Ya de ca qq semaines je suis tombé sur une petite chose vraiment très intéressante et je n'ai pas pu m’empêcher d'en commander une pour la tester ...
Vous allez me dire : oui OK c'est bien on est content pour toi ...
Mais c'est quoi cette petite chose qui mérite carrément une review sur le fofo alors que ça a rien a voir avec le sat ???!!!
Et bien c'est une Nitrokey !
Ca ça vous fait une belle jambe je parie lol
Alors kesako ?
Les Nitrokey ce sont des clés USB qui vont vous permettre de sécuriser de façon hardware votre vie numérique !
Avec une Nitrokey vos clés de chiffrement, vos logins et mots de passes, vos codes OTP ( One Time Passwords ) et vos fichiers sont 100% sécurisés de façons hardware et sont donc impossible a voler ou compromettre car il est tout simplement impossible de les extraire de la Nitrokey contrairement aux solutions software qui sont d'office vulnérable au virus, au vol par un hacker, au brute force, etc ...
En plus elles sont protégées par code pin ( c'est le même principe que pour votre carte de banque ) et le hardware est protégé contre les attaques physiques ... donc même en labo avec du gros matos ce ne sera vraiment pas simple voir toujours impossible a cracker !
Il existe plusieurs modèles de Nitrokey : Storage, Pro, Start, HSM, U2F.
Je ne vais pas m'attarder sur les modèles Start et U2F ... je dirais juste :
- Pour la Start :Trop vieux modèle, pas intéressante en comparaison de la Nitrokey Pro et aucune protection contre les attaques physiques
- Pour la U2F : Très sympa, pas cher MAIS elle n'est pas open source ... si j'ai pas accès au code source, aux détails du hardware etc ça n'a aucun intérêt
Basées sur la Smartcard OpenPGP V2.1 les Nitrokey Pro et Storage sont les modèles les plus intéressants pour Mr tout le monde. Elles stockent et protègent de façon hardware 3 paires de clés RSA ( 1024 à 4096 bit ) qui sont utilisées pour le chiffrement, l'authentification et la signature numérique.
Protection des e-mails ( OpenPGP et S/MIME ), gestionnaire de mot de passe, Secure Login, Chiffrement de disque dur et de fichier ... le parfait couteau suisse pour votre sécurité numérique !
La Nitrokey Storage rajoute en plus un espace de stockage allant de 8 à 64 Gb avec chiffrement hardware AES-256
Laissez moi vous dire que l'utilisation d'une Nitrokey est juste enfantine !
La gestion de la Nitrokey se fait via le programme Nitrokey App disponible pour Windows, Linux et Mac OS.
Avec vous pouvez configurer votre code PIN, configurer et utiliser le gestionnaire de mot de passe et les OTP
et en plus pour la Nitrokey storage : formater et générer votre clé de chiffrement AES, configurer les volumes cachés, activer la "lecture seule", extraire le firmware, activer l'update du firmware et modifier le mot de passe du firmware
La partie cryptographique se gère via GnuPG disponible pour Windows, Linux et Mac OS.
C'est tout simplement une suite logicielle composée de tout ce que vous avez besoin pour utiliser la smartcard OpenPGP intégrée a la Nitrokey. De la génération de vos clés privées a leurs utilisations pour chiffrer et signer vos fichiers, sécuriser vos messages IM etc ... le tout avec des assistants graphique hyper simple et une très bonne intégration au système ... surtout sur Windows grâce a GpgEX qui intègre toutes les fonctionnalités a l'explorateur Windows ... tout ceci est aussi possible en ligne de commande bien entendu ...
Pour sécuriser vos e-mails il vous suffit d'utiliser Thunderbird pour profiter du S/MIME ou de openPGP avec le module enigmail.
La Nitrokey HSM quand a elle est basée sur la SmartCard-HSM v2.3 et est principalement axée sur la protection hardware des clés de chiffrement des serveurs sécurisés, elle peu néanmoins aussi être utilisée pour la protection des e-mails ( S/MIME uniquement ) et l'authentification forte avec certificat client.
Elle peu sécuriser jusqu'à 32 clés RSA de 2048 bit et 40 clés ECC de 320 bit.
Cerise sur le gâteau notre CA est totalement compatible avec les Nitrokey et nous pouvons bien-sur vous fournir en certificats SSL pour vos serveurs, certificats S/MIME pour vos e-mails et logins sécurisés et nous pouvons aussi signer vos clés OpenPGP
En pratique voici un aperçu des différentes fonctionnalités disponibles
- [anchor=1 goto=Login]Connexion sécurisée[/anchor]
- [anchor=2 goto=Login2]L'authentification forte avec un certificat client[/anchor]
- [anchor=3 goto=mails]Protection des e-mails[/anchor]
- [anchor=4 goto=storage]Stockage mobile Chiffré ( Nitrokey Storage )[/anchor]
- [anchor=5 goto=gpa]Chiffrement de disque dur et de fichier[/anchor]
- [anchor=6 goto=hsm]Protection du serveur ( Nitrokey HSM )[/anchor]
- [anchor=7 goto=end]Conclusion[/anchor]
Les mots de passes c'est bien mais ce n'est jamais suffisant surtout quand on voit le genre de mots de passes utilisés par Mr tout le monde. Pour vous donner une petite idée voici le top 10 mondial des mots de passes les plus utilisés ... franchement ça fait très peur !
