Developpez.com - Rubrique Sécurité

Le Club des Développeurs et IT Pro

Microsoft lance la préversion publique du support de l'identification sans mot de passe à Azure AD

Grâce aux clés de sécurité FIDO2

Le 2019-07-11 10:12:54, par Stéphane le calme, Chroniqueur Actualités
Microsoft a annoncé la prise en charge en préversion publique des clés de sécurité FIDO2 dans Azure Active Directory (Azure AD) afin de fournir aux utilisateurs des fonctionnalités d'authentification sans mot de passe, éliminant ainsi les mots de passe du processus de connexion.

Avec l'aide d'une clé de sécurité FIDO2, ainsi que de l'application Microsoft Authenticator et de Windows Hello, tous les utilisateurs d'Azure AD peuvent désormais se connecter sans avoir à entrer de mot de passe.

L’équipe Microsoft 365 a avancé que « ces facteurs d’authentification puissants sont basés sur les mêmes protocoles et normes de chiffrement de clé publique / clé privée de classe mondiale, qui sont protégés par un facteur biométrique (reconnaissance des empreintes digitales ou du visage) ou un code PIN. Les utilisateurs appliquent le facteur biométrique ou le code PIN pour déverrouiller la clé privée stockée de manière sécurisée sur l'appareil. La clé est ensuite utilisée pour prouver l'identité de l'utilisateur et du périphérique vis-à-vis du service ».


Parallèlement à la prise en charge de la connexion sans mot de passe FIDO2, les utilisateurs de Microsoft 365 auront également accès à plusieurs autres nouvelles fonctionnalités en préversion publique cette semaine, parmi lesquelles :
  • Une nouvelle méthode d'authentification dans votre portail administrateur Azure AD qui vous permet d'attribuer des informations d'identification sans mot de passe à l'aide des clés de sécurité FIDO2 et d'une connexion sans mot de passe avec Microsoft Authenticator à des utilisateurs et des groupes.
  • des fonctionnalités mises à jour dans le portail d'enregistrement convergé permettant à vos utilisateurs de créer et de gérer des clés de sécurité FIDO2.
  • la possibilité d'utiliser les clés de sécurité FIDO2 pour s'authentifier sur des périphériques Windows 10 connectés à Azure AD sur les dernières versions des navigateurs Edge et Firefox.

Le vice-président de la division Microsoft Identity, Alex Simons, a assuré que la société ajouterait également un certain nombre d'autres fonctionnalités conçues pour permettre la gestion de tous les « facteurs d'authentification traditionnels (authentification multifactorielle (AMF), jetons OATH, identification du numéro de téléphone, etc.) »

L'objectif final est d'ajouter une prise en charge de l'ensemble des facteurs d'authentification disponibles, afin de réduire considérablement le risque de compromission du compte en rendant le processus de connexion considérablement plus sécurisé à long terme.


« Malheureusement, les mots de passe ne sont plus un mécanisme de sécurité efficace. Les analystes du secteur savent que 81% des cyberattaques réussies commencent par un nom d'utilisateur et un mot de passe compromis », a déclaré Alex Simons. « En outre, l'AMF traditionnelle, bien que très efficace, peut être difficile à utiliser et présente un taux d'adoption très faible ».

Microsoft a intégré les nouvelles solutions d'authentification sans mot de passe en préversion publique avec l'aide de Feitian Technologies, Yubico et HID Global, qui fournissent des clés et des cartes de sécurité compatibles avec le nouveau support Azure AD FIDO2.

Chacun des trois partenaires Microsoft fournit aux utilisateurs Azure AD différents facteurs de forme FIDO2:
  • La biométrie pour assurer votre sécurité : un moyen naturel de vous connecter à un compte
  • Des clés NFC et des clés de sécurité USB vous permettant d’accéder à tout PC compatible FIDO
  • Des cartes à puce utilisées par les entreprises qui souhaitent utiliser des badges pour la gestion des identités

La liste complète des fournisseurs de clés de sécurité FIDO2 compatibles avec l'expérience sans mot de passe Azure AD est disponible sur le site Web de documentation de Microsoft Azure.

