Quelles sont les possibilités d'une Yubikey ?
HTML-код
- Опубликовано: 3 авг 2024
- La Yubikey est un outil incroyable.
Mais il peut être u peu difficile à appréhender car les possibilités qu'elle offre sont impressionnantes et très nombreuses.
Je passe en revue dans cette vidéo les principales fonctionnalités qui devraient intéresser un particulier pour vraiment tirer partie de sa toute nouvelle Yubikey.
Tu n'as pas encore ta Yubikey et tu veux t'en acheter une ?
Ça se passe ici avec des liens affiliés qui ne te coûte rien de plus, mais qui aident la chaîne.
Ma recommendation :
* Yubikey 5 NFC USB-A : amzn.to/3W5Hmac
* Yubikey 5 NFC UBB-C : amzn.to/3ZgNxuN
La meilleure marché (moins de fonctionnalité, mais l'essentiel est là) :
* Yubikey Fido2 USB-A : amzn.to/3CzlMUC
* Yubikey Fido2 USB-C : amzn.to/3Zr2fQ2
La Yubikey qui se connecte en physique à ton iPhone ou ton Android :
* Yubikey 5ci : amzn.to/3IvC4l3
La Yubikey que tu peux laisser tout le temps brancher à ton ordinateur :
* Yubikey Nano USB-A : amzn.to/3IwPg99
* Yubikey Nano USB-C : amzn.to/3ZyHemu
N'hésite pas à poser toutes tes questions en commentaires.
Je serais ravi d'y répondre et de t'aider.
...
Chapitres :
0:00 Introduction
4:29 Windows Hello
4:58 Touch ID sur Linux
5:44 Sudo avec Yubikey
6:46 SmartCard sur MacOS
8:07 Clés SSH dans ta Yubikey
8:42 Clés PGP dans ta Yubikey
9:23 Yubikey sur KeepassXC
10:39 Mdp en dur
11:25 Conclusion
🧐 POUR ME SUIVRE :
🐦 Twitter - / shostarsson
📚 Medium - / hackndevwithshostarsson
🎮 Twitch - / shostarsson
🤔 QUI SUIS-JE :
Je m'appelle Rémi, je suis Ingénieur Sécurité à Paris, France. Je fais des vidéos à propos de sécurité offensive (des hacks), de sécurité défensive (comment se protéger des hacks dans ton app), de vulgarisation scientifique à propos de la sécurité et d'autres sujets autour des CTF, Bug Bounty et de la sécurité informatique.
J'ai donc décidé de réaliser un contenu à propos de la sécurité informatique et de le poster chaque lundi matin. Pour bien commencer la semaine.
Abonne-toi pour être certain(e) de ne pas rater de nouveaux contenus !
⌨️ ME CONTACTER:
Si vous souhaitez discuter, je serais ravi de le faire. Tweeter directement @shostarsson est la meilleure méthode pour me contacter, mais si votre question est très longue, n'hésitez pas à la poser dans les commentaires. Je ferai de mon mieux pour vous répondre aussi vite que possible. 😃
📢 DISCLAIMER :
Tout ce qui est décrit dans cette vidéo est à but éducatif. Ne faites jamais de choses malveillantes.
Tout ce que je dis dans mes vidéos ne représente que mes opinions et en aucun cas celles de mon employeur. Наука
merci beaucoup pour toutes ces vidéos !!!!! super instructifs !!! j'attends grave les tutos aussi !!!!
Ça va arriver d'ici quelques semaines.
D'autres tutos et des reviews sur d'autres sujets (Ledger, SteamDeck, etc...) avant de revenir sur la Yubikey.
Stay tuned
Top j'attends avec impatience le tuto pour la sécurisation d'un linux 😊
Ça arrive.
Pas assez de temps pour tout faire aussi vite que je voudrais.
Mais c'est dans les plans pour les prochaines vidéos à venir.
Petit up, j'attends cette vidéo avec impatience aussi 😊
Salut Rémi. Hâte de voir ta vidéo sur comment sécuriser Linux avec sa Yubikey. Pour ma part, j'utilise une distribution Linux Mint. Encore merci pour tes vidéos super intéressantes.
Ça va arriver.
