Quelles alternatives à la YubiKey ?
jeudi 20 février 2025, par Jérémy De Cock
Nous avons eu la chance d'écrire un article pour MISC (LES EDITIONS DIAMOND) qui portait sur le sujet suivant : "Renforcer la sécurité de vos connexions RDP avec YubiKey". Il nous semblait important d'aborder l'aspect des alternatives logicielles et matérielles à la YubiKey, mais l'article étant déjà beaucoup trop long, nous avons décidé d'en faire un article dédié sur notre blog. Nous vous mettrons le lien vers l'article ici, quand il sortira.
Si la YubiKey est une option populaire pour notre cas, d'autres solutions matérielles et logicielles peuvent également être envisagées, en fonction des besoins et des contraintes de votre infrastructure. Passons en revue les principales alternatives, je me propose pour chacune de vous lister leurs points forts et leurs points faibles.
Cartes à puce (Smart Card/PIV)
Les cartes à puce, utilisées pour l'authentification PIV (Personal Identity Verification) sont courantes dans des environnements à haute sécurité. Ces cartes stockent un certificat permettant l'authentification forte.
| Avantages | Inconvénients |
|---|---|
| Utilisée dans des environnements règlementés (gouvernement, finance) | Nécessité d'un lecteur de carte compatible |
| Compatibilité avec divers systèmes d'exploitation via le standard PIV | Moins populaire et plus coûteuse que des solutions comme la YubiKey |
Applications mobiles (authentification par push et OTP)
Des applications comme Google Authenticator, Authy ou Microsoft Authenticator génèrent des codes OTP sur le téléphone mobile de l'utilisateur.
| Avantages | Inconvénients |
|---|---|
| Facilité d'installation, pas de matériel physique supplémentaire | Risque en cas de vol ou perte du téléphone mobile |
| Fonctionne sur n'importe quel système mobile | Moins sécurisée que des solutions matérielles, car vulnérable en cas de compromission du téléphone |
Clé USB et jetons (tokens) USB
Les jetons USB (comme ceux proposés par Feitian ou Thetis) fonctionnent de manière similaire aux YubiKey, utilisant des protocoles comme FIDO U2F pour l'authentification forte.
| Avantages | Inconvénients |
|---|---|
| Coût généralement inférieur à celui des YubiKey | Moins de notoriété, ce qui peut poser des questions sur le support et la fiabilité |
| Bonne sécurité physique, car l'attaquant doit posséder le jeton pour l'utiliser | Moins de fonctionnalités comparées aux YubiKeys (OTP, OpenPGP, PIV, etc.) |
Outil logiciel (MFA sans matériel physique)
Certaines solutions logicielles permettent l'authentification forte sans matériel. Ces méthodes incluent les SMS, emails, notifications push (ex. : Duo Security) ou même des codes QR.
| Avantages | Inconvénients |
|---|---|
| Facilité d’utilisation sans matériel supplémentaire | Risques de phishing ou d’interception (notamment pour les SMS ou emails) |
| Solution flexible adaptée à divers environnements | Moins sécurisée que les solutions matérielles, surtout si le téléphone ou l’email est compromis |
Solutions biométriques
Des technologies comme la reconnaissance faciale ou les scanneurs d'empreintes digitales offrent également une forme d'authentification forte. Elles sont souvent intégrées dans les systèmes d’exploitation modernes (ex. : Windows Hello).
| Avantages | Inconvénients |
|---|---|
| Rapide et pratique pour l'utilisateur | Moins sécurisée que des solutions matérielles dédiées (ex. : YubiKey ou carte à puce) |
| Pas besoin de matériel supplémentaire (pour certains systèmes) | Risques de fausses correspondances ou attaques par spoofing (ex. : usurpation d'empreintes ou reconnaissance faciale) |