Aujourd’hui, on se retrouve pour tester ensemble une clef FIDO2 sur un environnement Microsoft Cloud. Fini les galères des mots de passe, place à une sécurité renforcée et simplifiée. Dans cet article, je vous partage mon expérience, étape par étape, de la configuration sur un tenant Microsoft à la vérification des connexions via USB et NFC. Venez découvrir comment, avec une approche à la fois technique et accessible, on peut repenser la manière de sécuriser nos identités en ligne.
Qu’est-ce que FIDO ?
FIDO, qui signifie Fast IDentity Online, désigne un ensemble de normes d’authentification qui utilisent la cryptographie à clé publique pour se passer des mots de passe traditionnels.
Concrètement, l’objectif de FIDO est de renforcer la sécurité en ligne en utilisant des méthodes d’authentification plus fiables et ergonomiques, comme les dispositifs matériels (clés de sécurité) ou l’authentification biométrique (empreintes digitales, reconnaissance faciale).
Pour moi, c’est une approche qui simplifie l’expérience utilisateur car, tout en augmentant considérablement la sécurité, ces passkeys sont interopérables, ce qui signifie qu’une seule passkey peut être utilisée sur plusieurs sites ou comptes.
D’ailleurs, j’avais déjà parlé de l’intégration d’une authentification FIDO2 pour le service Azure Virtual Desktop juste ici :
Qu’est-ce que l’Alliance FIDO ?
Créée en 2012, FIDO Alliance est une association d’entreprises du secteur technologique ayant pour objectif de changer la manière dont nous nous authentifions en ligne. L’idée de ce consortium est de se passer des mots de passe, souvent vulnérables, en favorisant des méthodes d’authentification plus sûres et plus simples à utiliser :
Pour résumer, FIDO Alliance réunit de nombreux acteurs du secteur (comme Google, Microsoft, mais pas que) pour développer des standards ouverts, tels que FIDO U2F et FIDO2, qui permettent par exemple d’utiliser des dispositifs matériels (clefs de sécurité) ou des méthodes biométriques pour s’authentifier.
FIDO vs U2F vs FIDO2 ?
Le protocole FIDO original, alias FIDO 1.0, était la première itération de la norme d’authentification FIDO. Publié en 2014, il visait à remplacer les mots de passe traditionnels par des données biométriques et des jetons matériels. Elle comportait à la fois FIDO UAF (Universal Authentication Framework) et FIDO U2F (Universal Second Factor).
En 2016, le World Wide Web Consortium (W3C) et la FIDO Alliance ont commencé à collaborer pour normaliser l’authentification FIDO. Cela a conduit au lancement de FIDO2 en 2018, qui offre une approche plus complète et standardisée de l’authentification sans mot de passe. De nombreux navigateurs célèbres, dont Firefox et Chrome, ont mis en œuvre la norme, ce qui a contribué à son adoption.
FIDO2 a deux composantes principales : WebAuthn et CTAP (Client to Authenticator Protocol). Ensemble, WebAuthn et CTAP offrent une expérience de connexion cryptographiquement sécurisée, pratique et interopérable.
En résumé, les principales différences entre FIDO 1.0 et FIDO2 sont la normalisation, la portée, l’interopérabilité et l’adoption. FIDO2 est un protocole plus complet et normalisé qui est pris en charge par tous les principaux navigateurs et systèmes d’exploitation, y compris Android, IOS, MacOS et Windows.
FIDO2.1 est une petite évolution de la spécification FIDO2 qui vise à combler certaines limites et à renforcer à la fois la sécurité et l’expérience utilisateur. Concrètement, FIDO2.1 apporte notamment :
Une gestion améliorée des PIN et des mécanismes d’authentification locales, avec des règles plus strictes pour éviter les codes trop faibles.
Des processus d’enrôlement et de récupération des identifiants optimisés, pour faciliter la réinitialisation ou le transfert sécurisé des clés.
Une meilleure interopérabilité entre les différents types d’authentificateur (qu’ils soient matériels ou intégrés à un appareil), ce qui simplifie leur déploiement dans des environnements hétérogènes.
