Qu'est-ce que FIDO2 et comment ça marche ? Avantages et inconvénients de l'authentification sans mot de passe

Se connecter à un site web ou à un service en utilisant une combinaison traditionnelle de nom d'utilisateur et de mot de passe n'est plus la méthode la plus sûre ni la plus efficace. À mesure que les cybercriminels deviennent plus sophistiqués technologiquement, les méthodes de protection des données doivent également évoluer. 

C'est là qu'interviennent de nouvelles normes d'authentification, telles que FIDO2, qui peuvent être des outils précieux pour relever ces défis de sécurité. Mais qu'est-ce que l'authentification FIDO2, et quels outils remplacent les mots de passe ? Comment fonctionnent réellement les clés de sécurité FIDO2 ?

Chez Hideez, nous avons aidé des dizaines d'organisations à mettre en place une expérience de connexion sans mot de passe au cours des dernières années. En tant que membre certifié de la FIDO Alliance et fournisseur approuvé de clés de sécurité par Microsoft, nous restons à l'avant-garde des tendances et des avancées en cybersécurité. Explorons ce sujet plus en détail !

Qu'est-ce que FIDO2 ? Le nouveau standard sans mot de passe

FIDO signifie Fast Identity Online. Avec l'ajout du chiffre deux à la fin, cet acronyme repose sur les travaux antérieurs réalisés par la FIDO Alliance, notamment dans le développement du standard d'authentification Universal 2nd Factor (U2F).

La FIDO Alliance a été fondée en juillet 2012 par PayPal, Lenovo, Nok Nok Labs, Validity Sensors, Infineon, et Agnitio. L'objectif de cette alliance était de réduire la dépendance aux mots de passe traditionnels et d'améliorer le fonctionnement de l'authentification des identités.

FIDO2 est le troisième standard émergeant de la FIDO Alliance, après le FIDO Universal Second Factor (U2F) et le FIDO Universal Authentication Framework (UAF).

L'objectif principal de FIDO2 est d'éliminer l'utilisation des mots de passe et des méthodes traditionnelles d'authentification multi-facteurs (OTP, notifications push, codes de vérification SMS, etc.) et de les remplacer par des méthodes de connexion sans mot de passe : empreinte digitale, reconnaissance faciale, verrouillage d'écran ou tokens matériels. Ainsi, l'authentification FIDO2 est beaucoup plus conviviale et protège contre les attaques en ligne courantes telles que le phishing, la falsification, le keylogging, les attaques par force brute, les attaques MITM et autres menaces liées à l'identité.

Qu'est-ce qu'un authentificateur FIDO2 ?

Un authentificateur FIDO2 est un dispositif ou un logiciel compatible avec le standard FIDO2 pour les connexions sans mot de passe. Conçus pour répondre aux exigences de FIDO2, ces outils génèrent et stockent des clés cryptographiques, vous permettant d'accéder à vos comptes sans utiliser de mots de passe. Ils se présentent sous différentes formes, généralement réparties en trois catégories :

• Authentification biométrique (souvent appelée “Passkeys”) : L'authentification biométrique permet aux utilisateurs de se connecter en scannant leur empreinte digitale ou leur visage. C'est une option rapide, sécurisée et pratique, largement prise en charge par les téléphones mobiles et de nombreux ordinateurs portables modernes.
• Verrouillage d'écran : En l'absence de capteurs biométriques, les utilisateurs peuvent s'authentifier avec un code PIN spécifique à l'appareil ou un verrouillage d'écran pour accéder à leur compte. Cette option est particulièrement adaptée aux ordinateurs de bureau ou aux appareils plus anciens dépourvus de biométrie intégrée, tout en offrant un processus d'authentification sécurisé et accessible.
• Clés de sécurité physique : Également connues sous le nom de tokens matériels ou clés FIDO2, ces clés de sécurité physiques sont des dispositifs externes qui permettent des connexions sans mot de passe en se connectant aux terminaux via USB, NFC ou Bluetooth. Parmi les exemples populaires, on trouve les YubiKeys, les Hideez Keys et les Solokeys. Les propriétaires de clés de sécurité s'authentifient en insérant ou en tapotant la clé, souvent en combinaison avec un code PIN pour une protection accrue. Certaines clés intègrent même des capteurs biométriques, alliant la sécurité de l'authentification matérielle à la commodité de la biométrie.

