Partager via

Méthodes d’authentification dans Microsoft Entra ID - clés d’accès (FIDO2)

Les attaques par hameçonnage à distance sont en hausse. Ces attaques visent à voler ou à relayer des preuves d’identité ( mots de passe, codes SMS ou codes secrets à usage unique) sans accès physique à l’appareil de l’utilisateur. Les attaquants utilisent souvent des techniques d’ingénierie sociale, de collecte d’informations d’identification ou de rétrogradation pour contourner les protections plus fortes telles que les clés secrètes ou les clés de sécurité. Avec les kits de ressources d’attaque pilotés par l’IA, ces menaces sont de plus en plus sophistiquées et évolutives.

Les clés secrètes permettent d’empêcher le hameçonnage à distance en remplaçant les méthodes phishables telles que les mots de passe, les SMS et les codes de messagerie. Basées sur les normes FIDO (Fast Identity Online), les clés d'accès utilisent le chiffrement de clé publique lié à l'origine, garantissant que les informations d'identification ne peuvent pas être rejouées ou partagées avec des acteurs malveillants.

Reposant sur des normes FIDO (Fast Identity Online) interopérables développées par des experts en sécurité du secteur. Ils utilisent le chiffrement à clé publique lié à l’origine et nécessitent une interaction utilisateur locale. Pris ensemble, ces caractéristiques rendent les clefs de passe presque impossibles à hameçonner.

Une clé privée est stockée sur votre appareil et la clé publique est stockée avec l’application ou le site web auquel vous vous connectez. Les deux clés uniques sont nécessaires pour se connecter. Cette combinaison de paires de touches est unique. Ainsi, votre clé secrète fonctionne uniquement sur le site web ou l’application pour laquelle vous l’avez créée.

Chaque tentative de connexion nécessite que vous soyez présent pour déverrouiller la clé secrète sur l’appareil que vous utilisez pour la connexion. Quelqu’un ne peut pas vous tromper pour vous connecter sur un autre appareil qu’ils contrôlent.

En plus de renforcer la sécurité, les clés secrètes (FIDO2) offrent une expérience de connexion sans friction en éliminant les mots de passe, en réduisant les invites et en activant l’authentification rapide et sécurisée sur les appareils. Vous pouvez les utiliser pour vous connecter à Microsoft Entra ID ou des appareils Windows 11 à jonction hybride avec Microsoft Entra et bénéficier de l’authentification unique sur les ressources cloud et locales.

Qu’est-ce que les clés d'accès ?

Les clés secrètes sont des informations d’identification résistantes au hameçonnage qui fournissent une authentification forte et peuvent servir de méthode d’authentification multifacteur (MFA) lorsqu’elles sont combinées avec la biométrie de l’appareil ou le code confidentiel. Ils fournissent également une résistance à l'usurpation d'identité du vérificateur, ce qui garantit qu’un authentificateur ne divulgue ses secrets qu'à la Partie de Confiance (RP) auprès de laquelle la clé d'accès a été inscrite et non à un attaquant prétendant être ce RP. Les clés secrètes (FIDO2) suivent les normes FIDO2, à l’aide de WebAuthn pour les navigateurs et CTAP pour la communication d’authentificateur.

Le processus suivant est utilisé lorsqu’un utilisateur se connecte à Microsoft Entra ID avec une clé de passe (FIDO2) :

  1. L’utilisateur lance la connexion à Microsoft Entra ID.
  2. L’utilisateur sélectionne une clé secrète :
    • Même appareil (stocké sur l’appareil)
    • Inter-appareils (via un code QR) ou une clé de sécurité FIDO2
  3. Microsoft Entra ID envoie un défi (nonce) à l’authentificateur.
  4. L’authentificateur localise la paire de clés à l’aide de l’ID d'origine haché et de l’ID d'identifiant.
  5. L’utilisateur effectue un mouvement biométrique ou confidentiel pour déverrouiller la clé privée.
  6. L’authentificateur signe le défi avec la clé privée et retourne la signature.
  7. Microsoft Entra ID vérifie la signature à l’aide de la clé publique et émet un jeton.

