Aujourd’hui, on se retrouve pour tester ensemble une clef FIDO2 sur un environnement Microsoft Cloud. Fini les galères des mots de passe, place à une sécurité renforcée et simplifiée. Dans cet article, je vous partage mon expérience, étape par étape, de la configuration sur un tenant Microsoft à la vérification des connexions via USB et NFC. Venez découvrir comment, avec une approche à la fois technique et accessible, on peut repenser la manière de sécuriser nos identités en ligne.
Qu’est-ce que FIDO ?
FIDO, qui signifie Fast IDentity Online, désigne un ensemble de normes d’authentification qui utilisent la cryptographie à clé publique pour se passer des mots de passe traditionnels.
Concrètement, l’objectif de FIDO est de renforcer la sécurité en ligne en utilisant des méthodes d’authentification plus fiables et ergonomiques, comme les dispositifs matériels (clés de sécurité) ou l’authentification biométrique (empreintes digitales, reconnaissance faciale).
Pour moi, c’est une approche qui simplifie l’expérience utilisateur car, tout en augmentant considérablement la sécurité, ces passkeys sont interopérables, ce qui signifie qu’une seule passkey peut être utilisée sur plusieurs sites ou comptes.
D’ailleurs, j’avais déjà parlé de l’intégration d’une authentification FIDO2 pour le service Azure Virtual Desktop juste ici :
Qu’est-ce que l’Alliance FIDO ?
Créée en 2012, FIDO Alliance est une association d’entreprises du secteur technologique ayant pour objectif de changer la manière dont nous nous authentifions en ligne. L’idée de ce consortium est de se passer des mots de passe, souvent vulnérables, en favorisant des méthodes d’authentification plus sûres et plus simples à utiliser :
Pour résumer, FIDO Alliance réunit de nombreux acteurs du secteur (comme Google, Microsoft, mais pas que) pour développer des standards ouverts, tels que FIDO U2F et FIDO2, qui permettent par exemple d’utiliser des dispositifs matériels (clefs de sécurité) ou des méthodes biométriques pour s’authentifier.
FIDO vs U2F vs FIDO2 ?
Le protocole FIDO original, alias FIDO 1.0, était la première itération de la norme d’authentification FIDO. Publié en 2014, il visait à remplacer les mots de passe traditionnels par des données biométriques et des jetons matériels. Elle comportait à la fois FIDO UAF (Universal Authentication Framework) et FIDO U2F (Universal Second Factor).
En 2016, le World Wide Web Consortium (W3C) et la FIDO Alliance ont commencé à collaborer pour normaliser l’authentification FIDO. Cela a conduit au lancement de FIDO2 en 2018, qui offre une approche plus complète et standardisée de l’authentification sans mot de passe. De nombreux navigateurs célèbres, dont Firefox et Chrome, ont mis en œuvre la norme, ce qui a contribué à son adoption.
FIDO2 a deux composantes principales : WebAuthn et CTAP (Client to Authenticator Protocol). Ensemble, WebAuthn et CTAP offrent une expérience de connexion cryptographiquement sécurisée, pratique et interopérable.
En résumé, les principales différences entre FIDO 1.0 et FIDO2 sont la normalisation, la portée, l’interopérabilité et l’adoption. FIDO2 est un protocole plus complet et normalisé qui est pris en charge par tous les principaux navigateurs et systèmes d’exploitation, y compris Android, IOS, MacOS et Windows.
FIDO2.1 est une petite évolution de la spécification FIDO2 qui vise à combler certaines limites et à renforcer à la fois la sécurité et l’expérience utilisateur. Concrètement, FIDO2.1 apporte notamment :
Une gestion améliorée des PIN et des mécanismes d’authentification locales, avec des règles plus strictes pour éviter les codes trop faibles.
Des processus d’enrôlement et de récupération des identifiants optimisés, pour faciliter la réinitialisation ou le transfert sécurisé des clés.
Une meilleure interopérabilité entre les différents types d’authentificateur (qu’ils soient matériels ou intégrés à un appareil), ce qui simplifie leur déploiement dans des environnements hétérogènes.