Que sont les Passkeys et comment se comparent-elles aux authentificateurs FIDO ?

En mai 2022, Apple, Google et Microsoft ont fait une annonce révolutionnaire : ils prendraient en charge l'authentification FIDO2 sur leurs plateformes sous un nouveau nom, "Passkeys". En réunissant toutes les formes d'authentification FIDO2, ils visent à rendre les connexions sans mot de passe plus accessibles et fluides pour les consommateurs et les entreprises.

Alors, les Passkeys sont-elles simplement des authentificateurs FIDO2 sous un nouveau nom ? Pas tout à fait. Les Passkeys partagent la même structure fondamentale que les authentificateurs FIDO2, mais avec une différence clé. Alors que les spécifications FIDO2 traditionnelles exigent que la clé privée ne quitte jamais votre appareil, les Passkeys peuvent fonctionner de deux manières distinctes :

• Passkeys synchronisées : Utilisent le stockage cloud (comme iCloud, Google Password Manager ou Microsoft Authenticator) pour synchroniser sans effort les identifiants sur tous les appareils de l'utilisateur. Cela signifie que vous ne serez plus bloqué hors de vos comptes si vous perdez l'accès à un appareil. Les Passkeys synchronisées maintiennent une sécurité robuste tout en permettant un accès facile entre les appareils, rendant la connexion fluide, que ce soit sur un ordinateur portable, une tablette ou un téléphone.
• Passkeys liées à un appareil : Restent attachées à un dispositif physique spécifique, tel qu'une clé de sécurité physique ou un téléphone mobile. Ces Passkeys adhèrent aux principes de sécurité les plus stricts, garantissant que vos identifiants ne fonctionnent sur aucun autre matériel. Cela les rend idéales pour les organisations avec des politiques de sécurité strictes, car elles limitent l'accès à un seul appareil autorisé, ajoutant une couche de contrôle supplémentaire.

Le passage à un modèle multiplateforme et multi-appareils a rendu l'authentification FIDO2 pratique tant pour un usage personnel que professionnel. Cependant, les outils sans mot de passe sont utilisés de manière assez différente par les individus et les entreprises, principalement en raison des différences d'échelle, de gestion des utilisateurs et des exigences réglementaires.

Compatibilité des navigateurs et plateformes FIDO, selon la FIDO Alliance

Comment fonctionne FIDO2 ?

Le protocole FIDO2 repose sur la cryptographie à clé publique pour offrir une authentification sécurisée sans mot de passe. En échangeant des clés privées et publiques, il valide l'identité de chaque utilisateur sans exposer d'informations sensibles.

Voici un exemple simple du fonctionnement du processus d'authentification sans mot de passe de FIDO2 :

1. Lorsqu'un utilisateur initie une connexion FIDO2 sur un service web, le serveur FIDO2 envoie un défi. Ce défi demande à l'utilisateur de répondre en le signant avec sa clé privée FIDO2.
2. L'utilisateur agit ensuite à l'aide de son authentificateur FIDO2, qu'il a configuré auparavant. Cela peut signifier toucher un lecteur d'empreintes digitales, taper sur une clé de sécurité ou saisir un code PIN. L'authentificateur envoie une réponse au serveur avec les données signées de la clé privée.
3. Enfin, le serveur vérifie cette signature par rapport à la clé publique enregistrée lors de la configuration. Si tout correspond, l'utilisateur accède à son compte — aucun mot de passe requis !

Une fois le chemin de communication sécurisé établi, les identifiants configurés sont stockés de manière permanente, permettant un accès rapide et sans mot de passe pour les connexions futures. Le meilleur ? Vous ne partagez jamais d'informations sensibles avec le serveur pendant ce processus.

Vos données biométriques restent sur votre appareil personnel et ne sont jamais transmises à un serveur distant. Le serveur reçoit uniquement une confirmation que la vérification de votre identité a réussi, ce qui garde vos détails privés là où ils doivent rester — sur votre appareil.

Cas d'utilisation de l'authentification FIDO2

Comment FIDO2 affecte-t-il l'expérience utilisateur globale grâce à des exemples concrets ? Plus important encore pour l'utilisateur moyen, sous quelle forme pouvez-vous l'intégrer dans votre vie quotidienne ? Voyons de plus près comment vous pouvez mettre en œuvre la connexion sans mot de passe FIDO2 sous différentes formes :

1. Authentificateurs intégrés à la plateforme

Les authentificateurs intégrés à la plateforme sont intégrés à votre appareil et ne peuvent pas être supprimés, ce qui les rend pratiques et faciles à utiliser. Essentiellement, vous pouvez compléter l'ensemble du processus d'authentification sur le même appareil que celui utilisé pour démarrer la connexion. 