- password
- 123456
- 12345678
- 1234
- qwerty
- 12345
- dragon
- pussy
- baseball
- football
Voici a quoi ressemble un bon mot de passe
- >:}0fzHoH3HUh&,^G`#w
1 sextillion vaut 1036 soit 1 000 000 000 000 000 000 000 000 000 000 000 000.
Avec une Nitrokey vous avez la possibilité de générer et de sécuriser avec un chiffrement hardware AES-128 un total 16 logins et mots de passes de ce niveau de sécurité grâce au gestionnaire de mot de passe intégré et la seul chose dont vous avez besoin pour les utiliser c'est votre Nitrokey et son code pin.
Mais ce n'est pas tout !
Vous pouvez aussi utiliser en plus de vos mots de passe ce que l'on appelle l’authentification en deux étapes ( 2-Step Verification )
Voici une liste de site web proposant déjà ce type d'authentification sécurisée
http://www.dongleauth.info/
Dans notre cas ce qui nous intéresse vraiment ce sont ceux compatible One Time Passwords (OTP)
Pour faire simple après avoir entré vos login et mot de passe il vous sera en plus demandé d'entrer un autre mot de passe a usage unique généré sur votre Nitrokey et basé sur l'heure ( TOTP : Time-based One-time Password )
Pour ceux qui connaissent par exemple Google Authenticator il s’agit ici du même principe.
Donc même si vos logins et mots de passes sont compromis ou volés ( hack de base de donnée, keylogger, etc ) vous avez la certitude que personne ne pourras les utiliser sans être en possession de votre Nitrokey.
Avec une Nitrokey vous avez la possibilité de générer et de sécuriser des TOTP pour 15 sites web différents
Vous aurez aussi en plus la possibilité de générer et de sécuriser 3 HOTP ( HMAC-based One-time Password )
Ce sont aussi des mots de passes a usage unique mais utilisable pour sécuriser l’accès a des programme sensible ...
comme un Gestionnaire de mots de passe par exemple.
si vous avez un clavier USB vous pouvez aussi configurer des "hotkeys" pour l'utilisation rapide de 2 de vos HOTP
D’ailleurs si vous avez besoin d'un bon gestionnaire de mots de passes perso je vous recommande KeePass avec ce petit plugin otpkeyprov pour le rendre compatible avec les HOTP et la Nitrokey ... open-source, hyper complet, chiffrement de haut niveau ( Serpent, AES ... ), plein de plugins ... un must have !
A noter que les OTP sont sécurisé ds le hardware et sont donc protégés contre les attaques logicielles ( virus et autre malware ) mais ne sont pas protégés contre une attaque physique.
[anchor=Login2][/anchor]L'authentification forte avec un certificat client ... Le top du top !
Ici contrairement a l'authentification faible ( login via mot de passe ) vous vous connectez a votre serveur grâce a un certificat numérique. Le client signe numériquement des données générées aléatoirement et envoie à la fois ces données signées et le certificat sur le réseau. Le serveur utilise des techniques de cryptographie à clef publique pour valider la signature et confirmer la validité du certificat.
Une Nitrokey peu être utilisée comme un token USB ce qui vous permettra d'utiliser l'authentification forte sans le moindre effort pour vous connecter en toutes sécurité via un certificat client a un PC, un VPN, un serveur en SSH ou a certains site web en HTTPS.
Votre clé privée est générée et sécurisée ds le hardware de la Nitrokey de plus 100% des opérations cryptographiques se font ds le hardware de la Nitrokey !
Vous avez ici le niveau maximum de sécurité possible a savoir une protection contre les attaques logicielles et physique
[anchor=mails][/anchor]Protection des e-mails
haaaa les e-mails ... les cartes postales de l'an 2017 ... une des meilleures mine d'or pour les géants du web, les hackers, la NSA & co ...
Sachez que ds 99.9% des cas 100% vos e-mails sont scannés, analysés, stocké dieu seul sait ou et a la dispo de dieu seul sais qui ... et ce dans le seul but de récolter un max de données sur vous et vos activités onlines ...
- A "bon escient" par Google, hotmail etc pour se faire un max sur votre dos via la pub, l'utilisation et la revente de vos données perso etc etc ...
