Skip to Main Content

Clés SSH passwordless : configuration et avantages de la connexion sans mot de passe

Les mots de passe restent le maillon faible de la sécurité informatique, quel que soit leur niveau de robustesse. Qu'ils soient volés par phishing, cassés par force brute ou compromis lors de fuites massives, ils exposent systématiquement les organisations à des risques d'intrusion. Face à ces limites structurelles, l'authentification passwordless s'impose comme une réponse définitive au problème des identifiants compromis.

Pour les équipes IT et développeurs qui gèrent des accès serveurs quotidiens, les clés SSH constituent la méthode passwordless de référence. Cette approche repose sur la cryptographie asymétrique plutôt que sur des secrets mémorisables. Découvrez le fonctionnement des clés SSH, leur configuration sécurisée, et comment 1Password simplifie leur gestion.

 

Passwordless: la fin des mots de passe pour les accès serveurs

L'authentification passwordless désigne toute méthode de connexion qui élimine la saisie de mots de passe. Cette approche remplace les secrets mémorisables par des facteurs d'authentification plus robustes comme la biométrie, les clés cryptographiques ou les codes à usage unique. L'objectif: supprimer le maillon faible que représentent les mots de passe traditionnels.

Pour les accès serveurs et infrastructures IT, les clés SSH constituent la méthode passwordless la plus répandue. Les administrateurs système et développeurs se connectent quotidiennement via SSH (Secure Shell) pour gérer des serveurs, transférer des fichiers et automatiser des déploiements.

Ces clés SSH offrent plusieurs avantages:

  • Sécurité supérieure aux mots de passe traditionnels

  • Aucune transmission de secret sur le réseau

  • Protection native contre le phishing et le credential stuffing

  • Authentification par signature cryptographique unique à chaque connexion

 

Cryptographie asymétrique: le secret des connexions SSH sans mot de passe

Les clés SSH fonctionnent selon le principe de la cryptographie asymétrique. Cette méthode utilise deux clés mathématiquement liées mais distinctes. La relation unidirectionnelle garantit qu'on ne peut pas déduire une clé à partir de l'autre.

Le processus d'authentification peut se résumer ainsi:

1. Le serveur envoie un défi: un challenge cryptographique unique est transmis au client 2. Le client signe le défi: la clé privée génère une signature qu’elle seule peut produire 3. Le serveur vérifie: la clé publique enregistrée valide la signature et autorise l'accès

Ce processus élimine les vulnérabilités des mots de passe. Aucun secret ne transite sur le réseau. Un attaquant qui intercepte la signature ne peut pas la réutiliser. Les attaques par force brute deviennent mathématiquement impossibles face à une clé de 4096 bits.

 

Clé publique, clé privée: comprendre l'architecture d'une paire SSH

Une paire de clés SSH se compose de deux fichiers distincts aux rôles complémentaires. La clé publique peut être partagée librement avec tous les serveurs auxquels vous souhaitez accéder. La clé privée doit rester strictement confidentielle sur votre poste de travail local.

L'analogie du cadenas illustre bien ce fonctionnement: la clé publique agit comme un cadenas installé sur chaque serveur. Seule votre clé privée déverrouille ces cadenas. Même si un attaquant récupère votre clé publique, il ne peut rien en faire sans la clé privée correspondante.

Deux algorithmes dominent aujourd'hui pour générer des clés SSH:

Ed25519: C'est le choix par défaut recommandé par l'ANSSI. Plus rapide, plus sécurisé, et compatible avec tous les serveurs récents (Linux, macOS, Windows Server post-2019).

RSA 4096 bits: À réserver aux environnements legacy qui ne supportent pas encore Ed25519. La longueur de 4096 bits est le minimum pour maintenir un niveau de sécurité acceptable.

Dans tous les cas, ajoutez systématiquement une passphrase lors de la génération. Cette couche de protection chiffre votre clé privée sur le disque: si votre machine est compromise, la clé reste inutilisable sans cette phrase secrète.

 

Configuration SSH: générer et déployer vos clés en toute sécurité

Deux méthodes permettent de générer vos clés SSH: la commande ssh-keygen pour les environnements sans interface graphique, ou directement dans 1Password pour une gestion centralisée et sécurisée. 

Génération en ligne de commande

La commande ssh-keygen est disponible nativement sur Linux, macOS et Windows 10+. Lancez dans un terminal: ssh-keygen -t ed25519 -C "[email protected]"

Acceptez l'emplacement par défaut ~/.ssh/id_ed25519 et définissez une passphrase robuste (15-20 caractères) pour chiffrer la clé sur le disque. Déployez ensuite la clé publique sur vos serveurs avec ssh-copy-id [email protected]. Testez immédiatement: ssh [email protected] demande maintenant votre passphrase de clé SSH, plus le mot de passe du serveur.

