Une infirmière pose son badge sur un poste de travail clinique partagé et accède au dossier médical électronique en moins de deux secondes. Elle s'éloigne, la session se verrouille automatiquement. Aucun mot de passe saisi, aucun code entré, aucune surface de phishing exposée. C'est l'authentification par proximité à l'œuvre, qui remplace silencieusement le mot de passe dans les hôpitaux, les salles de marché et les usines.
Le concept est simple : un appareil utilisateur, une clé matérielle, une carte de proximité ou une application mobile prouve sa présence physique à proximité d'un ordinateur via un signal sans fil, et cette présence sert de facteur d'authentification. Derrière cette simplicité se trouve un modèle de sécurité à plusieurs couches qui associe des protocoles radio (BLE, NFC, RFID), un challenge-response cryptographique et des politiques d'identité alignées sur FIDO2 et les principes Zero Trust.
Ce guide explique le fonctionnement de l'authentification par proximité, les protocoles clés, les véritables vecteurs d'attaque et les modalités de déploiement sur les endpoints Windows, les sessions VDI et les environnements réglementés.
Qu'est-ce que l'authentification par proximité et comment fonctionne-t-elle réellement ?
Principe fondamental : authentifier la présence, pas les mots de passe
L'authentification par proximité vérifie qu'un token matériel enregistré ou un appareil utilisateur se trouve physiquement à proximité d'un poste de travail avant d'accorder l'accès. Au lieu de saisir un mot de passe, l'utilisateur porte une clé, une carte ou un smartphone qui émet un signal à courte portée (BLE, NFC, RFID). Lorsque l'endpoint détecte l'appareil couplé dans un périmètre défini, la session se déverrouille ; lorsque le signal disparaît, elle se verrouille à nouveau. La présence devient le facteur d'authentification, éliminant les secrets partagés que les campagnes de phishing ciblent.
Protocoles d'authentification par proximité comparés : BLE, RFID et NFC
Le choix du protocole détermine à la fois votre posture de sécurité et votre coût de déploiement. Aucune technologie ne convient à tous les endpoints, et confondre la portée avec le niveau d'assurance conduit à des architectures vulnérables.
Matrice comparative : portée, sécurité, coût et résistance au phishing
| Protocole | Portée | Coût du matériel | Résistance au phishing | Cas d'usage optimal |
|---|---|---|---|---|
| BLE | 1–10 m | Faible (intégré) | Élevée avec liaison FIDO2 | Postes de bureau, verrouillage walk-away |
| RFID 125 kHz | <10 cm | Très faible | Faible (clonable) | Lecteurs de badges legacy |
| NFC | <4 cm | Faible | Élevée avec puce cryptographique | Bornes partagées, santé |
| Wi-Fi | 10–50 m | Aucun | Moyenne | Signaux de présence approximatifs |
| Geofencing | 10+ m | Aucun | Faible | Politiques d'accès conditionnel |
Guide de décision : quel protocole (ou token multiprotocole) convient à votre environnement ?
Choisissez le NFC pour les postes cliniques tap-and-go, le BLE pour la présence continue sur les laptops, et le Wi-Fi ou le geofencing uniquement comme signaux contextuels. Une clé Hideez multiprotocole regroupe tout cela dans un seul authentificateur matériel.
L'authentification par proximité est-elle vraiment sécurisée ? Modèle de menaces et conformité
Présenter la proximité comme « intrinsèquement sûre » revient à ignorer les scénarios adversariaux réels. Votre modèle de menaces doit prendre en compte les attaques par relay BLE, l'amplification de signal, les tentatives de downgrade et les tokens perdus avant tout déploiement en production.
Vecteurs d'attaque réels et défenses cryptographiques liées à FIDO2
Les attaques par relay étendent la portée BLE avec des radios disponibles dans le commerce ; l'usurpation de présence simule la proximité via des annonces rejouées ; le MITM de jumelage intercepte les handshakes non chiffrés. Une solution sans mot de passe liée à FIDO2 contrecarre chacun de ces vecteurs : la clé matérielle signe un challenge lié au domaine d'origine légitime, de sorte qu'un signal relayé seul ne peut forger une assertion valide. Le clonage du token échoue car la clé privée ne quitte jamais l'élément sécurisé.
Correspondance avec NIST 800-63B AAL2/AAL3, HIPAA, NIS2 et PSD2
La proximité combinée à un authentificateur matériel atteint AAL3 selon les directives NIST, satisfait les mesures de protection techniques HIPAA, s'aligne sur les contrôles d'accès de l'article 21 de NIS2 et répond à l'authentification forte du client PSD2 via possession et inhérence.
