Ton message est un peu confus. La carte à puce fournit en effet une authentification forte, mais ce n'est qu'un "facteur de forme" comme on dit dans mon métier. L'important, c'est l'utilisation d'une puce sécurisée. Celle ci peut se retrouver dans une carte à puce en plastique mais sous d'autres formes aussi. Et justement, YubiKey indique dans le lien que tu fournis qu'ils utilisent des puces sécurisées. Ils fournissent donc de l'authentification forte.
Et sinon, je cite un passage très juste de YubiKey:
commercial-grade AVR or ARM controller is unfit to be used in a security product. In most cases, these controllers are easy to attack, from breaking in via a debug/JTAG/TAP port to probing memory contents. Various forms of fault injection and side-channel analysis are possible, sometimes allowing for a complete key recovery in a shockingly short period of time.
C'est outrageusement vrai. Je travaille dans la carte à puce et je peux vous dire que le nombre de moyens d'attaquer une puce et son code est juste phénoménal. Et que le taux de succès sur du matériel non sécurisé et/ou du code non sécurisé est de 100%, avec des moyens assez peu onéreux (largement accessible à un particulier). C'est un peu technique mais à la portée de tout bon ingénieur. Et il y a de la bonne littérature sur le sujet.
Bref, si vos clés sont stockées sur autre chose qu'un élément sécurisé, elles sont protégées à un niveau correct mais faible dans l'absolu. Ça ne résistera pas à un hacker motivé.
[^] # Re: L'authentification multifactorielle n'est pas l'authentifcation forte
Posté par Philippe F (site web personnel) . En réponse au journal Clés de sécurité, pas assez utilisées. Évalué à 7.
Ton message est un peu confus. La carte à puce fournit en effet une authentification forte, mais ce n'est qu'un "facteur de forme" comme on dit dans mon métier. L'important, c'est l'utilisation d'une puce sécurisée. Celle ci peut se retrouver dans une carte à puce en plastique mais sous d'autres formes aussi. Et justement, YubiKey indique dans le lien que tu fournis qu'ils utilisent des puces sécurisées. Ils fournissent donc de l'authentification forte.
Et sinon, je cite un passage très juste de YubiKey:
C'est outrageusement vrai. Je travaille dans la carte à puce et je peux vous dire que le nombre de moyens d'attaquer une puce et son code est juste phénoménal. Et que le taux de succès sur du matériel non sécurisé et/ou du code non sécurisé est de 100%, avec des moyens assez peu onéreux (largement accessible à un particulier). C'est un peu technique mais à la portée de tout bon ingénieur. Et il y a de la bonne littérature sur le sujet.
Bref, si vos clés sont stockées sur autre chose qu'un élément sécurisé, elles sont protégées à un niveau correct mais faible dans l'absolu. Ça ne résistera pas à un hacker motivé.