Microsoft vient d’annoncer il y a quelques heures l’extension de la prise en charge des clés de sécurité dans Microsoft Entra ID via l’application Microsoft Authenticator sur iOS et Android. C’est le moment de mettre un coup d’arrêt aux attaques de types Adversary-in-the-Middle (AitM) ! 💪🔌
Pourquoi utiliser une méthode d’authentification renforcée ?
Microsoft n’est pas le seul à le dire, tous les grands acteurs recommandent des méthodes d’authentification sans mot de passe. Elles apportent expérience de connexion plus sécurisée :
Microsoft propose juste ici une comparaison claire concernant les différentes méthodes les plus répendues :
| Méthode d’authentification | Sécurité | Usage | Disponibilité |
|---|---|---|---|
| Windows Hello Entreprise | Élevé | Élevé | Élevé |
| Microsoft Authenticator | Élevé | Élevé | Élevé |
| Authenticator Lite | Élevé | Élevé | Élevé |
| Clè d’accès (FIDO2) | Élevé | Élevé | Élevé |
| Authentification par certificat | Élevé | Élevé | Élevé |
| Jetons matériels OATH (version préliminaire) | Moyenne | Moyenne | Élevé |
| Jetons logiciels OATH | Moyenne | Moyenne | Élevé |
| Passe d’accès temporaire (TAP) | Moyenne | Élevé | Élevé |
| SMS | Moyenne | Élevé | Moyenne |
| Voix | Moyenne | Moyenne | Moyenne |
| Mot de passe | Faible | Élevé | Élevé |
Voici d’autres liens très utiles sur le sujet :
- Activer les clés d’accès dans Microsoft Authenticator
- Inscrire des clés d’accès dans Authenticator sur des appareils
- Se connecter avec des clés secrètes dans Authenticator pour les appareils
- FAQ Microsoft Passkey
- Microsoft Entra ID Token Protection expliqué par Lukas Beran
Qu’est-ce que les passkeys ?
Une passkey est une méthode qui permet aux utilisateurs d’accéder à des systèmes ou des services sans utiliser les mots de passe traditionnels. En général, elle repose sur des méthodes de déverrouillage d’appareils familières telles que la biométrie (comme les empreintes digitales ou la reconnaissance faciale) ou les codes PIN pour vérifier l’identité des utilisateurs.
Voici justement une courte vidéo en français expliquant les passkeys :
Merci à Merill Fernando pour cette illustration qui montre le processus d’ouverture de session sur votre iPhone ou Android :
Quelles sont les différences entre les passkeys et les clefs FIDO ?
Un premier article avait déjà été écrit sur les clefs FIDO, dont voici le lien. Mais l’excellent article de BIO-key explique les différences de façon assez claire, dont voici une traduction en français :
Sécurité :
- Résistance aux attaques : Les passkeys reposent sur des méthodes de déverrouillage d’appareils et sont vulnérables aux attaques ciblant les mesures de sécurité de l’appareil (comme le spoofing biométrique ou le devinage de PIN) ou les techniques d’ingénierie sociale. En revanche, les clés de sécurité utilisent des méthodes cryptographiques robustes et offrent une protection supérieure contre une large gamme d’attaques à distance, y compris le phishing, l’homme du milieu et le bourrage d’identifiants.
- Stockage et gestion des clés : Les passkeys stockent généralement les clés sur l’appareil de l’utilisateur, ce qui peut les rendre vulnérables à un accès non autorisé. Les clés de sécurité stockent quant à elles les clés cryptographiques dans le jeton matériel lui-même, réduisant ainsi le risque de compromission des clés.
Facilité d’utilisation :
- Expérience utilisateur : Les passkeys offrent une expérience plus conviviale, car elles utilisent des méthodes de déverrouillage d’appareils familières telles que la biométrie ou les PIN. En revanche, les clés de sécurité peuvent nécessiter des étapes supplémentaires ou la possession physique, ce qui peut affecter leur facilité d’utilisation.
- Formation et intégration : Évaluez la facilité de former les utilisateurs à l’utilisation efficace des passkeys ou des clés de sécurité. Les passkeys peuvent avoir une courbe d’apprentissage plus courte, tandis que les clés de sécurité peuvent nécessiter plus de guidage et d’éducation.
Commodité :
- Dépendance à l’appareil : Les passkeys reposent sur l’appareil de l’utilisateur pour l’authentification, ce qui les rend plus pratiques pour les utilisateurs qui changent fréquemment d’appareil. En revanche, les clés de sécurité, en tant que jetons physiques, nécessitent que les utilisateurs les portent pour l’authentification, ce qui peut être moins pratique pour certains individus.
- Perte ou oubli des identifiants : Évaluez l’impact de la perte ou de l’oubli des passkeys ou des clés de sécurité sur l’accès des utilisateurs. Les passkeys peuvent offrir des options de récupération plus faciles, tandis que les clés de sécurité peuvent nécessiter des étapes supplémentaires ou une intervention administrative.
