Comment utiliser Trezor comme clé de sécurité FIDO2 ? (Connexion sans mot de passe)

Capacité à double usage du portefeuille matériel

1. Les appareils Trezor prennent en charge l'authentification FIDO2 à partir de la version 2.5.0 du micrologiciel pour le modèle T et 23.1.0 pour Safe 3 et Safe 7.

2. L'appareil doit être physiquement connecté via USB ou couplé via Bluetooth, en fonction des capacités du modèle et de la prise en charge du système d'exploitation hôte.

3. Aucune installation de logiciel supplémentaire n'est requise sur les systèmes d'exploitation modernes : Windows 10/11, macOS 12+ et les noyaux Linux 5.10+ incluent les pilotes FIDO2 natifs.

4. Les utilisateurs doivent activer explicitement la fonctionnalité FIDO2 dans Trezor Suite sous Paramètres > Sécurité > Authentification FIDO2.

5. Une fois activé, l'appareil apparaît comme un authentificateur WebAuthn sur les sites Web et services compatibles tels que GitHub, Google, Dropbox et Microsoft Entra ID.

Processus d'inscription sur les plateformes prises en charge

1. Accédez aux paramètres de sécurité du compte d'un service prenant en charge les clés d'accès ou FIDO2, comme la section « Mot de passe et authentification » de GitHub.

2. Sélectionnez « Ajouter une clé de sécurité » ou « Enregistrer une nouvelle clé d'accès », puis insérez ou réveillez l'appareil Trezor.

3. Confirmez l'enregistrement sur l'écran Trezor en appuyant sur un bouton ou en effectuant une vérification biométrique si elle est prise en charge.

4. Attribuez un surnom lisible par l'homme (par exemple, « Trezor Safe 7 – Work ») lors de l'enregistrement — cette étiquette est stockée localement sur l'hôte, pas sur l'appareil.

5. L'achèvement déclenche un échange d'attestation cryptographique ; le service stocke uniquement la clé publique et l'identifiant d'identification, jamais la clé privée.

Flux d'authentification lors de la connexion

1. Lorsqu'il est invité à effectuer une connexion à deuxième facteur ou sans mot de passe, le navigateur lance une demande d'assertion WebAuthn.

2. Trezor reçoit le défi via le protocole CTAP2 et affiche le nom de domaine de la partie utilisatrice (par exemple, « login.microsoft.com »).

3. L'utilisateur confirme son intention en appuyant simultanément sur les deux boutons du Safe 3 ou en appuyant sur l'écran du Safe 7 ou du Model T.

4. L'appareil signe le défi avec sa clé ECDSA interne et renvoie la signature sans exposer le matériel privé.

5. La partie utilisatrice vérifie la signature à l'aide de la clé publique précédemment enregistrée et accorde l'accès après validation.

Limites et limites de la sécurité

1. Chaque identifiant FIDO2 est lié à une origine spécifique — un Trezor enregistré sur « github.com » ne peut pas s'authentifier sur « gitlab.com ».

2. Les informations d'identification ne sont pas synchronisées sur tous les appareils ; perdre le Trezor signifie perdre l'accès à moins que des informations d'identification de sauvegarde (par exemple, des codes de récupération ou des clés alternatives) existent.

3. La protection par code PIN pour les opérations FIDO2 est appliquée uniquement lorsque le code PIN du portefeuille principal de l'appareil est actif : la désactivation du code PIN du portefeuille désactive l'application du code PIN FIDO2.

4. Trezor ne stocke pas de modèles biométriques ; Les données d'empreintes digitales ou de visage restent entièrement sur le système hôte, sans jamais toucher le portefeuille matériel.

5. Les mises à jour du micrologiciel peuvent réinitialiser les informations d'identification FIDO2 : les utilisateurs doivent réenregistrer les clés après des mises à niveau majeures du micrologiciel, à moins que la prise en charge de la migration ne soit explicitement documentée.

Foire aux questions

T1. Puis-je utiliser le même Trezor pour la signature de crypto-monnaie et la connexion FIDO2 simultanément ? Oui. La signature de crypto-monnaie et les opérations FIDO2 utilisent des chemins de dérivation de clé distincts et n'interfèrent pas. L'appareil gère les contextes simultanés en interne.

Q2. Trezor prend-il en charge les clés résidentes (identifiants détectables) ? Oui. Trezor Safe 7 et Model T prennent en charge les clés résidentes lorsqu'ils sont configurés avec la vérification de l'utilisateur activée. Safe 3 nécessite une vérification externe de l'utilisateur via le système hôte et ne stocke pas les métadonnées d'identification détectables.

Q3. Pourquoi mon Trezor n'apparaît-il pas en option lors de l'inscription FIDO2 sur Chrome ? Cela se produit lorsque les autorisations USB sont bloquées, que le site ne dispose pas de HTTPS ou que l'appareil est en mode chargeur de démarrage. Assurez-vous que Trezor Suite est fermé, que le site utilise un certificat TLS valide et que l'appareil affiche l'écran d'accueil avant de lancer l'enregistrement.

Q4. Est-il possible d'exporter ou de sauvegarder un identifiant FIDO2 depuis Trezor ? Non. Les identifiants FIDO2 ne sont pas exportables de par leur conception. Ils sont liés cryptographiquement à l’appareil et ne peuvent pas être extraits, clonés ou migrés vers un autre authentificateur.