Tutoriel 📝 Configuration de l'authentification biométrique avec PAM et FIDO2 sous Linux

[Sylvain*]

Configuration de l'authentification biométrique avec PAM et FIDO2 sous Linux

Introduction

• Sous Linux, l’authentification biométrique repose sur PAM (Pluggable Authentication Modules), qui permet d'utiliser des empreintes digitales ou des clés de sécurité FIDO2 pour sécuriser l'accès au système.

• Ce guide explique comment configurer la reconnaissance biométrique et l'utilisation des clés de sécurité sur différentes distributions Linux.

---

Prérequis

• Exigences techniques :

• Une distribution Linux compatible avec PAM (Ubuntu, Debian, Fedora, Arch, etc.).

• Un lecteur d’empreintes digitales pris en charge (pour la biométrie).

• Une clé de sécurité FIDO2 compatible (Yubikey, SoloKey, etc.).

• Permissions nécessaires :

• Accès root ou sudo pour configurer PAM.

• Installation des packages nécessaires pour la gestion des empreintes digitales ou des clés FIDO2.

---

Méthodologie

• Il existe deux approches pour configurer l'authentification biométrique sous Linux :

• Méthode 1 : Utilisation des outils natifs et de l'interface graphique (GNOME, KDE).

• Méthode 2 : Configuration manuelle avec PAM et la ligne de commande (Bash).

---

Avantages des 2 méthodes

• Méthode 1 : Facile à configurer pour les débutants, accessible via l’interface graphique.

• Méthode 2 : Plus flexible, permet une configuration avancée et automatisée.

---

Inconvénients des 2 méthodes

• Méthode 1 : Moins de flexibilité et dépend de l’environnement de bureau.

• Méthode 2 : Plus complexe, nécessite des connaissances en ligne de commande et PAM.

---

Étapes pour chaque méthode

• Méthode 1 : Configuration via l’interface graphique


Installation des outils nécessaires (si non préinstallés) :

sudo apt install fprintd libpam-fprintd

Ajout d'une empreinte digitale :

fprintd-enroll

Suivez les instructions et placez votre doigt plusieurs fois sur le capteur.

Redémarrez votre machine et testez avec la commande :

fprintd-verify

Activez l’authentification avec PAM :

sudo pam-auth-update

Sélectionnez "Fingerprint authentication" et validez.

• Méthode 2 : Configuration manuelle avec PAM et FIDO2

Installation des modules PAM pour FIDO2 :

sudo apt install libpam-u2f

Création du répertoire de configuration FIDO2 :

mkdir -p ~/.config/Yubico

Enregistrement de la clé de sécurité :

pamu2fcfg > ~/.config/Yubico/u2f_keys

Ajout du module PAM pour l’authentification :

sudo nano /etc/pam.d/sudo

Ajoutez cette ligne en haut du fichier :

auth required pam_u2f.so

Enregistrez et testez l’authentification avec votre clé FIDO2 :

sudo -i

---

Astuce

• Vous pouvez coupler l’authentification biométrique avec sudo pour éviter de saisir votre mot de passe.

---

Mise en garde

• Si vous modifiez /etc/pam.d/ de manière incorrecte, vous pourriez être bloqué hors de votre système. Testez toujours les changements dans une session séparée.

---

Conseil

• Si votre lecteur d'empreintes digitales n'est pas reconnu, vérifiez sa compatibilité avec lsusb et installez un pilote spécifique si nécessaire.

---

Solution alternative

• Vous pouvez utiliser Google Authenticator ou Authy pour une authentification 2FA via OTP au lieu de l'authentification biométrique.

---

Références

• Linux :

• Recherche Google

• Ubuntu FR

• Debian FR

---

Conclusion

• L’authentification biométrique sous Linux est possible via PAM, avec prise en charge des empreintes digitales et des clés FIDO2.

• L’utilisation d’une clé de sécurité FIDO2 est une méthode robuste pour protéger l’accès root et sudo.

• Pour une sécurité optimale, combinez PAM, FIDO2 et 2FA afin de réduire les risques d'accès non autorisés.