En résumé, il ne s’agit pas d’un changement radical, mais plutôt d’un raffinement qui permet d’offrir une sécurité renforcée tout en rendant l’usage du système encore plus fluide et adaptable.
Quelles sont les méthodes de connexion d’une clef FIDO2 ?
USB-A et USB-C :
Pour les PC, on branche la clé directement dans un port USB-A ou USB-C.
Pour les smartphones, il est souvent possible de les utiliser via un câble OTG ou directement sur un port USB-C, selon le modèle.
NFC :
De nombreuses clés intègrent une puce NFC, ce qui permet une connexion sans contact avec des smartphones compatibles (par exemple, iPhone à partir d’iOS 13.3 et de nombreux appareils Android).
À noter toutefois que sur Android, les clés protégées par PIN ne supportent pas la connexion NFC.
La prise en charge des clés de passage de FIDO2.1 (à savoir les clés résidentes protégées par un code PIN) a été introduite dans le cadre de Google Play Services v23 et uniquement par le biais de la méthode de transport USB. Cela signifie donc que :
Android ne prend en charge les identifiants FIDO protégés par un code PIN que si Google Play Services est présent. Android ne prend pas en charge les informations d’identification FIDO protégées par un code PIN via NFC.
Quels sont les risques encourus si je perds ma clef FIDO2 ?
La perte de votre clé FIDO2 peut poser des problèmes d’accès à vos comptes, mais les risques de compromission sont fortement limités. En effet, ces clés reposent sur la cryptographie asymétrique : même si quelqu’un mettait la main sur votre clé, il ne pourrait pas extraire la clé privée qui reste protégée.
De plus, la plupart des dispositifs FIDO2 nécessitent un code PIN ou une authentification biométrique pour être utilisés, ce qui ajoute une couche de sécurité supplémentaire.
Néanmoins, il est important de prévoir une solution de secours. Par exemple, en enregistrant plusieurs clés ou en activant d’autres méthodes de récupération, vous pourrez rapidement révoquer une clé perdue et en associer une nouvelle, sans compromettre l’accès à vos comptes.
Dois-je acheter une licence payante d’Entra ID pour utiliser une clef FIDO2 ?
Non, il n’est pas nécessaire d’acheter une licence Entra ID spécifique pour utiliser une clé FIDO2 en authentification sans mot de passe.
Cette fonctionnalité est incluse dans toutes les éditions d’Entra ID, y compris la version gratuite, même si certaines fonctionnalités avancées (comme l’accès conditionnel) nécessitent des licences Entra ID Premium.
Qui sont Token2 ?
La société Token2 a vu le jour en 2014. Il s’agit d’une entreprise suisse spécialisée dans la cybersécurité, et plus précisément dans l’authentification multifactorielle.
Le siège de Token2 se situe à Versoix, dans la République et le Canton de Genève, en Suisse.
Pour faire simple, ils conçoivent et développent des solutions matérielles et logicielles qui rendent l’authentification en ligne à la fois plus sûre et plus pratique.
D’ailleurs, Token2 est aussi un membre certifié de l’alliance FIDO :
Token2, fier membre de l’Alliance FIDO, a obtenu son certificat FIDO initial en 2019 et fournit une variété de clés de sécurité FIDO depuis plus de 5 ans.
En plus des clés FIDO2 ordinaires, Token2 est ravie de présenter sa très attendue série PIN+, une ligne révolutionnaire de clés de sécurité FIDO2 qui a récemment reçu la certification de l’Alliance FIDO.
Ces clés de sécurité de pointe introduisent des règles avancées de complexité du code PIN qui redéfinissent les standards de sécurité.
Pour aller toujours plus loin dans la sécurité de leurs produits, Token2 a également fait l’objet d’un audit indépendant (réalisé par Compass) en 2024 sur le firmware open source (disponible sur GitHub) de leurs clés Token2 PIN+ (voir leur outil de test de PIN), confirmant leur robustesse et leur transparence.
Enfin, j’en profite pour dire un grand merci à Manon, Emin et Naila pour me permettre de tester vos produits !