- Dans un but beaucoup moins louable : vol d'identité, espionnage, propagation de virus, phishing, spams, racket, harcèlement ...
Ce que la Nitrokey vous permet de faire sans le moindre effort et avec le niveau maximum de sécurité possible a savoir une protection contre les attaques logicielles et physique.
- Les Nitrokey Pro et Storage sont compatible avec OpenPGP et S/MIME
- Les Nitrokey HSM sont uniquement compatible avec S/MIME
OpenPGP est base sur le principe du WOT ( Web of Trust ) ... pour faire simple tout un chacun peu authentifier la clé d'un autre et ainsi créer une toile de confiance ...
Pour vous donner un petit exemple :
Je suis amis avec Alice et Bob, nous avons donc déjà mutuellement signé numériquement nos clés et nous nous somme attribué le niveau maximum de confiance car nous savons que toutes les vérifications nécessaires seront effectuées avec rigueur avant de signer les clés d'autres personnes. Alice et Bob ne se sont encore jamais rencontre et ne se connaissent pas mais Bob doit rentrer en contact avec Alice et ce de façons sécurisée ... c'est ici que notre toile de confiance se met en place ...
Comme j'ai déjà signé les clés d'Alice et de Bob et que tous les deux m'ont accordé le niveau maximum de confiance ils peuvent chacun vérifier la présence de ma signature lors de leurs échanges et ainsi Alice peut avoir la certitude que la clé de Bob est bien la sienne et vice versa ...
Ce qui leur permettra par la suite de signer mutuellement leurs clés et de s'accorder un certain niveau de confiance ... et ainsi de suite ...
Maintenant Carole, une amie de Bob et Alice, doit me contacter ... comme Alice et Bob ont déjà signé sa clé je peux être certain que je suis bien en contacte avec elle car sa clés est signée par 2 personnes a qui je donne le plus haut niveau de confiance ! Nous signerons par la suite nos clés etc etc
Plus vos clés seront signées par des personnes différentes et fiables et plus la toile de confiance sera étendue ...
S/MIME est un standard qui s'appuie sur les certificats numériques ... contrairement a OpenPGP ou tout le monde peu signer la clé de tout le monde, ici une autorité de certification (CA) est la seule en mesure de le faire ce qui garanti l'authenticité des certificats émis à tout ses utilisateurs ... donc du moment que vous donnez votre confiance a la CA que vous utilisez vous avez la certitudes que tous les certificats émis par cette CA sont authentique et valide.
[anchor=storage][/anchor]Stockage mobile Chiffré
La Nitrokey storage vous offre en plus un espace de stockage sécurisé ( AES-256 bit ) de 8 à 64 Go.
Il n'y a pas mieux si vous devez transporter des documents sensibles en toute sécurité.
Les gros avantages de la Nitrokey storage comparé aux autres modèles de "clés USB sécurisées" ...
- Made in germany et 100% open source ( hardware et software ) ... pas de risque de backdoor etc !
Comme par exemple avec les clés USB certifiée FIPS 140-2 Level 2 de chez Kingston, SanDisk, Verbatim, MXI et PICO ... - Pas de "secret" caché ... vous et vous seul générez vos clés privées ... Nitrokey n'as aucune master key donc aucun moyen d'avoir accès a vos données ...
Comme par exemple le hack de RSA en 2011 ou de celui de Gemalto révélé en 2015 ... - Vous pouvez extraire/vérifier/flasher/modifier vous même le firmware et le protéger par mot de passe ... pas de risque de finir avec une clé virusée ( NSA, BadUSB ... )
- Protection hardware et code pin ... même en cas de vol vos données sont sécurisées contre les attaques physique et logicielles.
- Une audite intensive de sécurité a été effectuée pour le software et le hardware par une équipe indépendante ( Cure53 )
- Une partition de 2Gb non chiffré que l'ont peu utiliser librement avec la possibilité de le configurer en lecture seule
- Une autre partition utilisant l'espace restant avec un chiffrement hardware de haut niveau ( AES-256 ).
Un volume caché est placé à l'intérieur de votre volume chiffré, mais son existence est dissimulée. Même si vous déchiffrez le contenu de votre volume chiffré, il est impossible d'y trouver un volume caché, ou même d'en prouver l'existence.
[anchor=gpa][/anchor]Chiffrement de disque dur et de fichier
Si vous avez des données privées stockées sur votre pc le chiffrement de disque est un must !
Une Nitrokey peut être utilisée avec TrueCrypt / VeraCrypt, Gnu Privacy Assistant et GnuPG pour chiffrer vos disques ou fichiers. Vos clés privées sont stockées uniquement dans le hardware de la Nitrokey ce qui les protègent contre les attaques logicielles et physiques !
