Trace Id is missing
Passer directement au contenu principal
Sécurité Microsoft

Qu’est-ce que FIDO2 ?

Découvrez les bases de l'authentification sans mot de passe FIDO2, notamment son fonctionnement et sa contribution à la protection des individus et des organisations contre les attaques en ligne.

Réduisez les risques grâce à l’authentification sans mot de passe

FIDO2 défini

FIDO2 (Fast IDentity Online 2) est une norme ouverte pour l'authentification des utilisateurs qui vise à renforcer la façon dont les gens se connectent aux services en ligne afin d'accroître la confiance globale. FIDO2 renforce la sécurité et protège les individus et les organisations contre la cybercriminalité en utilisant des informations d'identification cryptographiques résistantes au phishing pour valider l'identité des utilisateurs.

FIDO2 est la dernière norme d'authentification ouverte développée par la FIDO Alliance, un consortium industriel regroupant Microsoft et d'autres organisations technologiques, commerciales et gouvernementales. L'alliance a publié les normes d'authentification FIDO 1.0, —qui ont introduit l'authentification multifacteur (MFA) résistante au phishing—en 2014, et la dernière norme d'authentification sans mot de passe—FIDO2 (également appelée FIDO 2.0 ou FIDO 2)—en 2018.

Que sont les mots de passe et quel est leur lien avec FIDO2 ?

Peu importe leur durée ou leur complexité, ou la fréquence à laquelle ils sont modifiés, les mots de passe peuvent être compromis s’ils sont partagés volontairement ou involontairement. Même avec une solution de protection par mot de passe solide, chaque organisation court un certain risque de phishing, de piratage et d'autres cyberattaques au cours desquelles des mots de passe sont volés. Une fois entre de mauvaises mains, les mots de passe peuvent être utilisés pour obtenir un accès non autorisé aux comptes, appareils et fichiers en ligne.

Les clés d'accès sont des informations de connexion FIDO2 créées à l'aide de la cryptographie à clé publique. Remplaçant efficacement les mots de passe, ils renforcent la cybersécurité tout en rendant la connexion aux applications Web et aux sites Web pris en charge plus conviviale que les méthodes traditionnelles.

L'authentification sans mot de passe FIDO2 s'appuie sur des algorithmes cryptographiques pour générer une paire de clés d'accès privées et publiques—des nombres longs et aléatoires liés mathématiquement. La paire de clés est utilisée pour effectuer l’authentification de l’utilisateur directement sur l’appareil d’un utilisateur final, qu’il s’agisse d’un ordinateur de bureau, d’un ordinateur portable, d’un téléphone mobile ou d’une clé de sécurité. Une clé d'accès peut être liée à un appareil d'un seul utilisateur ou automatiquement synchronisée sur plusieurs appareils d'un utilisateur via un service cloud.

Comment fonctionne l'authentification FIDO2 ?

L'authentification sans mot de passe FIDO2 fonctionne en utilisant généralement des clés d'accès comme premier et principal facteur d'authentification du compte. En bref, lorsqu'un utilisateur s'inscrit auprès d'un service en ligne pris en charge par FIDO2, l'appareil client enregistré pour effectuer l'authentification génère une paire de clés qui fonctionne uniquement pour cette application Web ou ce site Web.

La clé publique est cryptée et partagée avec le service, mais la clé privée reste en sécurité sur l'appareil de l'utilisateur. Ensuite, chaque fois que l'utilisateur tente de se connecter au service, le service présente un défi unique au client. Le client active le dispositif de clé d'accès pour signer la demande avec la clé privée et la renvoyer. Cela rend le processus protégé cryptographiquement contre le phishing.

Types d'autentificateurs FIDO2

Avant que l'appareil puisse générer un ensemble unique de clés d'accès FIDO2, il doit confirmer que l'utilisateur qui demande l'accès n'est pas un utilisateur non autorisé ou un type de logiciel malveillant. Il le fait avec un authentificateur, qui est un appareil capable d'accepter un code PIN, des données biométriques ou tout autre geste de l'utilisateur.