Ce qui m’a séduit d’emblée sur cette clef FIDO2.1 R3, c’est la présence du triple combo USB-A, USB-C et NFC, ainsi que le support des normes FIDO et FIDO2.1( avec le support d’OpenPGP et d’OTP) :
Maintenant, il nous reste plus qu’à tester tout cela 😎💪
Etape 0 – Rappel des prérequis :
Pour réaliser nos tests sur une clef FIDO2.1, il vous faudra disposer de :
Un tenant Microsoft
J’ai choisi dans la première partie de l’article de tester la mise en place d’une clef FIDO2 sur un tenant ne disposant d’aucune licence Entra ID Premium.
Pour vérifier si votre tenant dispose de licences ou non Entra ID Premium, je vous propose de commencer par vérifier cette information
Etape I – Configuration du tenant :
Allez dans la page suivante d’Entra afin de constater la présence, ou non, de licences Entra Premium sur votre tenant :
Ensuite, basculez l’onglet des propriétés afin de déterminer la méthode de sécurité appliquée sur votre tenant :
Enfin, vérifiez l’activation, ou non, de différentes méthodes d’authentification sur cette page :
Notre environnement est donc dans sa configuration la plus basique. Avant de modifier celle-ci, je vous propose de constater les méthodes de sécurité déjà disponibles sur notre utilisateur.
Etape II – Ajout de la méthode d’authentification FIDO2 :
Pour cela, rendez-vous sur la page suivante de votre utilisateur, puis cliquez sur le bouton suivant :
Cliquez-ici pour ajouter une nouvelle méthode d’authentification :
Constatez la liste des méthodes d’authentification déjà accessibles à votre utilisateur :
Retournez sur la page des méthodes d’authentification Entra ID via cette page, puis cliquez-ici :
Activez la méthode FIDO2 :
Configurez au besoin les options de cette méthode, puis cliquez sur Sauvegarder :
Vérifiez le changement de statut pour cette méthode d’authentification :
Attendez environ 5 à 10 minutes avant de continuer la configuration de votre utilisateur.
Etape III – Ajout de la première clef FIDO2 :
Retournez sur la page suivante de gestion de compte de votre utilisateur, puis cliquez à nouveau sur le bouton suivant :
Cliquez-ici pour ajouter une nouvelle méthode d’authentification :
Constatez l’apparition de nouvelles méthodes dans la liste de celles disponibles pour votre utilisateur :
Sélectionnez la méthode appelée Clef de sécurité :
Avant cela, Microsoft souhaite vérifier votre identité par une autre méthode MFA déjà en place, cliquez donc sur Suivant :
Réussissez le challenge MFA avec Microsoft Authenticator :
Une fois réussi, recommencez le processus d’ajout, puis cliquez-ici :
Cliquez sur Suivant :
Microsoft communique alors avec votre OS Windows afin de vérifier et d’enrôler la clef FIDO2 :
Attendez encore quelques secondes :
Confirmez les informations de compte, puis cliquez sur OK :
Cliquez sur OK :
Saisissez le code PIN déjà configuré sur votre clef FIDO2, puis cliquez sur OK :
Touchez physiquement la zone prévue à cet effet pour terminer :
Windows confirme le bon enrôlement de la clef FIDO2 chez Microsoft, cliquez sur OK :
Nommez votre clef FIDO2 afin de l’identifier par la suite plus facilement, puis cliquez sur Suivant :
Cliquez sur Terminer :
Constatez l’apparition de celle-ci dans les informations de sécurité de votre utilisateur :
Il est très fortement conseillé d’enrôler toujours 2 clefs afin d’utiliser la seconde en cas de secours.
Testons maintenant comment l’expérience utilisateur est impactée par l’ajout de cette méthode d’authentification FIDO2.