C’est dans mon plan de vidéos. 👌🏼
Personnellement j'ai vraiment hâte de voir vos tutos (en particulier celui sur KeepassXC, c'est très frustrant de ne pas pourvoir utiliser la Yubikey en mode FIDO2 pour sécuriser l'accès à la base !). À très bientôt du coup 🙂
Ça va arriver d'ici quelques semaines.
D'autres tutos et des reviews sur d'autres sujets (Ledger, SteamDeck, etc...) avant de revenir sur la Yubikey.
Merci pour la vidéo , très instructif ! Juste pour la musique si possible ne pas la mettre tout le long 😉
Merci.
C’est un très bon retour. 😊
Merci infiniment
Avec plaisir
J'utilise la chaine de caractère configuré sur le toucher long pour ajouter du sel sur des mots de passe simples. De cette facon je tape mon petit mot de passe et je touche ma cĺé pour compléter ca me fais un mot de passe très long 16+ caractère qui sera très difficile à pirater
Purée, c’est ultra malin. 🤩🤩🤩
@@remi-cybersec En effet ça fait du 2FA.
Ce que je possède : la YubiKey et en second facteur ce que je connais (petit mot de passe (pin par exemple) + appuie de la clé qui injecte le mot de passe statique (à config via le YubiKey Manager) :)
Possible de config le slot 2 (appuie long sur la clé pour une autre utilisation)
Salut Rémi. Je reviens régulièrement sur ta chaîne passionnante. As-tu des infos à nous communiquer sur le futur tuto qui explique comment configurer la Yubikey comme Touch ID sous Linux ?
Hello @JM P,
Merci pour ton message. C'est super cool de voir que tu reviens souvent.
C'est une des vidéos qui est prévu, mais je dois avouer que j'ai pas mal de vidéos de prévues avant.
Même si c'est une super vidéo à mettre en place.
Je vais peut-être faire un sondage pour savoir ce qui vous plairait le plus comme vidéo sur les prochaines vidéos.
J'ai "la mise en place pas à pas du NAS", "Explication de Rsync", "Développer dans un Conteneur Docker", "Encore pleins de vidéos sur la Yubikey" et enfin "La Yubikey française existe et elle est top".
À voir pour l'ordre de sortie. Ce n'est pas encore 100% précis dans ma tête (même si j'ai déjà tourné quelques unes des vidéos).
Bonjour Rémi, tes explications sont très bonnes. Une question, le code SIM au moment du parametrage est à créer individuellement, y-a-il une règle ? Merci
Il n'y a pas de code SIM à créer sur la YubiKey.
C'est un code PIN. C'est uniquement un code de sécurité comme sur ton téléphone.
Mais tu n'es jamais obligé de le mettre en place pour utiliser ta YubiKey.
Si jamais tu veux ou que tu as besoin de le faire, tu peux le faire en mode UI avec l'application YubiKey Manager.
Et le code PIN est de 4, 6 ou 8 caractères.
Salut rémi, merci pour cette super vidéo ! j'ai une question. Pour démarrer un mac qui est sous Touch ID, peut on avoir recours en plus à la Yubi ? car qd je redémarre mon Mac, seul mon mdPasse m'est demandé et non mon empreinte .. 🙏
Sous Mac, ce n'est plus possible.
/etc/auth.pam n'est plus dispo.
Il faut que tu passes par le type Smartcard (qui est supporté par les YubiKey). Et ensuite, il te suffira de mettre ta YubiKey et un PIN et tu te connectes à ton MAC.
Bonjour et merci beaucoup pour tes vidéos. Est-il possible de transférer ses mots de passe d'une base de données existantes (Google chrome, samsung pass, google authentificator, ect) a la yubikey sans avoir a les enregistrer un par un ? Merci
Bonjour 😊 pouvez vous me dire quelle est la différence entre les nano Yubikey et les clef avec lesquelles on doit appuyer ? La méthode d'authentification change ? On doit passer par Yubi Autenticator ? Je souhaite sécurisé mon ordi + mon Google Pixel et acheter une clef de secours je ne sais pas trop quel modèle prendre 😅
Hello Romain,
La seul différence, c'est sa taille.
Mais tu devras aussi appuyer sur la YubiKey nano.
