Note
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier les répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de changer de répertoire.
Les attaques par hameçonnage à distance sont en hausse. Ces attaques visent à voler ou à relayer des preuves d’identité ( mots de passe, codes SMS ou codes secrets à usage unique) sans accès physique à l’appareil de l’utilisateur. Les attaquants utilisent souvent des techniques d’ingénierie sociale, de collecte d’informations d’identification ou de rétrogradation pour contourner les protections plus fortes telles que les clés secrètes ou les clés de sécurité. Avec les kits de ressources d’attaque pilotés par l’IA, ces menaces sont de plus en plus sophistiquées et évolutives.
Les clés secrètes permettent d’empêcher le hameçonnage à distance en remplaçant les méthodes phishables telles que les mots de passe, les SMS et les codes de messagerie. Basées sur les normes FIDO (Fast Identity Online), les clés secrètes utilisent le chiffrement de clé publique liée à l’origine, ce qui garantit que les informations d’identification ne peuvent pas être relues ou partagées avec des acteurs malveillants. En plus de renforcer la sécurité, les clés secrètes (FIDO2) offrent une expérience de connexion sans friction en éliminant les mots de passe, en réduisant les invites et en activant l’authentification rapide et sécurisée sur les appareils.
Les clés secrètes (FIDO2) peuvent également être utilisées pour se connecter à des appareils Microsoft Entra ID ou Microsoft Entra hybrides joints à Windows 11 et obtenir l’authentification unique sur les ressources cloud et locales.
Qu’est-ce que les clés secrètes ?
Les clés secrètes sont des informations d’identification résistantes au hameçonnage qui fournissent une authentification forte et peuvent servir de méthode d’authentification multifacteur (MFA) lorsqu’elles sont combinées avec la biométrie de l’appareil ou le code confidentiel. Ils fournissent également une résistance à l’emprunt d’identité du vérificateur, ce qui garantit qu’un authentificateur libère uniquement les secrets de la partie de confiance (RP) auprès de laquelle la clé de passe a été inscrite et non un attaquant prétendant être ce rp. Les clés secrètes (FIDO2) suivent les normes FIDO2, à l’aide de WebAuthn pour les navigateurs et CTAP pour la communication d’authentificateur.
Le processus suivant est utilisé lorsqu’un utilisateur se connecte à Microsoft Entra ID avec une clé de passe (FIDO2) :
- L’utilisateur lance la connexion à Microsoft Entra ID.
- L’utilisateur sélectionne une clé secrète :
- Même appareil (stocké sur l’appareil)
- Inter-appareils (via un code QR) ou une clé de sécurité FIDO2
- Microsoft Entra ID envoie un défi (nonce) à l’authentificateur.
- L’authentificateur localise la paire de clés à l’aide de l’ID de fournisseur de ressources haché et de l’ID d’informations d’identification.
- L’utilisateur effectue un mouvement biométrique ou confidentiel pour déverrouiller la clé privée.
- L’authentificateur signe le défi avec la clé privée et retourne la signature.
- Microsoft Entra ID vérifie la signature à l’aide de la clé publique et émet un jeton.
Types de clés secrètes
-
Clés secrètes liées à l’appareil : la clé privée est créée et stockée sur un seul appareil physique et ne la laisse jamais. Exemples:
- Microsoft Authenticator
- Clés de sécurité FIDO2
-
Clés secrètes synchronisées : la clé privée est stockée dans le cloud d’un fournisseur de clés secrètes et synchronisée entre les appareils connectés au même compte de fournisseur de clé secrète. Les clés secrètes synchronisées ne prennent pas en charge l’attestation. Exemples:
- Trousseau Apple iCloud
- Gestionnaire de mots de passe Google
Les clés secrètes synchronisées offrent une expérience utilisateur transparente et pratique où les utilisateurs peuvent utiliser le mécanisme de déverrouillage natif d’un appareil, comme le visage, l’empreinte digitale ou le code confidentiel pour s’authentifier. En fonction des enseignements tirés de centaines de millions d’utilisateurs de consommateurs de comptes Microsoft inscrits et qui utilisent des clés secrètes synchronisées, nous avons appris :
- 99% des utilisateurs inscrivent correctement les clés secrètes synchronisées
- Les clés secrètes synchronisées sont 14 fois plus rapides que le mot de passe et une combinaison MFA traditionnelle : 3 secondes au lieu de 69 secondes
- Les utilisateurs sont 3 fois plus réussis à se connecter avec une clé secrète synchronisée que les méthodes d’authentification héritées (95% vs 30%)
- Les clés secrètes synchronisées dans Microsoft Entra ID apportent une simplicité MFA à grande échelle pour tous les utilisateurs d’entreprise. Il s’agit d’une alternative pratique et économique aux options MFA traditionnelles telles que les applications SMS et authentificateur.
Pour plus d’informations sur le déploiement de clés secrètes dans votre organisation, consultez Comment activer les clés secrètes synchronisées.
L’attestation vérifie l’authenticité du fournisseur ou de l’appareil de clé secrète pendant l’inscription. En cas d’application :
- Il fournit une identité d’appareil vérifiable par chiffrement par le biais du service de métadonnées FIDO (MDS). Lorsque l’attestation est appliquée, les parties de confiance peuvent valider le modèle d’authentificateur et appliquer des décisions de stratégie pour les appareils certifiés.
- Les clés secrètes non testées, y compris les clés secrètes synchronisées et les clés secrètes non testées liées à l’appareil, ne fournissent pas de provenance de l’appareil.
Dans Microsoft Entra ID :
- L’attestation peut être appliquée au niveau du profil de clé secrète .
- Si l’attestation est activée, seules les clés secrètes liées à l’appareil sont autorisées ; les clés secrètes synchronisées sont exclues.
Choisir l’option de clé secrète appropriée
Les clés de sécurité FIDO2 sont recommandées pour les secteurs hautement réglementés ou les utilisateurs disposant de privilèges élevés. Ils offrent une sécurité forte, mais peuvent augmenter les coûts d’équipement, de formation et de support technique, en particulier lorsque les utilisateurs perdent leurs clés physiques et ont besoin de récupération de compte. Les clés secrètes dans l’application Microsoft Authenticator sont une autre option pour ces groupes d’utilisateurs.
Pour la plupart des utilisateurs, ceux qui se trouvent en dehors d’environnements hautement réglementés ou sans accès aux systèmes sensibles, les clés secrètes synchronisées offrent une alternative pratique et économique à l’authentification multifacteur traditionnelle. Apple et Google ont implémenté des protections avancées pour les clés secrètes stockées dans leurs clouds.
Quel que soit le type ( lié à l’appareil ou synchronisé), les clés secrètes représentent une mise à niveau de sécurité significative par rapport aux méthodes MFA phishables.
Pour plus d’informations, consultez Prise en main du déploiement MFA résistant au hameçonnage dans Microsoft Entra ID.