Microsoft fournit également une procédure détaillée étape par étape pour activer la fonctionnalité en préversion de connexion sans mot de passe pour Azure AD, ainsi qu'une liste d'extensions et de fonctionnalités que les clés FIDO2 doivent implémenter pour être compatibles.

Activer la fonctionnalité de connexion sans mot de passe pour Azure AD

Source : Microsoft (1, 2, 3)

Et vous ?

Que pensez-vous de ces nouvelles options de connexion ?
Avez-vous déjà essayé une autre méthode d'identification que le couple identifiant / mot de passe ? Lequel ? Qu'en avez-vous pensé ?

Voir aussi :

WebAuthn : le W3C et l'Alliance FIDO finalisent la norme pour les connexions sans mot de passe et appellent les sites et entreprises à l'adopter
Avec les normes d'authentification FIDO2 intégrées à Android 7.0+, les utilisateurs pourront s'affranchir des MdP sur leurs applications et sites
Thunderbird 60.0 : le client de messagerie libre fait peau neuve avec le design Photon de Firefox, et supporte la norme d'authentification FIDO U2F
Netflix annonce la disponibilité de FIDO en open source, son outil de gestion d'incidents de sécurité
  Discussion forum
38 commentaires
  • tanaka59
    Inactif
    Bonjour,

    Que pensez-vous de l'authentification sans mot de passe ?
    Cela n'existe pas ... Il y a toujours un mot de passe genre un token ou code temporaire ... cela reste un mot de passe malgré tout.

    Garantit-elle plus de sécurité que le mot de passe ?
    Pas nécessairement ... Quid des moments ou l'on a pas forcement internet ou le réseau de téléphonie fixe comme mobile pour recevoir le code temporaire ? Quid du télétravail quand l'utilisateur n'a accès à sa ligne d'entreprise ?

    Quid des utilisateurs sans smartphone ou GSM qui ont un pc windows 10 ?

    Quid des particuliers lors du premier paramétrage du pc sans internet ?

    Partir du postulat que tout le monde à internet pour les sacro-saintes solutions multifacteurs me fait bien ...

    Avez déjà utilisé l'une des alternatives au mot de passe de Microsoft ? Si oui, laquelle ? Quel est votre retour d'expérience ?
    J'ai déjà essayé Hellow et l'identification multifacteur ... deçu car trop usine à gaz ... pire parfois même le sms n'arrive pas ...
    le 21/12/2020 à 14:28
  • zoonel
    Membre actif
    Moi ce dont j'ai le plus peur avec ce genre de système c'est que se passe-t-il si on perd sa clef ? (je parle ici plutot de FIDO2 que des veines de la paume même si c'est également possible)
    (gsm volé, dongle perdu, ...)
    Si c'est pour une société je dirais qu'on s'en fout, doit y avoir des backup qque part.
    Mais si c'est pour du perso, comment on fait ? on backup sa clef, mais qu'on sécurise avec quoi du coup ? (un mdp ? ) Et encore c'est si on a été assez prudent pour faire un backup (et puis on le backup où ?).
    D'après ce que j'ai lu sur ce genre d'auth, si t'as pas de backup de la clef t'es foutu, tes données sont perdues à jamais.
    Dans la vie réelle au moins si tu perds tes clefs tu peux faire appel à un serrurier pour quand même rentrer chez toi, même avec une porte blindée. Ici non, c'est bien ça qui me fait peur.
    le 21/12/2020 à 23:26
  • droggo
    Expert confirmé
    Bonjour,

    Il ne nous reste plus qu'à attendre la catastrophe si largement prévisible ...
    le 11/07/2019 à 14:11
  • sergio_is_back
    Expert confirmé
    C'est sympa l'authentification par SMS sur ton tél, lorsque tu es sur site classé SEVESO avec interdiction des téléphones portables....
    le 16/09/2021 à 15:32
  • ji_louis
    Membre régulier
    Je ne doute pas du fait qu'une solution biométrique (doigt, veines, oeil, etc) donne un code plus complexe, personnel et reproductible qu'un mot de passe.

