Comment utiliser une YubiKey ou une clé de sécurité matérielle avec votre compte Exchange ?

Configuration de votre clé de sécurité matérielle

1. Connectez-vous à votre compte Exchange et accédez à la section des paramètres de sécurité ou d'authentification.

2. Localisez l'option intitulée « Authentification à deux facteurs », « 2FA » ou « Authentification multifacteur » et sélectionnez « Clé de sécurité » ou « FIDO2/WebAuthn » comme méthode préférée.

3. Insérez votre YubiKey dans un port USB ou appuyez-la contre un appareil compatible NFC si vous utilisez un modèle compatible comme YubiKey 5 NFC ou Bio.

4. Suivez les invites à l'écran pour enregistrer la clé. Cela implique généralement une brève interaction physique, par exemple en appuyant sur le bouton de la YubiKey pendant deux secondes.

5. Confirmez l'enregistrement en vous reconnectant avec la clé nouvellement enregistrée pour vérifier la fonctionnalité.

Échanges pris en charge et compatibilité

1. Binance prend en charge les clés de sécurité FIDO2, notamment YubiKey 5 Series, Nitrokey 3 et SoloKeys pour les confirmations de connexion et de retrait.

2. Kraken active les clés matérielles basées sur WebAuthn pour la connexion au compte et le contrôle d'accès aux API, avec une documentation explicite pour les modèles YubiKey.

3. Coinbase autorise l'enregistrement de YubiKey sous « Paramètres de sécurité avancés », bien que les approbations de retrait nécessitent toujours des SMS supplémentaires ou des solutions de repli d'application d'authentification dans certaines juridictions.

4. Bybit intègre les protocoles U2F et FIDO2, permettant l'utilisation de YubiKey pour la gestion des connexions et des sous-comptes sans nécessiter de solutions de secours TOTP.

5. KuCoin désactive explicitement la récupération par SMS lorsqu'une clé matérielle est active, appliquant ainsi une liaison cryptographique stricte entre l'appareil et le compte.

Procédures de récupération et de sauvegarde

1. La plupart des échanges nécessitent l'enregistrement d'au moins deux clés de sécurité (une principale et une de sauvegarde) avant de désactiver les anciennes méthodes 2FA.

2. Certaines plates-formes génèrent des codes de récupération imprimables lors de l'inscription des clés ; ceux-ci doivent être stockés hors ligne et ne sont valables qu'une seule fois par utilisation.

3. La perte de toutes les clés enregistrées sans codes de sauvegarde peut déclencher une re-vérification obligatoire de l'identité, y compris le téléchargement de documents et les sessions vidéo KYC.

4. YubiKey lui-même ne stocke pas les données de compte ni les clés privées en externe : il signe uniquement les défis cryptographiques émis par le serveur d'échange.

5. La réinscription d'une YubiKey de remplacement nécessite un accès complet au compte via 2FA existant ou une adresse e-mail vérifiée, en fonction de la politique de secours de l'échange.

Risques et limites

1. L’authentification résistante au phishing échoue si les utilisateurs approuvent par erreur les demandes de signature malveillantes provenant de domaines usurpés qui imitent des interfaces d’échange légitimes.

2. Les extensions de navigateur ou les bloqueurs de publicités peuvent interférer avec les appels de l'API WebAuthn, provoquant des échecs d'enregistrement ou de connexion sans messages d'erreur clairs.

3. La prise en charge des applications mobiles reste incohérente : certains échanges limitent l'utilisation des clés matérielles aux navigateurs de bureau uniquement, à l'exclusion des applications natives iOS ou Android.

4. Les anciennes clés U2F uniquement, comme les anciens modèles YubiKey Neo, sont incompatibles avec les nouveaux points de terminaison FIDO2 uniquement déployés par les bourses mettant à niveau leur infrastructure d'authentification.

5. Le vol physique d'une YubiKey inscrite n'accorde pas un accès immédiat au compte, sauf en combinaison avec la connaissance du mot de passe d'échange et du contexte de session de l'utilisateur.

Foire aux questions

Q : Puis-je utiliser la même YubiKey sur plusieurs comptes Exchange ? R : Oui. Une seule YubiKey prend en charge des enregistrements WebAuthn illimités, chacun isolé cryptographiquement par domaine.

Q : L'utilisation d'une YubiKey empêche-t-elle entièrement les attaques par échange de carte SIM ? R : Oui. Contrairement au 2FA basé sur SMS, les clés matérielles éliminent la dépendance à l’égard de l’infrastructure de télécommunications et des numéros de téléphone contrôlés par l’opérateur.

Q : Que se passe-t-il si mon échange désactive la prise en charge FIDO2 de manière inattendue ? R : L'échange doit maintenir une compatibilité descendante avec les clés précédemment inscrites jusqu'à ce que des avis formels de dépréciation soient publiés et que des chemins de migration alternatifs soient fournis.

Q : La vérification biométrique sur YubiKey Bio est-elle requise pour la connexion à l'échange ? R : Non. Les capteurs biométriques servent uniquement de mécanismes de déverrouillage locaux : le processus de signature cryptographique proprement dit reste entièrement fonctionnel en appuyant simplement sur un bouton.