Il existe deux types d'autentificateurs FIDO :

Authentificateurs itinérants (ou multiplateformes)

Ces authentificateurs sont des périphériques matériels portables distincts des périphériques clients des utilisateurs. Les authentificateurs itinérants comprennent des clés de sécurité, des smartphones, des tablettes, des appareils portables et d'autres appareils qui se connectent aux appareils clients via le protocole USB ou la communication en champ proche (NFC) et la technologie sans fil Bluetooth. Les utilisateurs vérifient leur identité de différentes manières, par exemple en branchant une clé FIDO et en appuyant sur un bouton ou en fournissant une donnée biométrique, telle qu'une empreinte digitale, sur leur smartphone. Les authentificateurs itinérants sont également appelés authentificateurs multiplateformes car ils permettent aux utilisateurs de s'authentifier sur plusieurs ordinateurs, à tout moment et en tout lieu.

Authentificateurs de plateforme (ou liés)

Ces authentificateurs sont intégrés aux appareils clients des utilisateurs, qu'il s'agisse d'un ordinateur de bureau, d'un ordinateur portable, d'une tablette ou d'un smartphone. Comprenant des capacités biométriques et des puces matérielles pour protéger les mots de passe, les authentificateurs de plate-forme exigent que l'utilisateur se connecte aux services pris en charge par FIDO avec son appareil client, puis s'authentifie via le même appareil, généralement avec une biométrie ou un code PIN.

Des exemples d'autentificateurs de plate-forme qui utilisent des données biométriques incluent Microsoft Windows Hello, Apple Touch ID et Face ID, ainsi qu'Android Fingerprint.

Comment s'inscrire et se connecter aux services pris en charge par FIDO2 :

Pour profiter de la sécurité accrue qu'offre l'authentification FIDO2, suivez ces étapes de base :

Comment s'inscrire à un service pris en charge par FIDO2 :

Étape 1 : Lors de votre inscription à un service, vous serez invité à choisir une méthode d’authentification FIDO prise en charge.

Étape 2 : Activez l'autentificateur FIDO avec un simple geste pris en charge par l'autentificateur, qu'il s'agisse de saisir un code PIN, de toucher un lecteur d'empreintes digitales ou d'insérer une clé de sécurité FIDO2.

Étape 3 : Une fois l'autentificateur activé, votre appareil générera une paire de clés privée et publique unique à votre appareil, votre compte et le service.

Étape 4 : Votre appareil local stocke en toute sécurité la clé privée et toutes les informations confidentielles relatives à la méthode d'authentification, telles que vos données biométriques. La clé publique est cryptée et, avec un identifiant généré aléatoirement, enregistrée auprès du service et stockée sur son serveur d'authentification.

Comment se connecter à un service pris en charge par FIDO2 :

Étape 1 : Le service émet un défi cryptographique pour confirmer votre présence.

Étape 2 : Lorsque vous y êtes invité, effectuez le même geste d'authentification que celui utilisé lors de l'enregistrement du compte. Une fois que vous aurez confirmé votre présence avec le geste, votre appareil utilisera alors la clé privée stockée localement sur votre appareil pour signer le défi.

Étape 3 : Votre appareil renvoie le défi signé au service, qui le vérifie avec la clé publique enregistrée en toute sécurité.

Étape 4 : Une fois terminé, vous êtes connecté.

Quels sont les avantages de l’authentification FIDO2 ?

Les avantages de l'authentification sans mot de passe FIDO2 incluent une sécurité et une confidentialité accrues, des expériences conviviales et une évolutivité améliorée. FIDO2 réduit également les charges de travail et les coûts associés à la gestion des accès.

  • Augmente la sécurité

    L'authentification sans mot de passe FIDO2 améliore considérablement la sécurité de la connexion en s'appuyant sur des mots de passe uniques. Avec FIDO2, les pirates ne peuvent pas facilement accéder à ces informations sensibles via le phishing, les ransomwares et d'autres actes courants de cybervol. Les clés biométriques et FIDO2 aident également à éliminer les vulnérabilités des méthodes d'authentification multifactorielle traditionnelles, telles que l'envoi de codes d'accès à usage unique (OTP) via des messages texte.