Etape IV – Test de connexion FIDO2 sur PC :
Sur votre poste, ouvrez un navigateur internet en session privée :
Au lieu de saisir le mot de passe de votre utilisateur, cliquez comme ceci :
Attendez quelques secondes :
Renseignez le code PIN de votre clef FIDO2 :
Touchez la zone prévue à cet effet pour confirmer l’authentification :
Cliquez sur Oui :
Et vous voilà correctement authentifié sur le portail de Microsoft Office 365 :
Nous avons vu l’impact de l’authentification d’une clef FIDO2 pour un compte Cloud de Microsoft. Intéressons-nous maintenant à la nouvelle clef FIDO2 proposée par Token2 et ses différentes possibilités d’authentification.
Etape V – Ajout de la clef FIDO2 Token2 T2F2-Dual:
avant d’utiliser cette nouvelle clef FIDO2 pour un compte, il est nécessaire de lui configurer un code PIN.
Pour cela, rendez-vous dans le menu suivant des paramètres Windows :
Cliquez sur le bouton Gérer :
Touchez la zone prévue à cet effet de votre nouvelle clef FIDO2 :
Cliquez-ici pour configurer le code PIN :
Testez un code PIN simple à 4 caractères afin de constater le refus de la nouvelle clef FIDO2 d’accepter cette valeur trop courte :
Testez un code PIN reprenant une simple suite de chiffres à 6 caractères afin de constater un second refus pour accepter cette valeur trop simple :
Renseignez cette fois 6 caractères aléatoires afin de constater l’acceptation de la valeur complexe :
Si nécessaire, il vous est toujours possible de changer ce code PIN en cliquant ici :
Il vous sera demandé de renseigner l’ancien code PIN avant de pouvoir en configurer un nouveau dans le but de conserver les identités déjà configurées :
Retournez sur la page suivante de gestion de compte de votre utilisateur, puis cliquez sur le bouton suivant :
Cliquez-ici pour ajouter une nouvelle méthode d’authentification :
Sélectionnez à nouveau Clef de sécurité, puis repassez sur toutes les étapes afin que votre nouvelle clef FIDO2 apparaisse dans la liste de ses méthodes d’authentification :
Notre nouvelle clef FIDO2 est maintenant en place pour notre utilisateur.
Comme sa méthode d’authentification via le port USB est la même que pour la première clef, testons directement la possibilité de connexion via NFC depuis un smartphone.
Etape VI – Test de connexion NFC sur smartphone :
Si votre smartphone vous permet une connexion via NFC : ouvrez un navigateur internet en session privée, puis rendez-vous sur la page officielle de Microsoft office :
Saisissez le compte de votre utilisateur, puis cliquez sur Suivant :
Sans même saisir son mot de passe, choisissez une méthode d’authentification par une clef de sécurité externe :
Le message suivant vous invite à rapprocher ou à connecter votre clef FIDO2 à votre smartphone :
Dans le cadre du NFC, approchez votre clef de sécurité FIDO2 en haut de votre smartphone comme ceci :
Retirez la clef, puis saisissez le code PIN de votre clef FIDO2 :
Le message suivant vous invite à rapprocher à nouveau votre clef FIDO2 à votre smartphone :
Rapprochez une seconde fois votre clef FIDO2 afin de confirmer l’authentification de votre compte, puis cliquez sur Oui :
Constatez la bonne connexion de votre utilisateur aux services de Microsoft :
Comme annoncé plus haut, certains smartphones de la marque Android ne permettent pas la connexion NFC à votre compte dans le cadre d’une clef FIDO2 protégée par un code PIN.