C'est le petit bout doré qui est au bout de la Nano.
Le mieux, c'est de prendre une YubiKey 5NFC en USB-C ou USB-A en fonction des ports USB dispo sur ton ordi.
Et utilises les liens affiliés quand tu passeras commande. ;-)
Ça aide la chaîne.
Bonjour Rémi, aurais tu réalisé un tuto sur comment créer une clef de secours ou spare d'une clef Yubikey. ça m'a l'air un peu compliqué non....? Merci pour tes réponses
Pour mettre en place ta clé de secours, il te suffit de refaire les étapes avec une deuxième clé.
C'est aussi simple que ça.
@@remi-cybersec ok d’accord. Effectivement en faisant des recherches en parallèle j’ai appris qu’on ne pouvez pas cloner les données d’une clef sur une autre. Donc oui il faut re enregistrer une nouvelle clef sur tous les sites, boîtes mails etc… Merci beaucoup pour ta réponse. Au plaisir 👍👌
Tu as tout compris c’est absolument ça.
Tu dois register une nouvelle clé sur tous tes sites.
C’est fastidieux c’est clair.
C’est pour ça qu’il faut le faire au fur et à mesure. Pas de presse.
Sinon, tu vas perdre espoir
@@remi-cybersec merci pour tes réponses. J’ai galéré aussi il y’a quelques temps sur l’utilisation de yubikey avec KeePass. Par recoupement avec tes vidéos et en persévérant j’ai réussi. Il fallait tout simplement générer une clef sur un des slots disponibles de la yubikey pour pouvoir activer le challenge response. Merci encore.👍
Bonsoir
J’ai besoin de tes lumières 😅
Comment faire pour mettre la yubikey pour l’application Mail sur iPhone ?
Peut on la mettre aussi au démarrage de mon téléphone et de mon Mac ? Peut on la mettre aussi pour faire un paiement sur internet ?
Merci à toi 😊
Bonjour, savez-vous si c'est possible de gérer plusieurs identifiants Apple avec une seul clé ? merci si c'est le cas j'envisage de prendre la clé physique que vous avez poster en lien en dessous de votre vidéo
Absolument. C’est même le but. 👍🏼
Par exemple, sur ma clé YubiKey, je gère peut-être une trentaine de comptes différents.😎
@@remi-cybersec ah super merci
Comment cela se comporte sur des accès distants, RDP, TeamViewer?
Bonjour, est-il possible d'utiliser la clé juste pour allumer son téléphone, j'ai cru le voir pour un ordinateur ? Car il y a encore beaucoup d'app qui ne prennent pas le 2fa.
Juste pour allumer son téléphone non pas encore.
Utiliser uniquement la clé pour se connecter, oui. C’est Passkey. Et c’est de plus en plus déployé.
@@remi-cybersec Le soucis c'est que les portefeuilles hot wallet ne prennent même pas le 2FA, un vol de portable et un craquage de code à 6 chiffres suffit. Y a t'il une solution ?
Sur un wallet crypto, effectivement la YubiKey ne va pas t'aider.
Mais le craquage du code à 6 chiffres ne devrait pas être possible. Au bout de 3 essais, le wallet doit être remis à zéro.
Je passe par un Ledger de mon côté et c'est ce que j'ai mis en place.
Merci ! Est-ce que tu conseilles d'acheter une clé qui reste branchée en permanence ou vaut-il mieux opter pour une clé que l'on peut retirer parfois ?
J’ai tendance à préférer la clé que l’on retire.
Mais c’est personnel.
C’est certain que c’est plus pratique la clé qui reste tout le temps branché.
Mais tu n’as pas toutes les fonctionnalités. Pas de NFC et donc pas d’utilisation avec ton téléphone.
Merci très intéressant !
Je suis dans l'interrogation pour m'équiper ou non d'une yubikey mais je n'arrive pas à savoir si son utilisation implique d'avoir toujours sa clé avec soi pour avoir accès ensuite à ses mails et autres applications sur son mobile.
Par exemple, si je paramètre mon compte google, protonmail ou autres sur mon pc pour utiliser la yubikey, quid de ma messagerie gmail et proton sur mon mobile ? La yubikey sera nécessaire à chaque fois que je voudrais y accéder ?