Scalabilité :
- Déploiement et gestion : Évaluez la facilité de déploiement et de gestion des passkeys ou des clés de sécurité auprès d’une population d’utilisateurs diversifiée. Tenez compte de facteurs tels que la provision, la révocation et les capacités de gestion centralisée.
- Considérations financières : Évaluez les implications financières de la mise en œuvre des passkeys ou des clés de sécurité à grande échelle. Tenez compte de facteurs tels que les coûts initiaux, la maintenance continue et les besoins éventuels de remplacement des appareils.
Compatibilité :
Blog BIO-Key
- Normes et support : Les passkeys et les clés de sécurité doivent être conformes à des normes largement adoptées telles que FIDO2 (Fast Identity Online) pour assurer la compatibilité avec diverses plateformes et services.
- Intégration des applications : Évaluez la compatibilité des passkeys ou des clés de sécurité avec les applications et systèmes cibles. Tenez compte de facteurs tels que les API disponibles, les SDK et le niveau d’effort d’intégration requis.
Pour vous faire une meilleure idée, je vous propose de réaliser ensemble un petit exercice sur la mise en place d’une passkey sur un utilisateur d’un tenant Azure :
- Etape 0 – Rappel des prérequis
- Etape I – Configuration passkey du tenant
- Etape II – Configuration passkey de l’utilisateur
- Etape III – Création d’une méthode d’authentification renforcée
- Etape IV – Test passkey sans mémorisation du téléphone
- Etape V – Test passkey avec mémorisation du téléphone
- Etape VI – Suppression d’une passekey
Etape 0 – Rappel des prérequis :
Pour réaliser ces tests de passkey sur votre tenant Microsoft, il vous faudra disposer de :
- Un tenant Microsoft 😎
Voici une vue de la page des informations de sécurité de l’utilisateur avant l’activation de la fonctionnalité Passkey :
Il n’est pour l’instant pas possible de lui ajouter une passkey, bien que le tenant soit déjà correctement configuré pour les clefs FIDO :
Avant de pouvoir ajouter une passkey sur un utilisateur de test, il est nécessaire d’activer cette fonctionnalité (encore en préversion) via le portail Entra ID.
Etape I – Configuration passkey du tenant :
Pour cela, rendez-vous sur la page de Microsoft Entra ID par ce lien, rendez-vous dans le menu suivant, puis cliquez sur la rubrique FIDO2 :
Sur le second onglet, configurer ou reconfigurer les options comme ceci :
Comme il est nécessaire d’ajouter des AAGUID spécifiques (Apple / Android) aux passkeys, il est important de reprendre également ceux utilisés pour les clefs FIDO (Un grand merci à Nathan McNulty pour le script !)
Pour cela, commencez par installer le module Graph :
Install-Module Microsoft.Graph
Connectez-vous à votre tenant via le module Graph en utilisant un compte ayant les permissions nécessaires :
Connect-MgGraph -Scope AuditLog.Read.All,UserAuthenticationMethod.Read.All
Listez tous les AAGUID des clés FIDO2 enregistrées pour tous vos utilisateurs via la commande suivante :
((Get-MgReportAuthenticationMethodUserRegistrationDetail -Filter "methodsRegistered/any(i:i eq 'passKeyDeviceBound')" -All).Id | ForEach-Object { Get-MgUserAuthenticationFido2Method -UserId $_ -All }).AaGuid | Select-Object -Unique
Copiez les valeurs AAGUID dans la configuration, puis ajoutez les deux AAGUID correspondants respectivement aux Microsoft Authenticator pour Android / Apple
de1e552d-db1d-4423-a619-566b625cdc84
90a3ccdf-635c-4729-a248-9b709135078fCela donne la vue suivant, puis cliquez sur Sauvegarder :
Notre tenant est maintenant correctement configuré. Il faudrait attendre environ 5 à 10 minutes afin que l’utilisateur puisse retrouvez la nouvelle option.
Etape II – Configuration passkey de l’utilisateur :
Avant cela, pensez à activer le Bluetooth sur votre ordinateur :
Retournez sur la page des informations de sécurité de l’utilisateur, puis cliquez-ici pour ajouter une passkey :
Choisissez Passkey, puis cliquez sur Suivant :
Avant confirmez votre identité par un premier challenge MFA :
Une fois le challenge MFA réussi, cliquez sur Suivant :
Lisez la consigne, puis cliquez sur Suivant :
Choisissez la marque correspondante à votre téléphone :
Lisez la consigne, puis cliquez sur Continuer :
Lisez la consigne, puis cliquez sur Suivant :
Lisez le message, puis cliquez sur Je comprends :
Cliquez sur Suivant :
Choisissez l’option ci-dessous, puis cliquez sur Suivant :
Ouvrez l’appareil photo de votre téléphone, afin de scanner le QR Code dédié à la passkey :
Cliquez sur Pas maintenant :
Attendez quelques secondes que la connexion s’établisse :
Le message de succès de connexion apparaît alors sur votre ordinateur :
Sur votre téléphone, cliquez sur Enregistrer autrement :
Choisissez Microsoft Authenticator :
Cliquez sur Créer :
Cliquez sur Utiliser une fois :
Votre ordinateur vous confirme la bonne sauvegarde de la clef sur votre téléphone, cliquez sur OK :
Nommez votre nouvelle passkey :
Celle-ci fait maintenant partie de vos méthodes de connexion :
Notre environnement de test est maintenant en place ! Il ne nous reste plus qu’à tester la connexion en utilisant la passkey.
