Qu’est-ce qu’une clé de sécurité physique (security key) ?
Une security key — ou clé de sécurité physique — est un dispositif de la taille d'une clé USB qui protège vos comptes contre le phishing de manière absolue. Contrairement aux SMS ou aux applications d'authentification, une clé de sécurité vérifie le domaine du site web avant de répondre : si le site est faux, elle ne s'authentifie pas. Selon Google, depuis l'implantation de clés physiques pour ses employés, les cas de phishing sont tombés à zéro (Google, 2019).
Dans cet article, nous expliquons comment elles fonctionnent, à quoi elles servent et quels modèles sont les plus adaptés à vos appareils.
Comment fonctionne une security key ?
Une clé de sécurité est un second facteur d'authentification basé sur la cryptographie à clé publique. Lorsque vous l'enregistrez sur un service, l'appareil génère une paire de clés uniques :
- Une clé privée qui ne quitte jamais le matériel
- Une clé publique qui est enregistrée sur le service
Lorsque vous vous connectez, le service envoie un défi mathématique que seule votre clé peut résoudre. Et le plus important : la clé vérifie le domaine avant de répondre. Si quelqu'un vous envoie sur un faux site qui imite votre banque ou Gmail, la clé échoue automatiquement, même si l'attaquant possède votre mot de passe.
À quoi sert une security key ?
Les clés de sécurité protègent les comptes sur les services compatibles avec les standards FIDO2 et WebAuthn, qui incluent aujourd'hui la majorité des plateformes importantes. Cas d'utilisation les plus fréquents :
- E-mail principal et gestionnaire de mots de passe
- Comptes bancaires et fintech (Revolut, PayPal, Wise)
- Plateformes d'échange de cryptomonnaies (Binance, Coinbase, Kraken)
- Comptes d'entreprise avec accès à des données sensibles
- Accès SSH aux serveurs et consoles cloud (AWS, GCP, Azure)
Si vous manipulez des informations sensibles ou des comptes à valeur économique, une clé de sécurité élimine le vecteur d'attaque le plus courant : le phishing.
Clés de sécurité recommandées
Ces deux modèles de YubiKey sont les plus utilisés. La seule différence est le connecteur — choisissez en fonction des ports de vos appareils.
Plus vendue
YubiKey 5 NFC (USB-A)
Compatible USB-A et NFC. Supporte FIDO2, WebAuthn, OTP et OpenPGP. Sans batterie, sans pilotes.
Pour ordinateurs modernes
YubiKey 5C NFC (USB-C)
Mêmes fonctions que la 5 NFC mais avec connecteur USB-C. Compatible également avec les smartphones Android sans adaptateur.
Accessoires pour votre YubiKey
Une fois que vous avez votre clé, la protéger physiquement est tout aussi important. Ces accessoires sont fabriqués en Espagne et conçus spécifiquement pour YubiKey.
Porte-clés
Porte-clés avec Cordon
Étui avec cordon intégré. Protège contre les chocs et les rayures de l'usage quotidien. PLA+, fabriqué en Espagne.
Pour le portefeuille
Support Format Carte
Mêmes dimensions qu'une carte de crédit. Se glisse dans n'importe quel portefeuille sans ajouter de volume. PLA+, fabriqué en Espagne.
Si vous portez votre YubiKey sur votre trousseau de clés, l'étui avec cordon est l'option la plus pratique. Si vous la gardez dans votre portefeuille, le support format carte occupe exactement la même place qu'une carte de crédit.
Security key vs autres formes de 2FA
Tous les seconds facteurs n'offrent pas le même niveau de protection :
| Méthode 2FA | Protège du phishing | Nécessite batterie | Coût approx. |
|---|---|---|---|
| Security key (FIDO2) | ✅ Oui | ❌ Non | 25–70 € |
| App authentification (TOTP) | ❌ Non | ✅ Oui (mobile) | Gratuit |
| SMS avec code | ❌ Non | ✅ Oui (mobile) | Gratuit |
| E-mail avec lien | ❌ Non | ✅ Oui (mobile) | Gratuit |
La différence critique est la protection contre le phishing. Avec un SMS ou un code TOTP, un attaquant peut capturer le code en temps réel. Avec une security key, l'appareil valide le domaine avant de répondre — bloquant l'attaque même si l'attaquant possède votre mot de passe.
La règle du backup : toujours deux clés
C'est l'erreur la plus courante au début : n'enregistrer qu'une seule clé. Si vous la perdez ou qu'elle se casse, vous vous retrouvez bloqué hors de tous les comptes où elle était configurée. La solution est simple : enregistrez toujours une deuxième clé de secours (backup) et gardez-la en lieu sûr.
Achetez deux clés dès le départ. Utilisez la première quotidiennement et gardez la seconde comme secours. Si sur certains services vous ne pouvez pas enregistrer de deuxième clé, conservez les codes de récupération imprimés sur papier.
Questions fréquemment posées
Est-ce que ça fonctionne sur mobile ?
Oui, si la clé dispose du NFC ou d'un connecteur USB-C compatible. Les deux modèles recommandés ici incluent le NFC — il suffit d'approcher la clé du mobile pour s'authentifier.
Que se passe-t-il si je la perds ?
Si vous avez enregistré une deuxième clé ou sauvegardé vos codes de récupération, vous pouvez restaurer l'accès sans problème. C'est pourquoi configurer un backup dès le début est crucial.
Est-ce compatible avec Gmail, Outlook et les réseaux sociaux ?
Oui. Google, Microsoft, GitHub, X et la plupart des plateformes pertinentes supportent FIDO2 et WebAuthn.
Y a-t-il une batterie ?
Non. Elle est alimentée par le port USB ou par le champ NFC. Elle ne nécessite ni charge ni entretien.
Dois-je installer un pilote (driver) ?
Non. Les YubiKey fonctionnent comme des périphériques HID standard — elles sont reconnues automatiquement sous Windows, macOS et Linux.
Par où commencer
Une security key est le moyen le plus efficace de protéger vos comptes en ligne contre le phishing et le vol d'identifiants. Si vous n'en avez jamais utilisé, voici l'ordre recommandé : achetez deux clés (une pour l'usage quotidien, une de secours), enregistrez-les d'abord sur votre e-mail principal et votre gestionnaire de mots de passe, et conservez les codes de récupération de chaque service sur papier.
Le coût de deux clés — moins de 100 € — est dérisoire comparé à l'impact de la perte d'accès à un compte critique.
