Une ingénieure terrain embarque dans un avion, ouvre son ordinateur portable au-dessus de l’Atlantique et se connecte à un poste de travail contenant des données clients. Pas de Wi-Fi, pas de VPN, aucun serveur d’authentification accessible. Si votre politique MFA s’effondre dès que la connectivité est coupée, cette connexion n’est protégée que par un mot de passe — et les identifiants mis en cache sont exactement ce que les attaquants extraient des appareils volés.
Le MFA hors ligne comble cette faille. Il impose un second facteur localement, sur l’appareil lui-même, en utilisant du matériel cryptographique provisionné lors de l’inscription. Réalisé avec l’ancien TOTP, il reste hameçonnable et lié à un secret partagé. Réalisé avec des identifiants FIDO2 liés au matériel, il devient résistant au phishing et conforme aux exigences de NIS2, DORA et PCI-DSS 4.0.
Les sections suivantes détaillent les mécanismes, le modèle de menace, le mapping de conformité et les choix de configuration qui distinguent une connexion hors ligne sans mot de passe d’une simple fonctionnalité de conformité.
Qu’est-ce que le MFA hors ligne et pourquoi le MFA standard échoue sans connectivité
Le MFA standard suppose une connexion active au serveur d’authentification. Coupez le réseau, et la plupart des solutions bloquent l’utilisateur ou reviennent à une connexion par mot de passe uniquement. Le MFA hors ligne comble cette lacune en validant le second facteur directement sur l’endpoint.
Définition et lacune de conformité : NIS2, DORA, PCI-DSS 4.0 et exigences CMMC
Le MFA hors ligne impose un second facteur lorsque l’appareil n’a pas de connexion internet ou ne peut pas atteindre le fournisseur d’identité. Les régulateurs n’acceptent plus la connectivité comme excuse : PCI-DSS 4.0 req. 8.4 exige le MFA pour tout accès aux systèmes concernés, l’article 21 de NIS2 impose des contrôles d’authentification cohérents, et CMMC IA.L2-3.5.3 s’applique à chaque session privilégiée.
Modèle de menace : attaques que le MFA hors ligne prévient (ordinateurs perdus, Evil Maid, Pass-the-Hash)
Un ordinateur portable volé avec des hachages NTLM mis en cache est trivialement cassé hors ligne. Le MFA hors ligne bloque la manipulation Evil Maid, le rejeu pass-the-hash et l’accès physique interne en exigeant un identifiant lié au matériel à chaque connexion.
Comment fonctionne le MFA hors ligne : méthodes et résistance au phishing
L’authentification hors ligne se divise en deux familles : les méthodes à secret partagé héritées des années 2010 et les méthodes cryptographiques basées sur des clés liées au matériel. L’écart de sécurité est significatif lorsque l’appareil est en mode hors ligne et qu’un attaquant dispose d’un accès physique ou prolongé.
TOTP, HOTP et codes de secours : l’approche héritée à secret partagé
TOTP et HOTP reposent sur une graine provisionnée lors de l’inscription et stockée à la fois dans l’application d’authentification et sur le serveur. En mode hors ligne, l’ordinateur portable valide le code par rapport à une copie mise en cache de ce secret. Les codes de secours (imprimés ou stockés dans un gestionnaire de mots de passe) servent de dernier recours. La faiblesse est structurelle : le secret partagé peut être extrait d’une application d’authentification compromise, les codes sont hameçonnables par ingénierie sociale, et les codes imprimés sont vulnérables au vol.
FIDO2, passkeys et connexion hors ligne sans mot de passe avec PIN décentralisé
FIDO2 et les passkeys inversent le modèle. Un Hideez Key stocke un identifiant privé dans un élément sécurisé ; l’ordinateur portable envoie un défi cryptographique, la clé le signe localement, sans réseau requis. Combiné à un PIN décentralisé ou à la biométrie, cela offre une connexion hors ligne sans mot de passe résistante au phishing, au rejeu et à l’extraction d’identifiants.
MFA hors ligne sur les systèmes d’exploitation et types de sessions
Connexion Windows, RDP et VPN sans accessibilité LDAP ou RADIUS
Imposer le MFA lorsque le contrôleur de domaine est inaccessible est là où la plupart des solutions échouent. Un ordinateur portable itinérant sur l’écran de connexion Windows ne peut pas interroger LDAP hors ligne ; une session RDP en dehors du périmètre d’entreprise ne reçoit aucun heartbeat RADIUS. L’agent Hideez valide l’assertion FIDO2 localement par rapport à une ancre de confiance mise en cache, puis réconcilie l’événement avec le serveur dès que la connectivité est rétablie. La même logique s’applique au pré-logon VPN et aux sessions hors domaine, éliminant le besoin d’un intermédiaire IIS. Consultez notre guide sur comment ajouter le MFA à RDP pour les détails de déploiement.
Configuration des politiques de MFA hors ligne et des workflows de récupération
Fréquence de réauthentification et inscription à distance pour les nouvelles recrues
La cadence de réauthentification doit refléter le risque, pas la commodité. Pour les administrateurs privilégiés, imposez le MFA à chaque connexion hors ligne. Pour les techniciens terrain, une fenêtre de 24 heures équilibre friction et sécurité. Les prestataires nécessitent des invites par session quel que soit le type de connexion.
Les nouvelles recrues à distance exposent la faiblesse de l’inscription sur réseau. Hideez livre des clés matérielles pré-provisionnées avec vérification d’identité liée à l’onboarding RH, afin que l’authentification du premier jour fonctionne hors ligne sans jamais toucher le LAN d’entreprise.
Récupération en cas de perte d’appareil : codes de secours, clés secondaires et scénarios de perte totale
Les codes de secours imprimés sont un risque connu : stockage papier, lacunes dans l’application à usage unique et exposition à l’ingénierie sociale. Une deuxième clé matérielle FIDO2 enregistrée à l’inscription élimine ce risque. Pour les scénarios de perte totale hors ligne, Hideez prend en charge des identifiants temporaires émis par l’administrateur et révocables au prochain contact avec le serveur.
Questions fréquentes
Quelle est la différence entre le TOTP hors ligne et l’authentification hors ligne FIDO2 sans mot de passe ?
Le TOTP hors ligne s’appuie sur une graine partagée mise en cache sur l’appareil, générant des codes temporels que l’utilisateur saisit à la connexion. La graine peut être extraite par un malware et le code est hameçonnable. L’authentification hors ligne FIDO2 sans mot de passe utilise une clé privée liée au matériel à l’intérieur d’un élément sécurisé, validée localement via un défi cryptographique. Aucun mot de passe, aucun secret partagé, aucune fenêtre de rejeu.
Comment récupérer l’accès si un utilisateur perd son token matériel MFA hors ligne ?
Délivrez un deuxième Hideez Key pré-enregistré ou utilisez des codes de secours à usage unique stockés de manière sécurisée. Si les deux sont indisponibles, un administrateur génère un identifiant temporaire révoqué au prochain contact avec le serveur.
Microsoft Authenticator peut-il être utilisé hors ligne pour la connexion Windows ?
L’application Microsoft Authenticator génère des codes TOTP hors ligne, mais l’intégration native à la connexion Windows nécessite un agent tiers. Hideez gère l’authentification hors ligne Windows directement via son client, sans dépendance à une application d’authentification.
Hideez Workforce Identity offre un MFA hors ligne basé sur des identifiants FIDO2 liés au matériel — imposé localement, sans serveur, sur les parcs Windows et macOS. Réservez une démo pour voir l’authentification hors ligne en action, ou explorez le programme partenaire pour déployer Hideez chez vos clients.