  • Améliore la confidentialité des utilisateurs

    L'authentification FIDO renforce la confidentialité des utilisateurs en stockant en toute sécurité les clés cryptographiques privées et les données biométriques sur les appareils des utilisateurs. De plus, étant donné que cette méthode d'authentification génère des paires de clés uniques, elle permet d'empêcher les fournisseurs de services de suivre les utilisateurs sur plusieurs sites. En outre, en réponse aux inquiétudes des consommateurs concernant une éventuelle utilisation abusive des données biométriques, les gouvernements adoptent des lois sur la confidentialité qui empêchent les organisations de vendre ou de partager des informations biométriques.

  • Favorise la facilité d’utilisation

    Avec l'authentification FIDO, les individus peuvent authentifier leur identité rapidement et facilement à l'aide de clés FIDO2, d'applications d'authentification ou de lecteurs d'empreintes digitales ou de caméras intégrées à leurs appareils. Bien que les utilisateurs doivent effectuer une deuxième, voire une troisième étape de sécurité (par exemple lorsque plusieurs données biométriques sont requises pour la vérification de l'identité), ils s'épargnent le temps et les tracas associés à la création, la mémorisation, la gestion et la réinitialisation des mots de passe.

  • Améliore l'évolutivité

    FIDO2 est une norme ouverte et sans licence qui permet aux entreprises et autres organisations de faire évoluer les méthodes d'authentification sans mot de passe dans le monde entier. Avec FIDO2, ils peuvent offrir des expériences de connexion sécurisées et rationalisées à tous les employés, clients et partenaires, quels que soient le navigateur et la plate-forme choisis.

  • Simplifie la gestion des accès

    Les équipes informatiques n'ont plus besoin de déployer et de gérer des politiques et une infrastructure de mots de passe, ce qui réduit les coûts et leur permet de se concentrer sur des activités à plus forte valeur ajoutée. De plus, la productivité du personnel du service d’assistance augmente, car ils n’ont pas à prendre en charge les demandes basées sur des mots de passe, telles que la réinitialisation des mots de passe.

Que sont WebAuthn et CTAP2 ?

L'ensemble des spécifications FIDO2 comprend deux éléments : Authentification Web (WebAuthn) et protocole client-authentificateur 2 (CTAP2). Le composant principal, WebAuthn, est une API JavaScript implémentée dans les navigateurs et plates-formes Web conformes afin que les appareils enregistrés puissent effectuer l'authentification FIDO2. Le World Wide Web Consortium (W3C), l'organisation internationale de normalisation pour le World Wide Web, a développé WebAuthn en partenariat avec l'Alliance FIDO. WebAuthn est devenu une norme Web formelle du W3C en 2019.

Le deuxième composant, CTAP2, développé par FIDO Alliance, permet aux authentificateurs itinérants, tels que les clés de sécurité FIDO2 et les appareils mobiles, de communiquer avec les navigateurs et les plates-formes pris en charge par FIDO2.

Que sont FIDO U2F et FIDO UAF ?

FIDO2 est une évolution de FIDO 1.0, la première spécification d'authentification FIDO publiée par l'alliance en 2014. Ces spécifications originales incluaient le protocole FIDO Universal Second Factor (FIDO U2F) et le protocole FIDO Universal Authentication Framework (FIDO UAF).

FIDO U2F et FIDO UAF sont des formes d'authentification multifactorielle, qui nécessitent deux ou trois éléments de preuve (ou facteurs) pour valider un utilisateur. Ces facteurs peuvent être quelque chose que seul l'utilisateur connaît (comme un mot de passe ou un code PIN), possède (comme une clé FIDO ou une application d'authentification sur un appareil mobile) ou est (comme une donnée biométrique).

En savoir plus sur ces spécifications :

FIDO U2F

FIDO U2F renforce les normes d'autorisation basées sur un mot de passe avec une authentification à deux facteurs (2FA), qui valide l'utilisateur avec deux éléments de preuve. Le protocole FIDO U2F exige qu'un individu fournisse une combinaison de nom d'utilisateur et de mot de passe valide comme premier facteur, puis utilise un périphérique USB, NFC ou Bluetooth comme deuxième facteur, en s'authentifiant généralement en appuyant sur un bouton ou en saisissant un OTP sensible au temps.