En résumé, il ne s’agit pas d’un changement radical, mais plutôt d’un raffinement qui permet d’offrir une sécurité renforcée tout en rendant l’usage du système encore plus fluide et adaptable.
Quelles sont les méthodes de connexion d’une clef FIDO2 ?
USB-A et USB-C :
Pour les PC, on branche la clé directement dans un port USB-A ou USB-C.
Pour les smartphones, il est souvent possible de les utiliser via un câble OTG ou directement sur un port USB-C, selon le modèle.
NFC :
De nombreuses clés intègrent une puce NFC, ce qui permet une connexion sans contact avec des smartphones compatibles (par exemple, iPhone à partir d’iOS 13.3 et de nombreux appareils Android).
À noter toutefois que sur Android, les clés protégées par PIN ne supportent pas la connexion NFC.
La prise en charge des clés de passage de FIDO2.1 (à savoir les clés résidentes protégées par un code PIN) a été introduite dans le cadre de Google Play Services v23 et uniquement par le biais de la méthode de transport USB. Cela signifie donc que :
Android ne prend en charge les identifiants FIDO protégés par un code PIN que si Google Play Services est présent. Android ne prend pas en charge les informations d’identification FIDO protégées par un code PIN via NFC.
Quels sont les risques encourus si je perds ma clef FIDO2 ?
La perte de votre clé FIDO2 peut poser des problèmes d’accès à vos comptes, mais les risques de compromission sont fortement limités. En effet, ces clés reposent sur la cryptographie asymétrique : même si quelqu’un mettait la main sur votre clé, il ne pourrait pas extraire la clé privée qui reste protégée.
De plus, la plupart des dispositifs FIDO2 nécessitent un code PIN ou une authentification biométrique pour être utilisés, ce qui ajoute une couche de sécurité supplémentaire.
Néanmoins, il est important de prévoir une solution de secours. Par exemple, en enregistrant plusieurs clés ou en activant d’autres méthodes de récupération, vous pourrez rapidement révoquer une clé perdue et en associer une nouvelle, sans compromettre l’accès à vos comptes.
Dois-je acheter une licence payante d’Entra ID pour utiliser une clef FIDO2 ?
Non, il n’est pas nécessaire d’acheter une licence Entra ID spécifique pour utiliser une clé FIDO2 en authentification sans mot de passe.
Cette fonctionnalité est incluse dans toutes les éditions d’Entra ID, y compris la version gratuite, même si certaines fonctionnalités avancées (comme l’accès conditionnel) nécessitent des licences Entra ID Premium.
Qui sont Token2 ?
La société Token2 a vu le jour en 2014. Il s’agit d’une entreprise suisse spécialisée dans la cybersécurité, et plus précisément dans l’authentification multifactorielle.
Le siège de Token2 se situe à Versoix, dans la République et le Canton de Genève, en Suisse.
Pour faire simple, ils conçoivent et développent des solutions matérielles et logicielles qui rendent l’authentification en ligne à la fois plus sûre et plus pratique.
D’ailleurs, Token2 est aussi un membre certifié de l’alliance FIDO :
Token2, fier membre de l’Alliance FIDO, a obtenu son certificat FIDO initial en 2019 et fournit une variété de clés de sécurité FIDO depuis plus de 5 ans.
En plus des clés FIDO2 ordinaires, Token2 est ravie de présenter sa très attendue série PIN+, une ligne révolutionnaire de clés de sécurité FIDO2 qui a récemment reçu la certification de l’Alliance FIDO.
Ces clés de sécurité de pointe introduisent des règles avancées de complexité du code PIN qui redéfinissent les standards de sécurité.
Pour aller toujours plus loin dans la sécurité de leurs produits, Token2 a également fait l’objet d’un audit indépendant (réalisé par Compass) en 2024 sur le firmware open source (disponible sur GitHub) de leurs clés Token2 PIN+ (voir leur outil de test de PIN), confirmant leur robustesse et leur transparence.