    Le problème est "Que se passera-t-il quand ce code biométrique aura été compromis?" (parce que tout code binaire peut être copié et reproduit).
    Imaginez votre compte bancaire vidé par un pirate qui aura utilisé votre code biométrique (donc non répudiable), opération non remboursée par la banque...

    La gestion des mots de passe est une plaie nécessaire pour assurer un bon niveau de sécurité. Les industriels de l'informatique veulent faire passer tous leurs clients sur des services distants, donc gérés par les industriels, ce qui assure à ces industriels une clientèle captive qu'ils pourront pressurer à loisir (quand ils n'en profiteront pas pour pirater leurs secrets, de la correspondance, industriels, commerciaux ou autres, comme Amazon est accusé de l'avoir fait).

    Il vaut mieux avoir un service local de gestion des mots de passes avec une sauvegarde ad hoc et des procédures de redémarrage idoines, cela assure l'indépendance de l'entreprise.
    le 21/12/2020 à 16:00
  • totozor
    Membre expert
    Envoyé par sergio_is_back
    C'est sympa l'authentification par SMS sur ton tél, lorsque tu es sur site classé SEVESO avec interdiction des téléphones portables....
    Ou quand il sert à débloquer une application qui est sur ton téléphone
    le 16/09/2021 à 16:26
  • fatbob
    Membre éclairé
    Quelqu'un sait-il pourquoi aucun site où l'on a besoin d'un mot de passe n'interdit de faire des dizaines de milliers d'essais chaque seconde ?
    Si il n'était pas possible de faire plus d'un essais toute les trois secondes, par exemple, cela ne serait-il pas déjà un bon début pour limiter le problème ?
    Avec 6 caractères alphanumériques, et 3 secondes par essais, on atteint déjà 5400 ans pour un algo de force brute.

    Toutes ces méthodes alternative de double authentification, cela ressemble plus à un moyen de récupérer les numéros de téléphone de tous les clients qui ouvrent un compte.
    Pour ma part, je n'ai pas envie de filer ce numéro à n'importe qui sous prétexte de sécurité.
    On reparlera de ça quand les opérateurs téléphoniques permettront d'avoir au moins un ou deux alias modifiables pour nos numéros de téléphones afin de pouvoir virer périodiquement tous les spammeurs sans avoir besoin de prévenir tous ses contacts mais pour l'instant, c'est juste un moyen de plus pour nous envoyer de la pub.
    le 24/09/2021 à 10:13
  • chrtophe
    Responsable Systèmes
    Dans le cas de l'authentification à double facteurs par exemple, tu peux générer des clés de secours. Encore faut il le savoir et penser à le faire.
    le 22/12/2020 à 8:14
  • Fagus
    Membre expert
    Envoyé par zoonel
    Moi ce dont j'ai le plus peur avec ce genre de système c'est que se passe-t-il si on perd sa clef ? (je parle ici plutot de FIDO2...
    Les gens qui vendent des clés physiques te disent d'en acheter 2...

    Personnellement, j'imprime la clé sur un papier que j'archive sur un autre site. Il y a moyen de l'imprimer sous forme chiffrée (naturellement ou via GPG). On peut aussi la convertir en QR code ou autre archivage graphique en offline avant de l'imprimer pour éviter un OCR fastidieux.

    Le papier a l'avantage de se conserver au delà d'une vie, prendre peu de place et coûter moins cher qu'une clé de secours ou un média qui sera moins fiable.
    le 22/12/2020 à 17:15
  • Fagus
    Membre expert
    En résumé : Ils ont branché une carte de prototypage sur un PC en USB . Celle-ci se fait passer pour une webcam et envoie deux images statiques (une image noire + une photo infrarouge de l'utilisateur). Windows hello prend ça pour l'utilisateur et se déverrouille.
    le 19/07/2021 à 12:25
  Poster une réponse