Une clé de sécurité en open source? Google l’a fait!

Google a placé en open source une plateforme de clé de sécurité avec une authentification multifacteur : OpenSK, compatible avec les standards FIDO.

Afin de démocratiser des solutions de sécurité à authentification multifacteur, la firme annonce la publication en open source d’une plateforme de clé de sécurité : OpenSK, publiée sur GitHub et qui intègre un firmware écrit en Rust. Ce dernier est compatible avec les dongles à puce de marque Nordic, qui se connectent à différents terminaux.

« En ouvrant OpenSK comme plateforme de recherche, nous espérons qu’elle sera utilisée par les chercheurs, les fabricants de clé de sécurité et les passionnés pour aider à développer des fonctionnalités innovantes et accélérer l’adoption des clés de sécurité »

Elie Bursztein, responsable de la recherche sur la sécurité et la lutte contre les abus chez Google et Jean-Michel Picod, ingénieur logiciel chez Google

OpenSK supporte les normes FIDO U2F et FIDO2. Les dongles à puce Nordic ont été choisis initialement car ils supportent les protocoles FIDO2, ainsi que les connectivités NFC, NFC, Bluetooth Low Energy, USB. De plus, ils intègrent un cœur de chiffrement matériel dédié. Google espère étendre OpenSK à d’autre puces à l’avenir.

Pour aller plus loin

OpenSK fonctionne sous TockOS, OS embarqué, qui a été choisi pour son architecture « sandboxé ». Ce système permet l’isolation entre la clé, les pilotes et le kernel afin d’assurer une défense en profondeur. 

Par ailleurs, afin de compléter son offre, Google a publié des fichiers de code source de stéréolithographie (technologie d’impression en 3D). Dès lors, il est possible pour les développeurs et les fournisseurs de fabriquer leurs propres clés personnalisées.

Source : https://www.lemondeinformatique.fr/actualites/lire-google-publie-sa-plateforme-de-cle-de-securite-en-open-source-77927.html