Connexion sans mot de passe sécurisée pour votre compte Microsoft à l’aide d’une clé de sécurité ou de Windows Hello
Note de la rédaction 26/11/2018 :
Ce billet a été mis à jour pour inclure des informations sur la disponibilité de la connexion sans mot de passe.
Bonjour les amis,
Je suis impatient de partager avec vous les actualités du jour. Nous venons d’activer la possibilité de vous connecter en toute sécurité avec votre compte Microsoft à l’aide d’un appareil compatible FIDO2 conforme à certaines normes, et ce sans nom d’utilisateur ou mot de passe. Le protocole FIDO2 permet aux utilisateurs de se servir d’appareils répondant à certaines normes pour s’authentifier facilement auprès de services en ligne dans des environnements tant mobiles que de bureau. Cette option est disponible dès maintenant aux États-Unis et sera déployée dans le monde entier au cours des prochaines semaines.
Cette combinaison de facilité d’utilisation, de sécurité et de prise en charge étendue par le secteur contribuera à entraîner des changements tant à la maison que sur le lieu de travail moderne. Chaque mois, plus de 800 millions de personnes utilisent un compte Microsoft pour créer, se connecter et partager en tout lieu via Outlook, Office, OneDrive, Bing, Skype et Xbox Live pour travailler ou jouer. Désormais, toutes peuvent bénéficier de cette simple expérience utilisateur et d’une sécurité sensiblement améliorée.
À partir d’aujourd’hui, vous pouvez utiliser un appareil FIDO2 ou Windows Hello pour vous connecter à votre compte Microsoft à l’aide du navigateur Microsoft Edge.
Regardez cette brève vidéo pour découvrir comment cela fonctionne :
Microsoft s’est fixé pour mission d’éliminer les mots de passe et d’aider les utilisateurs à protéger leurs données et leurs comptes contre les menaces. En tant que membre de la Fast Identity Online (FIDO) Alliance et du World Wide Web Consortium (W3C), nous collaborons avec d’autres organisations au développement de normes ouvertes pour l’authentification de la nouvelle génération. Je suis heureux de vous informer que Microsoft est la première société reprise au classement Fortune 500 à prendre en charge l’authentification sans mot de passe à l’aide des spécifications WebAuthn et FIDO2, et que Microsoft Edge prend en charge un plus grand nombre d’authentificateurs que les autres navigateurs de premier plan.
Si vous voulez en savoir plus sur son fonctionnement et la façon de commencer à l’utiliser, poursuivez votre lecture.
À vous de jouer
Pour vous connecter avec votre compte Microsoft à l’aide d’une clé de sécurité FIDO2 :
- Si ce n’est déjà fait, procédez à une mise à jour vers la version de Windows 10 d’octobre 2018.
- Accédez à la page du compte Microsoft sur Microsoft Edge, puis connectez-vous comme d’habitude.
- Sélectionnez Sécurité> Autres options de sécurité. Sous Windows Hello et clés de sécurité, des instructions relatives à la configuration d’une clé de sécurité s’affichent. (Vous pouvez acheter une clé de sécurité auprès de l’un de nos partenaires, dont Yubico et Feitian Technologies, qui prennent en charge la norme FIDO2.*)
- La prochaine fois que vous vous connecterez, vous pourrez soit cliquer sur Autres options > Utiliser une clé de sécurité, soit taper votre nom d’utilisateur. À ce stade, vous serez invité à utiliser une clé de sécurité pour vous connecter.
Et pour rappel, voici comment vous connecter avec votre compte Microsoft en utilisant Windows Hello :
- Assurez-vous que vous avez procédé à la mise à jour vers la version de Windows 10 d’octobre 2018.
- Si ce n’est déjà fait, vous devez configurer Windows Hello. Si Windows Hello est configuré, vous êtes prêt à démarrer.
- La prochaine fois que vous ouvrirez une session Microsoft Edge, vous pourrez soit cliquer sur Autres options > Utiliser Windows Hello ou une clé de sécurité, soit taper votre nom d’utilisateur. À ce stade, vous serez invité à utiliser Windows Hello ou une clé de sécurité pour vous connecter.