Un exemple ? Scanner votre empreinte digitale avec un lecteur d'empreintes intégré sur votre ordinateur portable. Aucun appareil externe n'est nécessaire — juste une touche rapide, et vous êtes connecté.

Exemple d'authentification intégrée à la plateforme

2. Authentificateurs multiplateformes

Également appelés authentificateurs itinérants, les authentificateurs multiplateformes sont des dispositifs externes conçus pour fonctionner sur plusieurs appareils. Par exemple, vous pourriez utiliser votre smartphone ou une clé de sécurité physique, comme la Hideez Key, pour vous connecter à une application de bureau sur votre ordinateur. 

Les clés de sécurité physiques sont toujours classées comme multiplateformes, tandis que les smartphones peuvent agir à la fois comme authentificateurs internes (plateforme) et externes (multiplateformes), selon la manière dont vous les utilisez.

Exemple d'authentification multiplateforme

Avantages et inconvénients de FIDO2

Avantages de FIDO2

L'authentification FIDO2 apporte de nombreux avantages à la sécurité moderne. Voici quelques-unes des raisons pour lesquelles elle gagne en popularité auprès des individus et des entreprises :

• Sécurité renforcée : Le principal avantage de l'authentification FIDO2 est qu'elle réduit considérablement la fenêtre d'attaque pour les cybercriminels. Pour accéder à vos informations privées, les attaquants auraient besoin d'un authentificateur FIDO2, qui est physiquement toujours à vos côtés sous la forme de votre appareil ou de vos données biométriques.
• Compatibilité avec le modèle Zero Trust : Le cadre Zero Trust repose sur le principe "ne jamais faire confiance, toujours vérifier", crucial dans les environnements de travail distribués. FIDO2 s'intègre parfaitement à ce modèle, offrant une authentification multifactorielle résistante au phishing conforme aux principes Zero Trust.
• Meilleure expérience utilisateur : Une expérience plus fluide, car vous n'aurez pas à vous souvenir de multiples identifiants et mots de passe pour chaque compte. La clé de sécurité FIDO2 U2F fonctionne sur toutes les plateformes compatibles, offrant une sécurité maximale et une commodité utilisateur.

Inconvénients de FIDO2

Comme tout autre système de sécurité, le standard FIDO2 présente certains inconvénients. Ces limitations ne sont pas rédhibitoires, mais il est important de les connaître si vous envisagez de mettre en œuvre l'authentification sans mot de passe FIDO2 :

• Adoption limitée par les consommateurs : Bien que l'adoption de FIDO2 soit en croissance, elle n'est pas encore universelle parmi les services web. Les consommateurs peuvent activer des connexions sans mot de passe pour des services populaires comme Facebook, Twitter, Google, Dropbox, GitHub, et bien d'autres. Cependant, beaucoup de sites web n'offrent pas encore de support FIDO2.
• Considérations d'entreprise : Les Passkeys synchronisées améliorent les mots de passe, mais pour les organisations nécessitant un contrôle strict de l'identité des utilisateurs, les Passkeys synchronisées peuvent ne pas être idéales. Dans ces cas, les Passkeys liées à des appareils physiques FIDO2 offrent une sécurité et une conformité maximales, ce qui les rend particulièrement adaptées aux environnements avec des normes de sécurité strictes.

Comment activer l'authentification FIDO2 ?

L'authentification FIDO2 permet aux utilisateurs de se connecter de manière sécurisée sans mot de passe, en utilisant des paires de clés publiques et privées et des méthodes robustes, résistantes au phishing. Voici un guide étape par étape pour activer l'authentification FIDO2, que ce soit pour un usage personnel ou professionnel :

Pour un usage personnel

Pour configurer des connexions sans mot de passe en tant qu'utilisateur individuel, vous devrez suivre ces étapes :

1. Vérifiez la compatibilité

• Assurez-vous que les services web que vous utilisez prennent en charge les connexions basées sur FIDO2 ou Passkey.
• Les plateformes populaires comme Google, Microsoft et Apple prennent désormais en charge les Passkeys pour des connexions sécurisées.