[anchor=hsm][/anchor]Protection du serveur
La Nitrokey HSM est une version complètement différente ... son but principal est de sécuriser les clés privées de vos serveurs. Mais vous pouvez aussi l'utiliser avec des certificats clients pour le S/MIME et l'authentification forte ...
Si vous avez un serveur privé, un NAS ... il contient certainement pas mal de vos donnée persos etc ... il est donc très important de sécuriser son accès ... mais bon il ne faut pas se voiler la face sécuriser un serveur ce n'est pas simple ... y sont online 24/7, y sont vulnérable a une quantité impressionnante d'attaques ...
Donc même si il n'est malheureusement pas possible de tout sécuriser a 100% vous avez au moins la possibilité de vous protéger contre la pire des situations ... a savoir compromettre ou vous faire voler vos clés privées ( le bug Heartbleed ds OpenSSL par exemple )
Avec une Nitrokey HSM vous ne craigniez rien a ce niveau car vos clés privées et la totalités des opérations cryptographiques se font dans le harware de la Nitrokey. Vous avez ici le niveau maximum de sécurité possible a savoir une protection contre les attaques logicielles et physique.
Autre gros avantage il est possible de les "clusteriser" en utilisant plusieurs Nitrokey HSM pour augmenter leurs performances cryptographiques.
Par exemple pour une clé RSA de 2048 bit et 20 connections vous aurez ce genre de performances
- 1 Nitrokey HSM : 1.14 transactions/sec
- 2 Nitrokey HSM : 2.91 transactions/sec
- 3 Nitrokey HSM : 4.95 transactions/sec
Comme vous l'avez surement déjà compris les Nitrokey offrent vraiment un éventail très complet de fonctionnalités pour sécuriser votre vie numérique avec une protection hardware. En plus leurs utilisations hyper simple les rendent d'autant plus attractives ... fini les smartcards, les lecteurs de cartes, les drivers et autre middleware propriétaire bien lourd ... juste une petite clé USB que vous pouvez transporter partout avec vous.
Le hardware et le software étant open source, en plus d’être "Made in Berlin", cela vous garanti un maximum de transparence et de sécurité contrairement aux solutions propriétaires ! Ici tout le monde peu examiner le code source, les plans ... tout est disponible ici en accès libre.
La Nitrokey Pro est le modèle le plus adapté pour Mr tout le monde. Proposée a 49€ et vu les fonctionnalités offertes il n'y a pas photo c'est un "must have" pour quiconque se soucie un tant soit peu de sa sécurité numérique.
La Nitrokey Storage est quant à elle avant tout destinée a ceux devant transporter et/ou stocker de façon sécurisées tout types de fichiers sensibles ne pouvant en aucun cas être compromis et ce en offrant les mêmes fonctionnalités que sa petite sœur la Nitrokey Pro. Proposée a 99€ pour le modèle 8Gb, 149€ pour le modèle 32Gb et enfin 199€ pour le modèle 64Gb on tombe dans une tranche tarifaire vraiment plus élevée qui ne sera pas forcément a la portée de tout le monde. Clairement si vous n'avez pas le budget ou vraiment besoin d'un stockage mobile sécurisé je ne vous recommande pas ce modèle qui ne vous apportera réellement rien de plus qu'une Nitrokey Pro. Dans le cas contraire et si le budget n'est pas un soucis pour vous je ne dirais qu'une chose : foncez ! Le fait de pouvoir extraire/vérifier/flasher/modifier le firmware est très intéressant. De plus l'audit de sécurité faite par Cure53 a permis de mettre en évidence et de combler les failles de sécurités découverte dans le firmware et le hardware la rendant ainsi encore plus sécurisée.
Je n'ai franchement rien a redire sur les Nitrokey Pro et Storage, j'ai beau essayer de trouver des trucs négatifs mais rien n'y fait ... néanmoins il y a qq petites choses a savoir
- Les OTP étant du 2nd factor il ne bénéficient pas d'une protection contre les attaques physiques.
- De par la conception des smartcard OpenPGP, il faut importer manuellement votre clé privée et certificat S/MIME si vous voulez utiliser le chiffrement ET la signature numérique avec le même certificat
- Un bug dans le firmware de la Nitrokey Storage ajoute des données vides a la fin du firmware extrait ce qui rend sa vérification un peu plus compliqué
Tout comme pour les Nitrokey Pro et Storage, j'ai beau essayer de trouver des trucs négatifs mais ... cependant il y a ici aussi qq petites choses a savoir
- Je regrette que la taille des clés RSA soit limitée a 2048 Bit, même si cette taille de clés est considérée comme fiable jusqu'au moins fin 2021 ( fin 2030 pour les plus optimistes ) du 4096 bit aurait été très appréciable
- Il n'est pas possible de réinitialiser la Nitrokey HSM si vous avez oublié le PIN admin
- La Nitrokey HSM sera totalement inutilisable si le PIN admin est entré 15 fois de suite de façon erronée