Enfin, j’en profite pour dire un grand merci à Manon, Emin et Naila pour me permettre de tester vos produits !
Ce qui m’a séduit d’emblée sur cette clef FIDO2.1 R3, c’est la présence du triple combo USB-A, USB-C et NFC, ainsi que le support des normes FIDO et FIDO2.1( avec le support d’OpenPGP et d’OTP) :
Maintenant, il nous reste plus qu’à tester tout cela 😎💪
Etape 0 – Rappel des prérequis :
Pour réaliser nos tests sur une clef FIDO2.1, il vous faudra disposer de :
Un tenant Microsoft
J’ai choisi dans la première partie de l’article de tester la mise en place d’une clef FIDO2 sur un tenant ne disposant d’aucune licence Entra ID Premium.
Pour vérifier si votre tenant dispose de licences ou non Entra ID Premium, je vous propose de commencer par vérifier cette information
Etape I – Configuration du tenant :
Allez dans la page suivante d’Entra afin de constater la présence, ou non, de licences Entra Premium sur votre tenant :
Ensuite, basculez l’onglet des propriétés afin de déterminer la méthode de sécurité appliquée sur votre tenant :
Enfin, vérifiez l’activation, ou non, de différentes méthodes d’authentification sur cette page :
Notre environnement est donc dans sa configuration la plus basique. Avant de modifier celle-ci, je vous propose de constater les méthodes de sécurité déjà disponibles sur notre utilisateur.
Etape II – Ajout de la méthode d’authentification FIDO2 :
Pour cela, rendez-vous sur la page suivante de votre utilisateur, puis cliquez sur le bouton suivant :
Cliquez-ici pour ajouter une nouvelle méthode d’authentification :
Constatez la liste des méthodes d’authentification déjà accessibles à votre utilisateur :
Retournez sur la page des méthodes d’authentification Entra ID via cette page, puis cliquez-ici :
Activez la méthode FIDO2 :
Configurez au besoin les options de cette méthode, puis cliquez sur Sauvegarder :
Vérifiez le changement de statut pour cette méthode d’authentification :
Attendez environ 5 à 10 minutes avant de continuer la configuration de votre utilisateur.
Etape III – Ajout de la première clef FIDO2 :
Retournez sur la page suivante de gestion de compte de votre utilisateur, puis cliquez à nouveau sur le bouton suivant :
Cliquez-ici pour ajouter une nouvelle méthode d’authentification :
Constatez l’apparition de nouvelles méthodes dans la liste de celles disponibles pour votre utilisateur :
Sélectionnez la méthode appelée Clef de sécurité :
Avant cela, Microsoft souhaite vérifier votre identité par une autre méthode MFA déjà en place, cliquez donc sur Suivant :
Réussissez le challenge MFA avec Microsoft Authenticator :
Une fois réussi, recommencez le processus d’ajout, puis cliquez-ici :
Cliquez sur Suivant :
Microsoft communique alors avec votre OS Windows afin de vérifier et d’enrôler la clef FIDO2 :
Attendez encore quelques secondes :
Confirmez les informations de compte, puis cliquez sur OK :
Cliquez sur OK :
Saisissez le code PIN déjà configuré sur votre clef FIDO2, puis cliquez sur OK :
Touchez physiquement la zone prévue à cet effet pour terminer :
Windows confirme le bon enrôlement de la clef FIDO2 chez Microsoft, cliquez sur OK :
Nommez votre clef FIDO2 afin de l’identifier par la suite plus facilement, puis cliquez sur Suivant :
Cliquez sur Terminer :
Constatez l’apparition de celle-ci dans les informations de sécurité de votre utilisateur :
Il est très fortement conseillé d’enrôler toujours 2 clefs afin d’utiliser la seconde en cas de secours.
Testons maintenant comment l’expérience utilisateur est impactée par l’ajout de cette méthode d’authentification FIDO2.