2. Accédez aux paramètres de sécurité

• Accédez à la page Sécurité ou Paramètres de compte de votre compte.
• Recherchez une option intitulée Clé de sécurité, Passkey ou Connexion sans mot de passe (la terminologie peut varier selon le service).

3. Enregistrez votre authentificateur FIDO2

• Suivez les instructions pour enregistrer votre appareil biométrique ou une clé de sécurité physique.
• Pendant la configuration, le service générera une paire de clés publique-privée unique à votre compte.

4. Profitez de connexions fluides ! Lors des connexions suivantes, vous utiliserez la méthode FIDO2 choisie au lieu d’un mot de passe.

Exemple de configuration des Passkeys dans Google Workspace

Pour un usage professionnel

La mise en œuvre de l'authentification FIDO2 dans un environnement organisationnel nécessite une planification plus stratégique. Voici comment commencer :

1. Évaluez vos besoins en sécurité

• Définissez des groupes d'utilisateurs en fonction de leurs niveaux d'accès. Par exemple, les utilisateurs généraux peuvent utiliser des Passkeys synchronisées sur des appareils personnels ou professionnels. En revanche, les utilisateurs privilégiés (comme les gestionnaires ou les cadres) peuvent nécessiter des clés de sécurité physiques pour une sécurité renforcée.
• Évaluez les exigences de conformité de votre organisation et votre modèle de menace pour déterminer le mélange approprié de solutions FIDO2. Aux États-Unis, des réglementations comme HIPAA, PCI DSS et les directives FFIEC mettent l'accent sur des mécanismes d'authentification robustes, notamment dans les secteurs de la santé, des finances et du gouvernement. En Europe, DORA et la Directive NIS2 imposent des règles similaires pour protéger les infrastructures critiques contre les cybermenaces.

2. Choisissez votre fournisseur de solutions

• Sélectionnez un fournisseur qui s'intègre bien avec vos systèmes IAM (par exemple, Microsoft Active Directory, Okta, Ping Identity, etc.).
• Recherchez une entreprise qui prend en charge une gamme de méthodes conformes à FIDO2, notamment la biométrie, l'authentification mobile et les clés FIDO2. Assurez-vous que la solution pourra évoluer facilement avec la croissance de votre organisation.
• Évaluez les capacités d'intégration avec vos systèmes existants, tels que les applications héritées, les connexions aux postes de travail et les environnements Remote Desktop Protocol (RDP). Des fonctionnalités avancées comme l'authentification adaptative, la surveillance des menaces en temps réel et des politiques personnalisables pour différents groupes d'utilisateurs peuvent encore améliorer la sécurité et la convivialité.

3. Lancez un projet pilote

Collaborez avec votre fournisseur d'authentification sans mot de passe pour lancer un programme pilote visant à mettre en œuvre l'authentification sans mot de passe sur des applications professionnelles spécifiques. Commencez avec un petit groupe d'utilisateurs pour évaluer la convivialité, la compatibilité avec les flux de travail et la satisfaction globale des employés. Utilisez cette phase pour recueillir des retours et identifier les défis potentiels avant de déployer la solution à l'échelle de l'organisation.

L'authentification sans mot de passe avec Hideez

Si vous ne savez pas par où commencer, Hideez est là pour simplifier votre transition vers l'authentification sans mot de passe. Grâce à notre portail cloud Basic Identity, vous pouvez activer un Single Sign-On (SSO) gratuit sans mot de passe pour jusqu'à 50 utilisateurs. Cette solution permet aux employés de se connecter à des services web à l'aide de Passkeys synchronisées sur leurs appareils personnels, en utilisant leurs fonctionnalités biométriques intégrées pour une authentification fluide et sécurisée. C'est une manière simple et économique de tester les avantages du sans mot de passe sans s'engager dans des intégrations complexes.

Pour les organisations ayant des besoins plus sophistiqués, Hideez propose le service Enterprise Identity, conçu pour gérer des environnements informatiques complexes et des scénarios d'authentification uniques. Nos solutions prennent en charge une large gamme de méthodes conformes à FIDO2, y compris les clés de sécurité matérielles, la biométrie et les authentificateurs mobiles, garantissant flexibilité et adaptabilité pour divers cas d'utilisation. Avec une version d'essai gratuite de 30 jours, vous pouvez découvrir comment l'authentification sans mot de passe améliore la sécurité, réduit les frictions pour les utilisateurs et élimine les risques liés aux mots de passe.