Etape VII – Test de connexion USB-C sur smartphone :
Si votre smartphone ne vous permet pas la connexion via NFC : ouvrez un navigateur internet en session privée, rendez-vous sur la page officielle de Microsoft office, saisissez le nom de compte, puis cliquez sur Suivant :
Sans même saisir de mot de passe, choisissez une méthode d’authentification par une clef de sécurité externe :
Cliquez sur le bouton ci-dessous :
Le message suivant vous invite à connecter votre clef FIDO2 à votre smartphone :
Connectez votre clef de sécurité FIDO2 via USB-C, puis saisissez le code PIN de celle-ci :
Touchez physiquement la zone prévue à cet effet pour terminer :
Cliquez sur Oui :
Constatez la bonne connexion de votre utilisateur aux services de Microsoft :
Etape VIII – Ajout d’un accès conditionnel FIDO2 :
Depuis votre portail Entra ID, rendez-vous dans le paramétrage des Accès conditionnels afin de constater le besoin de licence Entra ID Premium pour activer cette fonction :
Achetez une licence Entra ID Premium ou basculez sur un tenant en disposant déjà :
Vérifiez que la sécurité par défaut de votre tenant est désactivée au profit de l’accès conditionnel :
Cliquez sur Méthodes d’authentification renforcées pour en ajouter une nouvelle :
Configurez celle-ci :
Puis créez votre nouvelle Police d’accès conditionnel :
Saisissez un nom à votre police, sélectionnez votre utilisateur de test, ajoutez l’application Azure, puis cliquez ici :
Autorisez l’accès sous réserve de satisfaire votre méthode d’authentification renforcée :
Ajoutez si besoin une fréquence d’authentification, puis créez votre police d’accès conditionnel :
Attendez quelques minutes, ouvrez un navigateur internet en session privée, puis rendez-vous sur la page officielle de Microsoft office :
Saisissez le nom et le mot de passe de votre compte de test, puis cliquez comme ceci :
Vous voilà correctement authentifié sur le portail de Microsoft Office 365 :
Toujours en navigation privée, ouvrez un nouvel onglet pour vous rendre sur le portail Azure, puis constatez le besoin d’un complément d’authentification FIDO2 :
Saisissez le code PIN de votre clef FIDO2 :
Touchez votre clé FIDO2 sur la zone prévue à cet effet :
Vous voilà correctement authentifié sur le portail Azure :
Avant de conclure cet article, je trouvais intéressant de parler de certains outils très pratiques et mis à disposition par Token2 sur leur site.
Celui-ci vous permet de tester en direct l’enregistrement et l’authentification via des clés FIDO2 et passkeys. Concrètement, il offre une expérience pratique pour :
Enregistrement (Registration) : Vous pouvez inscrire votre clé de sécurité (physique ou intégrée, c’est-à-dire un authentificateur de plateforme) en utilisant l’API WebAuthn. Lorsque la clé clignote, il suffit de toucher le bouton, scanner l’empreinte ou utiliser le NFC (pour les appareils compatibles) pour finaliser l’inscription.
Authentification (Login) : Une fois la clé enregistrée, l’outil simule un processus de connexion sécurisé. Vous pouvez tester différentes configurations de demande de PIN (toujours, si un PIN est défini, ou jamais) pour voir comment cela influence le comportement de l’authentification.
L’outil fido2-manage est un utilitaire de gestion pour les clés de sécurité conformes à la norme FIDO2.1. Concrètement, il permet de :
Lister les dispositifs connectés : Afficher la liste des clés FIDO2.1 détectées.
Afficher des informations détaillées : Consulter les données techniques de la clé (modèle, AAGUID, certificats d’attestation, etc.).
Gérer les passkeys : Visualiser et supprimer les clés résidentes (passkeys) stockées sur l’appareil.
Configurer ou modifier le PIN : Définir, changer ou forcer une modification du code PIN de la clé.
Réinitialiser la clé : Effectuer une réinitialisation aux paramètres d’usine (en notant que cette opération est possible uniquement dans un court laps de temps après la connexion).
Conclusion
En fin de compte, cette aventure avec la clef FIDO2, notamment la PIN+ Dual Release3, m’a prouvé que la sécurité peut être à la fois robuste et intuitive. Que ce soit pour se connecter via USB ou NFC, l’expérience utilisateur reste fluide et rassurante.
Tester ces solutions, c’est un peu comme prendre un virage vers l’avenir de l’authentification : simple, efficace et sans prise de tête.
Merci d’avoir suivi ce test avec moi, et à très bientôt pour de nouvelles explorations tech !