Etape IV – Test de connexion FIDO2 sur PC :
Sur votre poste, ouvrez un navigateur internet en session privée :
Au lieu de saisir le mot de passe de votre utilisateur, cliquez comme ceci :
Attendez quelques secondes :
Renseignez le code PIN de votre clef FIDO2 :
Touchez la zone prévue à cet effet pour confirmer l’authentification :
Cliquez sur Oui :
Et vous voilà correctement authentifié sur le portail de Microsoft Office 365 :
Nous avons vu l’impact de l’authentification d’une clef FIDO2 pour un compte Cloud de Microsoft. Intéressons-nous maintenant à la nouvelle clef FIDO2 proposée par Token2 et ses différentes possibilités d’authentification.
Etape V – Ajout de la clef FIDO2 Token2 T2F2-Dual:
avant d’utiliser cette nouvelle clef FIDO2 pour un compte, il est nécessaire de lui configurer un code PIN.
Pour cela, rendez-vous dans le menu suivant des paramètres Windows :
Cliquez sur le bouton Gérer :
Touchez la zone prévue à cet effet de votre nouvelle clef FIDO2 :
Cliquez-ici pour configurer le code PIN :
Testez un code PIN simple à 4 caractères afin de constater le refus de la nouvelle clef FIDO2 d’accepter cette valeur trop courte :
Testez un code PIN reprenant une simple suite de chiffres à 6 caractères afin de constater un second refus pour accepter cette valeur trop simple :
Renseignez cette fois 6 caractères aléatoires afin de constater l’acceptation de la valeur complexe :
Si nécessaire, il vous est toujours possible de changer ce code PIN en cliquant ici :
Il vous sera demandé de renseigner l’ancien code PIN avant de pouvoir en configurer un nouveau dans le but de conserver les identités déjà configurées :
Retournez sur la page suivante de gestion de compte de votre utilisateur, puis cliquez sur le bouton suivant :
Cliquez-ici pour ajouter une nouvelle méthode d’authentification :
Sélectionnez à nouveau Clef de sécurité, puis repassez sur toutes les étapes afin que votre nouvelle clef FIDO2 apparaisse dans la liste de ses méthodes d’authentification :
Notre nouvelle clef FIDO2 est maintenant en place pour notre utilisateur.
Comme sa méthode d’authentification via le port USB est la même que pour la première clef, testons directement la possibilité de connexion via NFC depuis un smartphone.
Etape VI – Test de connexion NFC sur smartphone :
Si votre smartphone vous permet une connexion via NFC : ouvrez un navigateur internet en session privée, puis rendez-vous sur la page officielle de Microsoft office :
Saisissez le compte de votre utilisateur, puis cliquez sur Suivant :
Sans même saisir son mot de passe, choisissez une méthode d’authentification par une clef de sécurité externe :
Le message suivant vous invite à rapprocher ou à connecter votre clef FIDO2 à votre smartphone :
Dans le cadre du NFC, approchez votre clef de sécurité FIDO2 en haut de votre smartphone comme ceci :
Retirez la clef, puis saisissez le code PIN de votre clef FIDO2 :
Le message suivant vous invite à rapprocher à nouveau votre clef FIDO2 à votre smartphone :
Rapprochez une seconde fois votre clef FIDO2 afin de confirmer l’authentification de votre compte, puis cliquez sur Oui :
Constatez la bonne connexion de votre utilisateur aux services de Microsoft :
Comme annoncé plus haut, certains smartphones de la marque Android ne permettent pas la connexion NFC à votre compte dans le cadre d’une clef FIDO2 protégée par un code PIN.
