U2F2 : Prévenir la menace fantôme sur FIDO/U2F — Philippe Thierry, Ryad Benadjila
Date : 04 June 2021 à 11:30 — 30 min.
Two factors authentication (or 2FA) has become a major replacement for passwords-only usage in the recent years, bringing more security to end users against the increasingly frequent data breaches on major services. Although the second factor can take many forms (a software on PC or smartphone, a mail, a SMS, etc.), the FIDO alliance has standardized a protocol named U2F that uses dedicated tokens (either software or hardware) as the second 2FA factor.
The scope of this work is to present security limitations of existing devices (both in the open source and industrial fields) in some attack models, and to address these limitations by providing an open source hardened hardware token based on the WooKey platform SDK with defense-in-depth design patterns in mind.
L'authentification à deux facteurs (2FA) devient un remplaçant de plus en plus répandu des méthodes d'authentification classiques basées principalement sur les mots de passe. Bien que ce second facteur puisse prendre plusieurs formes, l'alliance FIDO a standardisé le protocole U2F (Universal Second Factor) amenant un token dédié comme facteur.
Le présent article discute de la sécurité de ces tokens au regard de leur environnement d'utilisation, des limitations des spécifications ainsi que de l'état de l'art des solutions apportées par l'open source et l'industrie. Un PoC implémentant des améliorations de sécurité, utiles dans des contextes sensibles, est détaillé. Il est fondé sur la plateforme open source et open hardware WooKey amenant de la défense en profondeur contre divers modèles d'attaquants.