Microsoft vient d’annoncer il y a quelques heures l’extension de la prise en charge des clés de sécurité dans Microsoft Entra ID via l’application Microsoft Authenticator sur iOS et Android. C’est le moment de mettre un coup d’arrêt aux attaques de types Adversary-in-the-Middle (AitM) ! 💪🔌
Pourquoi utiliser une méthode d’authentification renforcée ?
Microsoft n’est pas le seul à le dire, tous les grands acteurs recommandent des méthodes d’authentification sans mot de passe. Elles apportent expérience de connexion plus sécurisée :
Microsoft propose juste ici une comparaison claire concernant les différentes méthodes les plus répendues :
Une passkey est une méthode qui permet aux utilisateurs d’accéder à des systèmes ou des services sans utiliser les mots de passe traditionnels. En général, elle repose sur des méthodes de déverrouillage d’appareils familières telles que la biométrie (comme les empreintes digitales ou la reconnaissance faciale) ou les codes PIN pour vérifier l’identité des utilisateurs.
Voici justement une courte vidéo en français expliquant les passkeys :
Merci à Merill Fernando pour cette illustration qui montre le processus d’ouverture de session sur votre iPhone ou Android :
Quelles sont les différences entre les passkeys et les clefs FIDO ?
Un premier article avait déjà été écrit sur les clefs FIDO, dont voici le lien. Mais l’excellent article de BIO-key explique les différences de façon assez claire, dont voici une traduction en français :
Sécurité :
Résistance aux attaques : Les passkeys reposent sur des méthodes de déverrouillage d’appareils et sont vulnérables aux attaques ciblant les mesures de sécurité de l’appareil (comme le spoofing biométrique ou le devinage de PIN) ou les techniques d’ingénierie sociale. En revanche, les clés de sécurité utilisent des méthodes cryptographiques robustes et offrent une protection supérieure contre une large gamme d’attaques à distance, y compris le phishing, l’homme du milieu et le bourrage d’identifiants.
Stockage et gestion des clés : Les passkeys stockent généralement les clés sur l’appareil de l’utilisateur, ce qui peut les rendre vulnérables à un accès non autorisé. Les clés de sécurité stockent quant à elles les clés cryptographiques dans le jeton matériel lui-même, réduisant ainsi le risque de compromission des clés.
Facilité d’utilisation :
Expérience utilisateur : Les passkeys offrent une expérience plus conviviale, car elles utilisent des méthodes de déverrouillage d’appareils familières telles que la biométrie ou les PIN. En revanche, les clés de sécurité peuvent nécessiter des étapes supplémentaires ou la possession physique, ce qui peut affecter leur facilité d’utilisation.
Formation et intégration : Évaluez la facilité de former les utilisateurs à l’utilisation efficace des passkeys ou des clés de sécurité. Les passkeys peuvent avoir une courbe d’apprentissage plus courte, tandis que les clés de sécurité peuvent nécessiter plus de guidage et d’éducation.
Commodité :
Dépendance à l’appareil : Les passkeys reposent sur l’appareil de l’utilisateur pour l’authentification, ce qui les rend plus pratiques pour les utilisateurs qui changent fréquemment d’appareil. En revanche, les clés de sécurité, en tant que jetons physiques, nécessitent que les utilisateurs les portent pour l’authentification, ce qui peut être moins pratique pour certains individus.
Perte ou oubli des identifiants : Évaluez l’impact de la perte ou de l’oubli des passkeys ou des clés de sécurité sur l’accès des utilisateurs. Les passkeys peuvent offrir des options de récupération plus faciles, tandis que les clés de sécurité peuvent nécessiter des étapes supplémentaires ou une intervention administrative.
Scalabilité :
Déploiement et gestion : Évaluez la facilité de déploiement et de gestion des passkeys ou des clés de sécurité auprès d’une population d’utilisateurs diversifiée. Tenez compte de facteurs tels que la provision, la révocation et les capacités de gestion centralisée.
Considérations financières : Évaluez les implications financières de la mise en œuvre des passkeys ou des clés de sécurité à grande échelle. Tenez compte de facteurs tels que les coûts initiaux, la maintenance continue et les besoins éventuels de remplacement des appareils.