Etape VII – Test de connexion USB-C sur smartphone :
Si votre smartphone ne vous permet pas la connexion via NFC : ouvrez un navigateur internet en session privée, rendez-vous sur la page officielle de Microsoft office, saisissez le nom de compte, puis cliquez sur Suivant :
Sans même saisir de mot de passe, choisissez une méthode d’authentification par une clef de sécurité externe :
Cliquez sur le bouton ci-dessous :
Le message suivant vous invite à connecter votre clef FIDO2 à votre smartphone :
Connectez votre clef de sécurité FIDO2 via USB-C, puis saisissez le code PIN de celle-ci :
Touchez physiquement la zone prévue à cet effet pour terminer :
Cliquez sur Oui :
Constatez la bonne connexion de votre utilisateur aux services de Microsoft :
Etape VIII – Ajout d’un accès conditionnel FIDO2 :
Depuis votre portail Entra ID, rendez-vous dans le paramétrage des Accès conditionnels afin de constater le besoin de licence Entra ID Premium pour activer cette fonction :
Achetez une licence Entra ID Premium ou basculez sur un tenant en disposant déjà :
Vérifiez que la sécurité par défaut de votre tenant est désactivée au profit de l’accès conditionnel :
Cliquez sur Méthodes d’authentification renforcées pour en ajouter une nouvelle :
Configurez celle-ci :
Puis créez votre nouvelle Police d’accès conditionnel :
Saisissez un nom à votre police, sélectionnez votre utilisateur de test, ajoutez l’application Azure, puis cliquez ici :
Autorisez l’accès sous réserve de satisfaire votre méthode d’authentification renforcée :
Ajoutez si besoin une fréquence d’authentification, puis créez votre police d’accès conditionnel :
Attendez quelques minutes, ouvrez un navigateur internet en session privée, puis rendez-vous sur la page officielle de Microsoft office :
Saisissez le nom et le mot de passe de votre compte de test, puis cliquez comme ceci :
Vous voilà correctement authentifié sur le portail de Microsoft Office 365 :
Toujours en navigation privée, ouvrez un nouvel onglet pour vous rendre sur le portail Azure, puis constatez le besoin d’un complément d’authentification FIDO2 :
Saisissez le code PIN de votre clef FIDO2 :
Touchez votre clé FIDO2 sur la zone prévue à cet effet :
Vous voilà correctement authentifié sur le portail Azure :
Avant de conclure cet article, je trouvais intéressant de parler de certains outils très pratiques et mis à disposition par Token2 sur leur site.
Celui-ci vous permet de tester en direct l’enregistrement et l’authentification via des clés FIDO2 et passkeys. Concrètement, il offre une expérience pratique pour :
Enregistrement (Registration) : Vous pouvez inscrire votre clé de sécurité (physique ou intégrée, c’est-à-dire un authentificateur de plateforme) en utilisant l’API WebAuthn. Lorsque la clé clignote, il suffit de toucher le bouton, scanner l’empreinte ou utiliser le NFC (pour les appareils compatibles) pour finaliser l’inscription.
Authentification (Login) : Une fois la clé enregistrée, l’outil simule un processus de connexion sécurisé. Vous pouvez tester différentes configurations de demande de PIN (toujours, si un PIN est défini, ou jamais) pour voir comment cela influence le comportement de l’authentification.
L’outil fido2-manage est un utilitaire de gestion pour les clés de sécurité conformes à la norme FIDO2.1. Concrètement, il permet de :
Lister les dispositifs connectés : Afficher la liste des clés FIDO2.1 détectées.
Afficher des informations détaillées : Consulter les données techniques de la clé (modèle, AAGUID, certificats d’attestation, etc.).
Gérer les passkeys : Visualiser et supprimer les clés résidentes (passkeys) stockées sur l’appareil.
Configurer ou modifier le PIN : Définir, changer ou forcer une modification du code PIN de la clé.
Réinitialiser la clé : Effectuer une réinitialisation aux paramètres d’usine (en notant que cette opération est possible uniquement dans un court laps de temps après la connexion).
Conclusion
En fin de compte, cette aventure avec la clef FIDO2, notamment la PIN+ Dual Release3, m’a prouvé que la sécurité peut être à la fois robuste et intuitive. Que ce soit pour se connecter via USB ou NFC, l’expérience utilisateur reste fluide et rassurante.
Tester ces solutions, c’est un peu comme prendre un virage vers l’avenir de l’authentification : simple, efficace et sans prise de tête.
Merci d’avoir suivi ce test avec moi, et à très bientôt pour de nouvelles explorations tech !