Etape III – Création d’une méthode d’authentification renforcée :
Par la suite, la mise en place d’une méthode d’une méthode d’authentification renforcée est une bonne pratique pour obliger l’utilisateur a utiliser cette nouvelle méthode MFA résistante à l’hameçonnage.
Rendez-vous sur le portail Entra ID pour y créer cette nouvelle méthode renforcée.
Cliquez sur Méthodes d’authentification renforcées pour en ajouter une nouvelle, puis cliquez sur Suivant :
Cliquer sur sur Créer :
Créer une nouvelle police d’accès conditionnel :
Saisissez un nom à votre police et sélectionnez votre utilisateur de test :
Ajoutez la ou les applications :
Terminez la configuration en autorisant l’accès sous réserve de satisfaire votre nouvelle méthode d’authentification renforcée :
Attendez quelques minutes avant de pouvoir tester les changement.
Etape IV – Test passkey sans mémorisation du téléphone :
Pour cela, ouvrez un navigateur internet en mode privé, rendez-vous sur la page portal.azure.com, puis cliquez sur le bouton proposant plusieurs options d’authentification :
Choisissez la méthode d’authentification au moyen d’un périphérique :
Choisissez l’option ci-dessous, puis cliquez sur Suivant :
Ouvrez l’appareil photo de votre téléphone, afin de scanner le QR Code dédié à la passkey :
Attendez quelques secondes que la connexion s’établisse :
Le message de succès de connexion apparaît alors sur votre ordinateur :
Cliquez sur Pas maintenant :
Choisissez la passkey enregistrée précédemment dans votre Microsoft Autenticator :
Confirmez votre identité par un moyen biométrique, puis attendez quelques secondes.
Le message suivant vous confirme alors le succès de l’authentification sur Office 365 :
Afin de gagner du temps et d’éviter d’utiliser l’appareil photo de votre téléphone, il est possible de mémoriser le téléphone sur votre ordinateur de confiance.
Etape V – Test passkey avec mémorisation du téléphone :
Pour cela, réouvrez un navigateur internet en mode privé, rendez-vous sur la page portal.azure.com, puis cliquez sur le bouton proposant plusieurs options d’authentification :
Choisissez la méthode d’authentification au moyen d’un périphérique :
Choisissez l’option ci-dessous, puis cliquez sur Suivant :
Ouvrez l’appareil photo de votre téléphone, afin de scanner le QR Code dédié à la passkey :
Attendez quelques secondes que la connexion s’établisse :
Le message de succès de connexion apparaît alors sur votre ordinateur :
Cliquez cette fois sur OK :
Cliquez sur Créer pour enregistrer la même clef sur Samsung Pass :
Confirmez votre identité par un moyen biométrique, puis attendez quelques secondes. Le message suivant vous confirme alors le succès de l’authentification sur Office 365 :
Afin de vérifier le changement, réouvrez un navigateur internet en mode privé, rendez-vous sur la page office.com, puis cliquez-ici :
Cliquez sur le bouton proposant plusieurs options d’authentification :
Choisissez la méthode d’authentification au moyen d’un périphérique :
Choisissez le téléphone mémorisé précédement :
Attendez quelques secondes l’envoi de la notification à votre téléphone :
Choisissez la passkey enregistrée précédemment dans votre Microsoft Autenticator :
Confirmez votre identité par un moyen biométrique, puis attendez quelques secondes.
Le message suivant vous confirme alors le succès de l’authentification sur Office 365 :
Etape VI – Suppression d’une Passkey :
Enfin, il est possible de supprimer une passkey sur un utilisateur. L’utilisateur peut le faire lui-même via sa propre page de sécurité :
Ou par le biais d’un administrateur via le portail Entra ID :
Dans les deux cas, l’utilisateur devra toujours retirer la passkey stockée sur son application Authenticator de son smartphone.
Si l’utilisateur ne dispose pas encore de passkey sur son compte et tente d’accéder à une ressource protégée par un accès conditionnel, le message suivant devrait apparaître :
Il devrait malgré tout pouvoir ajouter sa passkey par cette page https://aka.ms/mysecurityinfo :
Conclusion
La mise en place de méthodes renforcées d’authentification pour les identités Cloud est une excellente chose pour la sécurité. Cette démarche doit par la suite être compagné d’un renforcement des accès conditionnels afin que créer une couche de protection supplémentaire 💪