D'ailleurs je suppose que si je me lance, il est conseillé d'acheter directement 2 clés pour avoir un backup (à stocker ailleurs) ?
Merci par avance !
Absolument. Il te faut 2 clés. Et autant les avoirs des le départ.
Et oui, il t’en faudra une « toujours » avec toi (mais on ne va pas te le demander plus que le nombre de fois qu’on te demande ton mdp aujourd’hui).
Donc pas d’inquiétude. 👌🏼
@@remi-cybersec en fait mon téléphone ne me demande jamais le mot de passe de mes mails, même après redémarrage du téléphone. Du coup effectivement pas de raison d'avoir besoin de la clé pour me connecter sauf si je déconnecte manuellement ou que la session expire.
Du coup ultra importante la sécurité pour déverrouiller le mobile !
Bonjour,
Mais si un jour je perds ma clé et que j’avais mis qu’il faut cette clé pour déverrouiller tout les comptes comment ça se passe à ce moment ?
Impossible de récupérer mes comptes ?
Normalement tu as toujours un autre moyen avec des super code que tu dois conserver qq part pour ce genre de cas.
Aucun service ne te laisseras sans ces codes. A conserver précieusement par contre.
Rémi, quoi faire quand ta Yubikey se casse ? c'est mon cas malheureusement ...
Si tu n’as pas été déconnecté (ta session est toujours valide), alors tu peux ajouter un nouveau token MFA.
Si tu as été déconnecté, et que tu n’as pas d’autres token MFA, il faut te reconnecter avec les codes que tu dois avoir sauvegardé. Et ajouter un nouveau token MFA, une nouvelle YubiKey ou un TOTP.
Pourquoi utiliser une clé de sécurité pour le mail si il faut utiliser un code envoyé par SMS à chaque fois que l'on veut se connecter sur un nouvel appareil ? Y aurait-il une liste des comptes qui acceptent une clé de sécurité ?
En fait, les deux sont des deuxième facteurs d’authentification.
Tu as donc soit un code par SMS que tu reçois. Soit une clé de sécurité de type YubiKey.
Mais dans les faits tu ne vas pas avoir les deux.
Tu vas donc pas avoir à chaque fois à rentrer le SMS et à utiliser la clé d’authentification.
Le plus simple étant largement la clé d’authentification.
J’espère que cela aura pu t’éclairer
Salut
Une question faut-il laisser la confirmation par sms en plus de la yubikey? Car Google ou autre passe t-il forcément en premier par la yubikey?
C’est une configuration que tu dois faire dans ton compte Google.
Si tu gardes le SMS, tu es à risque car un attaquant passera par le SMS qui est plus simple à pirater.
Je ne peux donc te conseiller que d’utiliser un second facteur authentication, qui est soit une autre YubiKey soit un TOTP.
@@remi-cybersec d’accord merci
Un TOTP?
Une application Authentificator ? Quel est la meilleure ?autentificator + ou Google authentificator ou une autre
Elles se valent
Mais j’aime bien celle de YubiKey. Parce que pour le coup elle est la plus sécurisé.
Le TOTP est dans ta YubiKey. 👌🏼
Mais Google est une autre application que j’utilise et qui est très bien.
Mais si tu la perd il y a moyen ou pas de bypasse
Si tu n’as pas d’autres MFA qui ont été mis en place. C’est impossible.
Tu es Locked Out.
D’où l’importance d’avoir une deuxième clé qui est setup sur tes comptes et au chaud chez toi.
J’ai du le dire dans la vidéo ou une autre sur le même sujet.
une galère à config, sur mac
Pas plus compliqué que sur Windows normalement.
A quel moment cela a été compliqué pour toi ?
@@remi-cybersec pour le moment j'ai pas réussi quand je la connecte j'ai réussi que à config le fido2 par le reste
Ultra étrange.
J’ai un Mac. J’ai suivi exactement ce que je présente dans la vidéo et ça fonctionne sans souci.
Est-ce que tu peux réinitialiser la clé (si tu n’as pas de token dedans qui te servent pour te connecter) ?
rien pour le moment @@remi-cybersec
C’est fou ça. 😖