FIDO U2F est le successeur de CTAP 1 et le prédécesseur de CTAP2, qui permet aux individus d'utiliser des appareils mobiles en plus des clés FIDO comme appareils de deuxième facteur.

FIDO UAF

FIDO UAF facilite l'authentification multifactorielle sans mot de passe. Il nécessite qu'un individu se connecte avec un appareil client enregistré auprès de FIDO—qui confirme la présence de l'utilisateur avec un contrôle biométrique, tel qu'une empreinte digitale ou un scan du visage, ou avec un code PIN—comme premier facteur. L'appareil génère ensuite la paire de clés unique comme deuxième facteur. Un site Web ou une application peut également utiliser un troisième facteur, comme une donnée biométrique ou la situation géographique de l’utilisateur.

FIDO UAF est le prédécesseur de l'authentification sans mot de passe FIDO2.

Comment implémenter FIDO2

La mise en œuvre de la norme FIDO2 sur les sites Web et les applications nécessite que votre organisation dispose de matériel et de logiciels modernes. Heureusement, toutes les principales plates-formes Web, notamment Microsoft Windows, Apple iOS, MacOS et les systèmes Android, ainsi que tous les principaux navigateurs Web, notamment Microsoft Edge, Google Chrome, Apple Safari et Mozilla Firefox, prennent en charge FIDO2. Votre solution de gestion des identités et des accès (IAM) doit également prendre en charge l'authentification FIDO2.

En général, la mise en œuvre de l'authentification FIDO2 dans des sites Web et des applications nouveaux ou existants implique ces étapes clés :

  1. Définissez l'expérience de connexion des utilisateurs et les méthodes d'authentification, ainsi que les politiques de contrôle d'accès.
  2. Créez de nouvelles pages d'inscription et de connexion ou modifiez celles existantes avec les spécifications du protocole FIDO appropriées.
  3. Configurez un serveur FIDO pour authentifier les demandes d'enregistrement et d'authentification FIDO. Le serveur FIDO peut être un serveur autonome, s'intégrer à un serveur Web ou d'applications, ou être fourni sous forme de module IAM.
  4. Créez de nouveaux workflows d'authentification ou modifiez ceux existants.

FIDO2 et authentification biométrique

L’authentification biométrique utilise les caractéristiques biologiques ou comportementales uniques d’une personne pour confirmer que cette personne est bien celle qu’elle prétend être. Les données biométriques sont collectées et converties en modèles biométriques accessibles uniquement avec un algorithme secret. Lorsque l'individu tente de se connecter, le système récupère les informations, les convertit et les compare avec les données biométriques stockées.

Voici des exemples d'authentification biométrique :

Biologique

  • Analyse des empreintes digitales
  • Analyse de la numérise
  • Reconnaissance vocale
  • Correspondance d’UN ÉCHANTILLON
  • Analyse de la numérise

Comportementale

  • Utilisation de l’écran tactile
  • Vitesse de saisie
  • Raccourcis clavier
  • Activité de la souris

L’authentification biométrique est une réalité dans les lieux de travail numériques hybrides d’aujourd’hui. Les employés apprécient le fait que cela leur donne la flexibilité de s'authentifier rapidement et en toute sécurité où qu'ils le souhaitent. Les entreprises apprécient le fait que cela réduit considérablement leur surface d'attaque, décourageant ainsi les cybercrimes qui pourraient autrement cibler leurs données et leurs systèmes.

Pourtant, l’authentification biométrique n’est pas entièrement à l’épreuve des pirates informatiques. Par exemple, des acteurs malveillants peuvent utiliser les données biométriques d’une autre personne, comme une photo ou une empreinte digitale en silicone, pour usurper l’identité de cette personne. Ils peuvent également combiner plusieurs analyses d'empreintes digitales pour créer une analyse principale qui leur donne accès à plusieurs comptes d'utilisateurs.