Compatibilité :
Normes et support : Les passkeys et les clés de sécurité doivent être conformes à des normes largement adoptées telles que FIDO2 (Fast Identity Online) pour assurer la compatibilité avec diverses plateformes et services.
Intégration des applications : Évaluez la compatibilité des passkeys ou des clés de sécurité avec les applications et systèmes cibles. Tenez compte de facteurs tels que les API disponibles, les SDK et le niveau d’effort d’intégration requis.
Pour vous faire une meilleure idée, je vous propose de réaliser ensemble un petit exercice sur la mise en place d’une passkey sur un utilisateur d’un tenant Azure :
Pour réaliser ces tests de passkey sur votre tenant Microsoft, il vous faudra disposer de :
Un tenant Microsoft 😎
Voici une vue de la page des informations de sécurité de l’utilisateur avant l’activation de la fonctionnalité Passkey :
Il n’est pour l’instant pas possible de lui ajouter une passkey, bien que le tenant soit déjà correctement configuré pour les clefs FIDO :
Avant de pouvoir ajouter une passkey sur un utilisateur de test, il est nécessaire d’activer cette fonctionnalité (encore en préversion) via le portail Entra ID.
Etape I – Configuration passkey du tenant :
Pour cela, rendez-vous sur la page de Microsoft Entra ID par ce lien, rendez-vous dans le menu suivant, puis cliquez sur la rubrique FIDO2 :
Sur le second onglet, configurer ou reconfigurer les options comme ceci :
Comme il est nécessaire d’ajouter des AAGUID spécifiques (Apple / Android) aux passkeys, il est important de reprendre également ceux utilisés pour les clefs FIDO (Un grand merci à Nathan McNulty pour le script !)
Pour cela, commencez par installer le module Graph :
Install-Module Microsoft.Graph
Connectez-vous à votre tenant via le module Graph en utilisant un compte ayant les permissions nécessaires :
Copiez les valeurs AAGUID dans la configuration, puis ajoutez les deux AAGUID correspondants respectivement aux Microsoft Authenticator pour Android / Apple
Cela donne la vue suivant, puis cliquez sur Sauvegarder :
Notre tenant est maintenant correctement configuré. Il faudrait attendre environ 5 à 10 minutes afin que l’utilisateur puisse retrouvez la nouvelle option.
Etape II – Configuration passkey de l’utilisateur :
Avant cela, pensez à activer le Bluetooth sur votre ordinateur :
Retournez sur la page des informations de sécurité de l’utilisateur, puis cliquez-ici pour ajouter une passkey :
Choisissez Passkey, puis cliquez sur Suivant :
Avant confirmez votre identité par un premier challenge MFA :
Une fois le challenge MFA réussi, cliquez sur Suivant :
Lisez la consigne, puis cliquez sur Suivant :
Choisissez la marque correspondante à votre téléphone :
Lisez la consigne, puis cliquez sur Continuer :
Lisez la consigne, puis cliquez sur Suivant :
Lisez le message, puis cliquez sur Je comprends :
Cliquez sur Suivant :
Choisissez l’option ci-dessous, puis cliquez sur Suivant :
Ouvrez l’appareil photo de votre téléphone, afin de scanner le QR Code dédié à la passkey :
Cliquez sur Pas maintenant :
Attendez quelques secondes que la connexion s’établisse :
Le message de succès de connexion apparaît alors sur votre ordinateur :
Sur votre téléphone, cliquez sur Enregistrer autrement :
Choisissez Microsoft Authenticator :
Cliquez sur Créer :
Cliquez sur Utiliser une fois :
Votre ordinateur vous confirme la bonne sauvegarde de la clef sur votre téléphone, cliquez sur OK :
Nommez votre nouvelle passkey :
Celle-ci fait maintenant partie de vos méthodes de connexion :
Notre environnement de test est maintenant en place ! Il ne nous reste plus qu’à tester la connexion en utilisant la passkey.
Etape III – Création d’une méthode d’authentification renforcée :
Par la suite, la mise en place d’une méthode d’une méthode d’authentification renforcée est une bonne pratique pour obliger l’utilisateur a utiliser cette nouvelle méthode MFA résistante à l’hameçonnage.