Si vous avez besoin d’aide supplémentaire, consultez notre article d’aide détaillé sur la procédure de configuration.
*La spécification FIDO2 comporte quelques fonctionnalités facultatives que nous jugeons essentielles pour la sécurité. Ainsi, seules les clés qui ont implémenté ces fonctionnalités fonctionneront. Pour en savoir plus, lisez Qu’est-ce qu’une clé de sécurité compatible Microsoft ?
Comment ça marche ?
Nous avons implémenté les spécifications WebAuthn et FIDO2/CTAP2 dans nos services pour traduire tout cela en réalité.
Contrairement aux mots de passe, le protocole FIDO2 protège les informations d’identification de l’utilisateur à l’aide d’un chiffrement à clés publique/privée. Lorsque vous créez et enregistrez des informations d’identification FIDO2, l’appareil (votre ordinateur ou le périphérique FIDO2) génère une clé privée et une clé publique. La clé privée est stockée en toute sécurité sur l’appareil et ne peut être utilisée qu’après déverrouillage à l’aide d’une action locale telle qu’une mesure biométrique ou la saisie d’un code PIN. Notez que votre mesure biométrique ou votre code PIN ne quittent jamais l’appareil. Au moment où la clé privée est stockée, la clé publique est envoyée au système de compte Microsoft dans le cloud, où elle est inscrite avec votre compte d’utilisateur.
Lorsque vous vous connectez par la suite, le système de compte Microsoft fournit une valeur unique (ou nonce) à votre ordinateur ou à votre périphérique FIDO2. Votre ordinateur ou périphérique utilise ensuite la clé privée pour signer le nonce. Le nonce signé et les métadonnées sont renvoyés au système de compte Microsoft où ils sont vérifiés à l’aide de la clé publique. Les métadonnées signées conformément aux spécifications WebAuthn et FIDO2 fournissent des informations, telles que la présence de l’utilisateur, et vérifient l’authentification par le biais de l’action locale. Ce sont ces propriétés qui rendent l’authentification à l’aide de périphériques Windows Hello et FIDO2 non « hameçonnable » ou difficile à voler par des programmes malveillants.
Comment les périphériques Windows Hello et FIDO2 implémentent-ils cela ? En fonction des capacités de votre appareil Windows 10, vous disposez d’une enclave sécurisée intégrée, appelée module de plateforme sécurisée (TPM), matérielle ou un logicielle. Le TPM stocke la clé privée dont le déverrouillage nécessite votre visage, votre empreinte digitale ou votre code PIN. De même, un périphérique FIDO2, comme une clé de sécurité, est un petit dispositif externe doté de sa propre enclave sécurisée intégrée, qui stocke la clé privée dont le déverrouillage nécessite une information biométrique ou un code PIN. Les deux options offrent une authentification à deux facteurs en une étape, nécessitant à la fois un périphérique enregistré et une information biométrique ou un code PIN pour que la connexion aboutisse.
Cet article sur notre blog consacré aux normes techniques fournit tous les détails techniques concernant l’implémentation du dispositif.
Nouveautés
Nos efforts visant à réduire, voire éliminer, l’utilisation de mots de passe, ont été couronnés de nombreux succès. Nous développons actuellement la même expérience de connexion à partir d’un navigateur avec des clés de sécurité pour les comptes professionnels et scolaires dans Azure Active Directory. Les entreprises clientes auront accès à la préversion de cette solution au début de l’année prochaine, et pourront autoriser leurs employés à configurer leurs propres clés de sécurité pour la connexion de leur compte à Windows 10 et au cloud.
En outre, à mesure que de plus en plus de navigateurs et plateformes prennent en charge les normes WebAuthn et FIDO2, l’expérience sans mot de passe, aujourd’hui disponible sur Microsoft Edge et Windows, deviendra, espérons-le, disponible partout.
Restez à l’écoute pour plus de détails au début de l’année prochaine.
Cordialement,
Alex Simons (@Twitter : @Alex_A_Simons)
CVP Gestion des programmes
Microsoft Identity Division