Génération avec 1Password

1Password génère des clés SSH directement dans l'application, sans exposer la clé privée sur votre système de fichiers. Créez un élément "Clé SSH", sélectionnez "Générer une nouvelle clé" et choisissez Ed25519 (ANSSI) ou RSA 4096 bits. La clé est instantanément chiffrée, synchronisée sur tous vos appareils et ne quitte jamais votre coffre-fort. Copiez la clé publique depuis 1Password et ajoutez-la dans ~/.ssh/authorized_keys sur vos serveurs. Au-delà de la génération initiale, c'est la gestion quotidienne des clés qui détermine la sécurité réelle de votre infrastructure. Voyons en détail les risques de la gestion manuelle et les bénéfices d'un agent centralisé.

 

Les risques cachés d'une gestion manuelle des clés SSH

Si les clés SSH renforcent la sécurité des connexions, leur gestion manuelle crée paradoxalement de nouveaux risques pour les organisations:

  • Clés stockées en clair: le répertoire `~/.ssh/` contient souvent des dizaines de clés privées non chiffrées. Un malware ou un accès physique au poste compromet instantanément tous les serveurs associés.

  •  Synchronisation problématique: les développeurs copient manuellement leurs clés entre appareils. Cette pratique multiplie les points d'exposition et fait perdre la visibilité sur les copies existantes.

  • Rotation inexistante: les équipes ignorent quelles clés sont déployées sur quels serveurs. Révoquer une clé compromise nécessite de parcourir manuellement des centaines de fichiers `authorized_keys`.

 

1Password: l'agent SSH qui protège vos clés sans les exposer

1Password intègre un agent SSH qui transforme la gestion des clés. L'agent agit comme intermédiaire entre vos applications et vos clés privées. Les applications demandent une signature, l'agent la fournit, mais la clé privée ne quitte jamais 1Password.

  • Génération et import sécurisés: 1Password supporte Ed25519 et RSA (2048, 3072, 4096 bits) selon les recommandations ANSSI. Les clés existantes du répertoire ~/.ssh/ s'importent en quelques clics puis sont chiffrées de bout en bout.

  • Synchronisation automatique: une clé générée sur votre poste fixe est instantanément disponible sur votre laptop et serveurs de développement. Plus besoin de copier manuellement des fichiers entre machines.

  • Authentification biométrique: Touch ID, Windows Hello ou empreinte digitale remplacent la saisie de passphrase. Chaque demande d'accès déclenche une notification explicite pour contrôle précis.

  • Autofill et signature Git: l'extension navigateur détecte les champs de clés SSH sur GitHub et GitLab. La signature de commits Git s'intègre nativement sans configuration GPG complexe.

Au-delà de la gestion opérationnelle, 1Password Watchtower intègre des mécanismes de contrôle qui maintiennent la sécurité dans la durée. Watchtower analyse automatiquement votre inventaire de clés SSH et alerte immédiatement sur les algorithmes obsolètes (RSA < 2048 bits, DSA) ou les configurations non conformes aux standards ANSSI.

1Password Device Trust complète cette approche en détectant les clés SSH non chiffrées stockées localement sur les postes de travail. Plutôt que de bloquer brutalement l'accès, il guide les utilisateurs pas à pas vers la migration sécurisée de leurs clés dans 1Password.

 

Déployer l'authentification SSH passwordless en entreprise: les recommandations essentielles

La configuration technique des clés SSH n'est que la première étape. Pour maintenir un niveau de sécurité optimal dans la durée, quatre pratiques doivent être institutionnalisées:

1. Politique de rotation des clés

Renouvelez les clés SSH tous les 12 à 18 mois minimum. Les départs d'employés déclenchent une révocation immédiate de toutes leurs clés.

2. Audit régulier et inventaire centralisé

Utilisez des outils comme 1Password Watchtower pour identifier automatiquement les algorithmes faibles (RSA < 2048 bits, DSA). Maintenez un registre centralisé des clés déployées pour faciliter conformité RGPD et enquêtes de sécurité.

3. Standardisation technique

Imposez Ed25519 pour toutes les nouvelles clés. Pour les systèmes plus anciens nécessitant RSA, exigez 4096 bits minimum conformément aux recommandations ANSSI.

4. Formation continue des équipes

Documentez les procédures de génération, déploiement et révocation dans un guide interne accessible. Les développeurs doivent comprendre pourquoi les clés non protégées représentent un risque critique.

 

Passez aux clés SSH passwordless pour sécuriser vos accès serveurs

L'authentification passwordless transforme la sécurité des accès informatiques en éliminant les vulnérabilités inhérentes aux mots de passe. Pour les infrastructures IT et les accès serveurs, les clés SSH représentent la méthode passwordless la plus robuste et la plus répandue. Cette approche protège contre le phishing, les attaques par force brute et le vol d'identifiants tout en améliorant la productivité des équipes techniques.

La gestion manuelle des clés SSH expose cependant à de nouveaux risques. 1Password résout cette problématique avec son agent SSH intégré. Vos clés restent chiffrées et synchronisées entre tous vos appareils.

Essayez 1Password pour simplifier vos connexions SSH sans mot de passe sur tous vos appareils ou demandez une démonstration personnalisée.