Rendez-vous sur le portail Entra ID pour y créer cette nouvelle méthode renforcée.
Cliquez sur Méthodes d’authentification renforcées pour en ajouter une nouvelle, puis cliquez sur Suivant :
Cliquer sur sur Créer :
Créer une nouvelle police d’accès conditionnel :
Saisissez un nom à votre police et sélectionnez votre utilisateur de test :
Ajoutez la ou les applications :
Terminez la configuration en autorisant l’accès sous réserve de satisfaire votre nouvelle méthode d’authentification renforcée :
Attendez quelques minutes avant de pouvoir tester les changement.
Etape IV – Test passkey sans mémorisation du téléphone :
Pour cela, ouvrez un navigateur internet en mode privé, rendez-vous sur la page portal.azure.com, puis cliquez sur le bouton proposant plusieurs options d’authentification :
Choisissez la méthode d’authentification au moyen d’un périphérique :
Choisissez l’option ci-dessous, puis cliquez sur Suivant :
Ouvrez l’appareil photo de votre téléphone, afin de scanner le QR Code dédié à la passkey :
Attendez quelques secondes que la connexion s’établisse :
Le message de succès de connexion apparaît alors sur votre ordinateur :
Cliquez sur Pas maintenant :
Choisissez la passkey enregistrée précédemment dans votre Microsoft Autenticator :
Confirmez votre identité par un moyen biométrique, puis attendez quelques secondes.
Le message suivant vous confirme alors le succès de l’authentification sur Office 365 :
Afin de gagner du temps et d’éviter d’utiliser l’appareil photo de votre téléphone, il est possible de mémoriser le téléphone sur votre ordinateur de confiance.
Etape V – Test passkey avec mémorisation du téléphone :
Pour cela, réouvrez un navigateur internet en mode privé, rendez-vous sur la page portal.azure.com, puis cliquez sur le bouton proposant plusieurs options d’authentification :
Choisissez la méthode d’authentification au moyen d’un périphérique :
Choisissez l’option ci-dessous, puis cliquez sur Suivant :
Ouvrez l’appareil photo de votre téléphone, afin de scanner le QR Code dédié à la passkey :
Attendez quelques secondes que la connexion s’établisse :
Le message de succès de connexion apparaît alors sur votre ordinateur :
Cliquez cette fois sur OK :
Cliquez sur Créer pour enregistrer la même clef sur Samsung Pass :
Confirmez votre identité par un moyen biométrique, puis attendez quelques secondes. Le message suivant vous confirme alors le succès de l’authentification sur Office 365 :
Afin de vérifier le changement, réouvrez un navigateur internet en mode privé, rendez-vous sur la page office.com, puis cliquez-ici :
Cliquez sur le bouton proposant plusieurs options d’authentification :
Choisissez la méthode d’authentification au moyen d’un périphérique :
Choisissez le téléphone mémorisé précédement :
Attendez quelques secondes l’envoi de la notification à votre téléphone :
Choisissez la passkey enregistrée précédemment dans votre Microsoft Autenticator :
Confirmez votre identité par un moyen biométrique, puis attendez quelques secondes.
Le message suivant vous confirme alors le succès de l’authentification sur Office 365 :
Etape VI – Suppression d’une Passkey :
Enfin, il est possible de supprimer une passkey sur un utilisateur. L’utilisateur peut le faire lui-même via sa propre page de sécurité :
Ou par le biais d’un administrateur via le portail Entra ID :
Dans les deux cas, l’utilisateur devra toujours retirer la passkey stockée sur son application Authenticator de son smartphone.
Si l’utilisateur ne dispose pas encore de passkey sur son compte et tente d’accéder à une ressource protégée par un accès conditionnel, le message suivant devrait apparaître :
La mise en place de méthodes renforcées d’authentification pour les identités Cloud est une excellente chose pour la sécurité. Cette démarche doit par la suite être compagné d’un renforcement des accès conditionnels afin que créer une couche de protection supplémentaire 💪