Proximity Logout : la couche de sécurité walk-away que les concurrents ignorent
La sécurité de la connexion reçoit toute l'attention, pourtant c'est la session non surveillée qui constitue le vrai risque. Un clinicien s'éloigne d'un dossier médical ouvert, un trader laisse un terminal déverrouillé, un opérateur quitte l'atelier. L'authentification par proximité comble cette lacune en liant la continuité de la session à la présence physique de l'utilisateur autorisé.
Vérification de présence continue, verrouillage automatique et réglage de la sensibilité
L'endpoint interroge la clé matérielle couplée via BLE à des intervalles inférieurs à la seconde. Lorsque le RSSI tombe en dessous d'un seuil configuré, le poste de travail se verrouille. La sensibilité doit être adaptée à l'environnement : les bureaux en open space tolèrent -75 dBm, tandis que les unités cliniques denses nécessitent des valeurs plus strictes et une période de grâce de 3 à 5 secondes pour éviter les verrouillages intempestifs.
Liste de contrôle du CISO pour les postes partagés en santé, finance et industrie
- Latence de verrouillage inférieure à 5 secondes après le départ de l'utilisateur
- Gestion des sessions RDP et VDI définie
- Journal d'audit de chaque événement de verrouillage
- PIN de secours pour les scénarios de batterie faible
Déploiement de l'authentification par proximité sur Windows, RDP et VDI
Configuration pas à pas pour les postes, Citrix, AVD et thin clients
Le déploiement commence par l'inscription du Serveur Hideez auprès de votre fournisseur d'identité, puis par la distribution du client Windows via GPO ou Intune. Chaque endpoint est couplé à une clé matérielle FIDO2 via BLE, et la credential est liée à l'identité Active Directory de l'utilisateur. Pour les sessions Citrix et AVD, la vérification de proximité s'exécute sur le thin client local tandis que le bureau distant hérite de la session authentifiée via la redirection de credentials. Les thin clients sous IGEL ou Stratodesk supportent le même modèle de couplage BLE sans surcharge d'installation locale.
Comment choisir un fournisseur d'authentification par proximité : guide d'achat
Capacités indispensables : support des protocoles, certification FIDO2, audit logging, auto-logout
Une évaluation sérieuse commence par des critères non négociables. Exigez la compatibilité multiprotocole (BLE, NFC, RFID) pour éviter le vendor lock-in, la certification FIDO2 L1 pour la résistance cryptographique au phishing, des politiques d'auto-logout granulaires et des journaux d'audit inaltérables streamés vers votre SIEM. Vérifiez la couverture RDP, VDI et hors ligne, ainsi que les flux de d'enrôlement capables de passer à l'échelle au-delà de 500 utilisateurs sans provisionnement manuel.
TCO, ROI sur 3 ans et adéquation sectorielle pour les architectures Zero Trust
Modélisez le coût total : clés matérielles, licences serveur, économies du support sur les réinitialisations de mots de passe (souvent 40 % des tickets) et réduction du risque de violation. Sur trois ans, un déploiement de proximité dans des environnements à postes partagés retourne généralement 2 à 4 fois l'investissement initial. Cartographiez la solution sur vos piliers Zero Trust avant de signer.
Comparez les protocoles, les certifications et la profondeur d'intégration lors de votre
Questions fréquentes sur l'authentification par proximité
L'authentification par proximité est-elle résistante au phishing et remplace-t-elle le MFA ?
Couplée à des clés matérielles FIDO2, l'authentification par proximité est résistante au phishing par conception : le challenge-response cryptographique est lié à l'origine légitime, bloquant le rejeu de credentials. Elle ne remplace pas le MFA conceptuellement ; elle le met en œuvre de façon plus élégante en combinant possession (la clé à proximité de l'appareil) et inhérence ou PIN.
Quel est le coût par utilisateur et peut-elle fonctionner hors ligne ?
Prévoyez entre 30 et 80 $ par utilisateur pour le matériel, plus une licence serveur. Le fonctionnement hors ligne est pris en charge : les credentials en cache et les assertions FIDO2 locales maintiennent les postes utilisables lorsque le réseau tombe, les journaux d'audit se synchronisant dès le rétablissement de la connexion.
Que se passe-t-il si un utilisateur perd son token de proximité ou son smartphone ?
Révoquez immédiatement le token perdu depuis la console de gestion, émettez une méthode de secours temporaire et enrôlez un remplacement. Hideez prend en charge le déprovisionning instantané et des clés de remplacement préconfigurées pour maintenir la continuité opérationnelle.