Il existe d’autres inconvénients à l’authentification biométrique. Certains systèmes de reconnaissance faciale, par exemple, ont un préjugé inhérent contre les femmes et les personnes de couleur. En outre, certaines organisations choisissent de stocker les données biométriques sur des serveurs de bases de données plutôt que sur les appareils des utilisateurs finaux, ce qui soulève des questions en matière de sécurité et de confidentialité. Pourtant, l’authentification biométrique multifactorielle reste l’une des méthodes les plus sécurisées disponibles aujourd’hui pour vérifier l’identité des utilisateurs.

Exemples d'authentification FIDO2

Les exigences de sécurité et de logistique pour la vérification d’identité varient au sein et entre les organisations. Voici les méthodes courantes utilisées par les organisations de différents secteurs pour mettre en œuvre l'authentification FIDO2.

  • Banques, services financiers et assurances

    Pour protéger les données sensibles de l'entreprise et des clients, les employés qui travaillent dans les bureaux de l'entreprise utilisent souvent des ordinateurs de bureau ou portables fournis par l'entreprise avec des authentificateurs de plate-forme. La stratégie de l'entreprise leur interdit d'utiliser ces appareils à des fins personnelles. Les employés des succursales et des centres d'appels sur site utilisent fréquemment des appareils partagés et vérifient leur identité à l'aide d'autentificateurs itinérants.

  • Aviation et compagnies aériennes

    Les organisations de ces secteurs doivent également accueillir des personnes qui travaillent dans différents contextes et ont des responsabilités variées. Les cadres, les ressources humaines et autres employés de bureau utilisent souvent des ordinateurs de bureau et portables dédiés et s'authentifient soit avec des authentificateurs de plate-forme, soit avec des authentificateurs itinérants. Les agents d'embarquement des aéroports, les mécaniciens d'avion et les membres d'équipage utilisent souvent des clés de sécurité matérielles ou des applications d'authentification sur leurs smartphones personnels pour s'authentifier sur des tablettes ou des postes de travail partagés.

  • Fabrication

    Pour garantir la sécurité physique des installations de fabrication, les employés autorisés et d'autres personnes utilisent des authentificateurs itinérants—tels que des cartes à puce compatibles FIDO2 et des clés FIDO2—ou des smartphones personnels enregistrés avec des authentificateurs de plateforme pour déverrouiller les portes. En outre, les équipes de conception de produits utilisent souvent des ordinateurs de bureau ou portables dédiés dotés d’autentificateurs de plate-forme pour accéder aux systèmes de conception en ligne contenant des informations exclusives.

  • Services d'urgence

    Les agences gouvernementales et autres prestataires de services d’urgence ne peuvent pas toujours authentifier les ambulanciers paramédicaux et autres premiers intervenants avec des analyses d’empreintes digitales ou d’iris. Souvent, ces personnes portent des gants ou des lunettes de protection alors qu’elles ont besoin d’accéder rapidement aux services en ligne. Dans ces cas-là, ils sont plutôt identifiés grâce à des systèmes de reconnaissance vocale. Les technologies émergentes permettant de scanner la forme des oreilles avec des smartphones peuvent également être utilisées.

Créez une sécurité en toute tranquillité d'esprit avec FIDO2

L'authentification sans mot de passe devient rapidement une bonne pratique pour l'IAM. En adoptant FIDO2, vous savez que vous utilisez une norme fiable pour vous assurer que les utilisateurs sont bien ceux qu’ils prétendent être.

Pour démarrer avec FIDO2, évaluez soigneusement les exigences spécifiques de votre organisation et de votre secteur en matière de vérification d'identité. Ensuite, rationalisez la mise en œuvre de FIDO2 avec Microsoft Entra ID (anciennement connu sous le nom d'Azure Active Directory). L'assistant de méthodes sans mot de passe dans  Microsoft Entra ID simplifie la gestion de Windows Hello for Business, de l'application Microsoft Authenticator et des clés de sécurité FIDO2.

Apprenez-en davantage sur la Sécurité Microsoft

Microsoft Entra ID (anciennement connu sous le nom d'Azure Active Directory)

Protégez l’accès aux ressources et aux données grâce à une authentification forte et un accès adaptatif basé sur les risques.

