similaire aux YubiKey, utilisant des protocoles comme FIDO U2F pour l'authentification forte.

Avantages Inconvénients
Coût généralement inférieur à celui des YubiKey Moins de notoriété, ce qui peut poser des questions sur le support et la fiabilité
Bonne sécurité physique, car l'attaquant doit posséder le jeton pour l'utiliser Moins de fonctionnalités comparées aux YubiKeys (OTP, OpenPGP, PIV, etc.)

Outil logiciel (MFA sans matériel physique)

Certaines solutions logicielles permettent l'authentification forte sans matériel. Ces méthodes incluent les SMS, emails, notifications push (ex. : Duo Security) ou même des codes QR.

Avantages Inconvénients
Facilité d’utilisation sans matériel supplémentaire Risques de phishing ou d’interception (notamment pour les SMS ou emails)
Solution flexible adaptée à divers environnements Moins sécurisée que les solutions matérielles, surtout si le téléphone ou l’email est compromis

Solutions biométriques

Des technologies comme la reconnaissance faciale ou les scanneurs d'empreintes digitales offrent également une forme d'authentification forte. Elles sont souvent intégrées dans les systèmes d’exploitation modernes (ex. : Windows Hello).

Avantages Inconvénients
Rapide et pratique pour l'utilisateur Moins sécurisée que des solutions matérielles dédiées (ex. : YubiKey ou carte à puce)
Pas besoin de matériel supplémentaire (pour certains systèmes) Risques de fausses correspondances ou attaques par spoofing (ex. : usurpation d'empreintes ou reconnaissance faciale)