Après les avoir déployées en interne, Google lance la commercialisation aux Etats-Unis de ses clés Titan Security Key, mécanisme physique d’authentification à deux facteurs reposant sur le protocole U2F. Vendu 50 dollars, le dispositif intègre dans son firmware un programme destiné à vérifier l’intégrité de la clé.
Après une première présentation fin juillet lors de son évènement Next, Google n’aura pas tardé à mettre ses clés Titan Security Key sur le marché. Dans le pack sont comprises deux clés USB spécifiques, ainsi que tout le matériel (câbles et chargeur) nécessaire au bon fonctionnement de ce dispositif. L’ensemble coûte 50 dollars et n’est pour l’heure commercialisé qu’aux Etats-Unis.
Concrètement, ces clés reposent sur le protocole U2F et sont utilisées comme un deuxième facteur d’authentification : une fois le dispositif activé, l’utilisateur peut se connecter à un service en entrant son mot de passe puis en connectant la clé, ce qui valide le mot de passe. Google insiste sur le fait que ces clés physiques sont bien plus sécurisées contre le phishing que la double authentification par envoi d’un code par SMS.
Le logiciel aussi
Les Titan Security Keys fonctionnent avec les services supportant le standard FIDO, ce qui comprend bien évidemment une bonne partie de l’écosystème Google (Chrome ou encore Gmail), ainsi que Facebook, Twitter, Github, Dropbox… Moutain View explique avoir ajouté à son dispositif un mécanisme de sécurité supplémentaire par le biais de son firmware. Celui-ci permet de vérifier que la clé Titan n’a pas été compromise d’une manière ou d’une autre.
Lire à ce sujet l'article « FIDO2, l'après mot de passe » paru dans L'Informaticien n°169.