Types de clés d'authentification

  • Passkeys liés à l’appareil : la clé privée est créée et stockée sur un seul appareil physique et ne le quitte jamais. Exemples:
    • Microsoft Authenticator
    • Clés de sécurité FIDO2
  • Clés secrètes synchronisées : la clé privée est créée par le module de sécurité matériel (HSM) et chiffrée sur l’appareil local. Cette clé chiffrée est ensuite synchronisée et stockée dans le fournisseur de clé secrète cloud. D’autres appareils authentifiés auprès du fournisseur de clés d’accès peuvent ensuite utiliser la clé secrète. Cela peut différer selon le fournisseur. Les "passkeys" synchronisés ne prennent pas en charge l’attestation. Exemples:

Les clés secrètes synchronisées offrent une expérience utilisateur transparente et pratique où les utilisateurs peuvent utiliser le mécanisme de déverrouillage natif d’un appareil, comme le visage, l’empreinte digitale ou le code confidentiel pour s’authentifier. En fonction des enseignements tirés de centaines de millions d’utilisateurs de consommateurs de comptes Microsoft inscrits et qui utilisent des clés secrètes synchronisées, nous avons appris :

  • 99% des utilisateurs inscrivent correctement les clés secrètes synchronisées
  • Les clés secrètes synchronisées sont 14 fois plus rapides que le mot de passe et une combinaison MFA traditionnelle : 3 secondes au lieu de 69 secondes
  • Les utilisateurs sont 3 fois plus réussis à se connecter avec une clé secrète synchronisée que les méthodes d’authentification héritées (95% vs 30%)
  • Les clés d'accès synchronisées dans Microsoft Entra ID rendent simple et scalable l’authentification multifacteur pour tous les utilisateurs d’entreprise. Il s’agit d’une alternative pratique et économique aux options MFA traditionnelles telles que les applications SMS et authentificateur.

Pour plus d’informations sur le déploiement de clés secrètes dans votre organisation, consultez Comment activer les clés secrètes synchronisées.

L’attestation vérifie l’authenticité du fournisseur ou de l’appareil de clé de sécurité pendant l’inscription. En cas d’application :

  • Il fournit une identité d’appareil vérifiable par chiffrement par le biais du service de métadonnées FIDO (MDS). Lorsque l’attestation est appliquée, les parties de confiance peuvent valider le modèle d’authentificateur et appliquer des décisions de stratégie pour les appareils certifiés.
  • Les clés secrètes non testées, y compris les clés secrètes synchronisées et les clés secrètes non testées liées à l’appareil, ne fournissent pas de provenance de l’appareil.

Dans Microsoft Entra ID :

  • L’attestation peut être appliquée au niveau du profil de clé secrète .
  • Si l’attestation est activée, seules les clés d’accès liées à l’appareil sont autorisées ; les clés d’accès synchronisées sont exclues.

Choisir l’option de clé secrète appropriée

Les clés de sécurité FIDO2 sont recommandées pour les secteurs hautement réglementés ou les utilisateurs disposant de privilèges élevés. Ils offrent une sécurité forte, mais peuvent augmenter les coûts d’équipement, de formation et de support technique, en particulier lorsque les utilisateurs perdent leurs clés physiques et ont besoin de récupération de compte. Les clés secrètes dans l’application Microsoft Authenticator sont une autre option pour ces groupes d’utilisateurs.

Pour la plupart des utilisateurs, ceux qui se trouvent en dehors d’environnements hautement réglementés ou sans accès aux systèmes sensibles, les clés secrètes synchronisées offrent une alternative pratique et économique à l’authentification multifacteur traditionnelle. Apple et Google ont implémenté des protections avancées pour les clés secrètes stockées dans leurs clouds.

Quel que soit le type—lié à l’appareil ou synchronisé—les passkeys représentent une mise à niveau de sécurité significative par rapport aux méthodes d'authentification multifacteurs (MFA) susceptibles d'hameçonnage.

Pour plus d’informations, consultez Commencez avec le déploiement d’authentification multifacteur résistante au hameçonnage dans Microsoft Entra ID.

Contenu connexe

  • Last updated on