En savoir plus

Gouvernance des identités Microsoft Entra

Augmentez la productivité et renforcez la sécurité en automatisant l'accès aux applications et aux services.

En savoir plus

Gestion des autorisations Microsoft Entra

Gérez les autorisations pour toute identité ou ressource dans votre infrastructure multicloud.

Apprenez-en plus

Vérification d’identité Microsoft Entra

Émettez et vérifiez en toute confiance les informations d’identification du lieu de travail et autres grâce à une solution aux normes ouvertes.

En savoir plus

Identités de charge de travail Microsoft Entra

Réduisez les risques en accordant aux applications et services un accès conditionnel aux ressources cloud, le tout en un seul endroit.

En savoir plus

Foire aux questions

  • FIDO2 signifie (Fast IDentity Online 2), la dernière norme d'authentification ouverte publiée par la FIDO Alliance. Comprenant Microsoft et d'autres organisations technologiques, commerciales et gouvernementales, l'alliance cherche à éliminer l'utilisation de mots de passe sur le World Wide Web.

    Les spécifications FIDO2 incluent l'authentification Web (WebAuthn), une API Web qui permet aux services en ligne de communiquer avec les authentificateurs de la plate-forme FIDO2 (tels que les technologies de reconnaissance d'empreintes digitales et faciales intégrées dans les navigateurs et plates-formes Web). Développé par le World Wide Web Consortium (W3C) en partenariat avec l'Alliance FIDO, WebAuthn est une norme formelle du W3C.

    FIDO2 comprend également le protocole Client-to-Authenticator 2 (CTAP2), développé par l'alliance. CTAP2 connecte les authentificateurs itinérants (tels que les clés de sécurité FIDO2 externes et les appareils mobiles) aux appareils clients FIDO2 via USB, BLE ou NFC.

  • FIDO2 est une norme ouverte et sans licence pour l'authentification multifactorielle sans mot de passe dans les environnements mobiles et de bureau. FIDO2 fonctionne en utilisant la cryptographie à clé publique au lieu des mots de passe pour valider l'identité des utilisateurs, contrecarrant ainsi les cybercriminels qui tentent de voler les informations d'identification des utilisateurs par le biais de phishing, de logiciels malveillants et d'autres attaques basées sur des mots de passe.

  • Les avantages de l'authentification FIDO2 incluent une sécurité et une confidentialité accrues, des expériences conviviales et une évolutivité améliorée. FIDO2 simplifie également le contrôle d'accès pour les équipes informatiques et le personnel du service d'assistance en réduisant les charges de travail et les coûts associés à la gestion des noms d'utilisateur et des mots de passe.

  • Une clé FIDO2, également appelée clé de sécurité FIDO2, est un périphérique matériel physique requis pour l'authentification à deux facteurs et multifacteur. Agissant comme un authentificateur FIDO itinérant, il utilise USB, NFC ou Bluetooth pour se connecter à un appareil client FIDO2, permettant aux utilisateurs de s'authentifier sur plusieurs ordinateurs, que ce soit au bureau, à la maison ou dans un autre environnement.

    L'appareil client vérifie l'identité de l'utilisateur en lui demandant d'utiliser la clé FIDO2 pour effectuer un geste, comme toucher un lecteur d'empreintes digitales, appuyer sur un bouton ou saisir un code PIN. Les clés FIDO2 incluent des clés enfichables, des smartphones, des tablettes, des appareils portables et d'autres appareils.

  • Les organisations déploient des méthodes d'authentification FIDO2 en fonction de leurs exigences uniques en matière de sécurité, de logistique et de secteur.

    Par exemple, les banques et les fabricants axés sur la recherche exigent souvent que les employés de bureau et autres employés utilisent des ordinateurs de bureau et portables fournis par l'entreprise et réservés à un usage professionnel, dotés d'autentificateurs de plate-forme. Les organisations avec des personnes en déplacement, telles que les équipages des compagnies aériennes et les équipes d'intervention d'urgence, accèdent souvent à des tablettes ou des postes de travail partagés, puis s'authentifient à l'aide de clés de sécurité ou d'applications d'authentification sur leurs smartphones.

Suivez Microsoft 365