Prêt à adopter l'avenir de l'authentification ? Réservez une démo dès aujourd'hui et découvrez comment Hideez peut vous aider à transformer votre stratégie de sécurité !

FAQ

1. Qu'est-ce que le FIDO U2F et comment cela fonctionne-t-il ?

FIDO U2F (Universal 2nd Factor) est une norme de sécurité développée pour renforcer l'authentification en ligne en ajoutant un second facteur robuste aux connexions traditionnelles basées sur les mots de passe. Il utilise une clé de sécurité matérielle, comme un dispositif USB ou NFC, qui génère une clé cryptographique unique pour chaque service. Les utilisateurs s'authentifient en tapotant leur clé ou en l'insérant dans leur appareil, offrant une authentification à deux facteurs (2FA) résistante au phishing. Le U2F ne remplace pas les mots de passe mais les complète, rendant les connexions plus sécurisées.

2. FIDO2 vs U2F - Quelle est la différence ?

La principale distinction entre FIDO2 et FIDO U2F réside dans leur portée. FIDO2 a été créé pour permettre l'authentification sans mot de passe, éliminant entièrement le besoin de mots de passe. En revanche, FIDO U2F a été conçu spécifiquement comme un deuxième facteur pour renforcer les connexions basées sur les mots de passe, agissant comme une 2FA FIDO.

Avec la sortie de FIDO2, U2F a été intégré au cadre FIDO2 sous le nom CTAP1 (Client to Authenticator Protocol 1). Cela garantit que les dispositifs U2F existants peuvent encore fonctionner comme un second facteur dans les systèmes prenant en charge FIDO2, offrant une compatibilité descendante. Les sites web prenant en charge FIDO2 permettent généralement des connexions sans mot de passe, mais certains peuvent encore utiliser U2F pour des scénarios 2FA renforcés.

En outre, FIDO2 a introduit CTAP2 et WebAuthn dans le cadre de ses standards modernes. CTAP2 permet des fonctionnalités d'authentification avancées FIDO2, y compris la connexion sans mot de passe. Les dispositifs compatibles CTAP2 sont considérés comme des authentificateurs FIDO2, et s'ils prennent également en charge CTAP1, ils offrent une compatibilité descendante avec U2F.

3. FIDO2 vs WebAuthn

FIDO2 et WebAuthn sont étroitement liés mais ont des objectifs différents. FIDO2 est la norme plus large qui englobe à la fois WebAuthn (développé par le W3C) et CTAP2 (développé par la FIDO Alliance). WebAuthn est l'API web qui permet aux navigateurs et aux serveurs de communiquer avec les authentificateurs FIDO2, autorisant les connexions sans mot de passe. Il s'agit essentiellement du protocole qui rend FIDO2 utilisable pour l'authentification en ligne sur les sites web et les applications. Tandis que WebAuthn gère la communication, CTAP2 définit comment les authentificateurs interagissent avec les appareils clients.

4. FIDO2 vs FIDO

FIDO (Fast Identity Online) est l'alliance et le cadre général qui regroupe toutes ses normes, y compris FIDO U2F, FIDO2, et les protocoles qu'elles contiennent. FIDO2 est une évolution du cadre FIDO original, élargissant ses capacités pour permettre des connexions sans mot de passe via WebAuthn et CTAP2. En revanche, FIDO U2F, dans le cadre original, se concentrait exclusivement sur la fourniture d'un mécanisme d'authentification forte comme second facteur.

5. Quels sites web sont compatibles avec FIDO2 ?

Un nombre croissant de sites web et de services sont compatibles avec FIDO2, notamment des plateformes technologiques majeures comme Google, Microsoft, Apple et Dropbox. Ces services permettent aux utilisateurs d'enregistrer des authentificateurs compatibles avec FIDO2, tels que des clés matérielles ou des dispositifs biométriques, pour sécuriser leurs comptes. De nombreuses organisations intègrent également FIDO2 pour un usage interne, permettant des connexions sans mot de passe pour leurs employés. Pour vérifier si un site web spécifique prend en charge FIDO2, recherchez des options d'authentification telles que "Connexion sans mot de passe", "Clé FIDO" ou "Passkeys" dans les paramètres de sécurité.