Microsoft Identity : Passer au Sans Mot de Passe grâce à Windows Hello et FIDO2

Par nbrahimi, 10 mars, 2025

Introduction

Dans les précédents blogues, nous avons parcouru plusieurs sujets de Microsoft Identity :

  1. Ses bases essentielles (Azure AD, Microsoft Authenticator).
  2. Son implémentation concrète (rôles, A2F, etc.).
  3. Les possibilités d’automatisation via Microsoft Graph.
  4. L’accueil des identités externes avec Azure AD B2B/B2C.

Cette semaine, nous allons nous intéresser à une avancée majeure en matière de sécurité et d’expérience utilisateur : l’authentification sans mot de passe (passwordless). Fini les problèmes de mots de passe oubliés ou compromis, on fait maintenant place à des solutions plus sûres et plus confortables comme Windows Hello et les clés de sécurité FIDO2.

Pourquoi passer au Passwordless ?

  1. Sécurité accrue : Les mots de passe sont souvent l’un des maillons faibles de la sécurité (réutilisation, phishing, fuite de données, etc.). Passer au sans mot de passe réduit considérablement ces risques.
  2. Expérience utilisateur simplifiée : Plus besoin de retenir ou de changer régulièrement un mot de passe complexe.
  3. Gain de temps : Pour les équipes d’assistance, moins de réinitialisations à gérer. (Ce qui simplifierait grandement mon propre travail a l'UDEM)

App Platorm

Windows Hello : L’authentification biométrique by Microsoft

1. Présentation

Windows Hello est la solution de Microsoft pour l’authentification biométrique sous Windows 10 et Windows 11. Elle permet :

  • Le déverrouillage via reconnaissance faciale, empreinte digitale ou PIN.
  • L’intégration directe avec Azure AD pour les comptes professionnels ou scolaires.

2. Avantages

  • Rapidité : Une simple empreinte ou un coup d’œil à la caméra pour se connecter (Comme avec FaceID sur Iphone).
  • Sécurité renforcée : Les données biométriques sont stockées localement dans un TPM (Trusted Platform Module) et non sur un serveur.
  • Compatibilité : Gère également les clés FIDO2.

FIDO2 : Les clés de sécurité physiques

1. Principe

FIDO2 (Fast IDentity Online) est un standard ouvert qui associe un token cryptographique (une clé USB ou NFC, par exemple) à un challenge côté serveur. L’utilisateur confirme sa présence en appuyant sur la clé ou en l’approchant d’un lecteur NFC.

2. Pourquoi l’adopter ?

  • Anti-phishing : Impossible d’intercepter un code comme avec un mot de passe ou un SMS.
  • Universel : Fonctionne avec Microsoft, Google, Facebook et d’autres fournisseurs d’identité.
  • Convivial : Une seule clé pour plusieurs services.

Configuration dans Azure AD

  1. Activer l’authentification sans mot de passe
    • Dans le portail Azure, allez dans Azure Active Directory > Sécurité > Authentification sans mot de passe.
    • Activez les méthodes souhaitées (Windows Hello for Business, FIDO2, etc.).
  2. Définir les politiques d’accès conditionnel
    • Exigez la méthode passwordless pour certains groupes d’utilisateurs ou applications sensibles.
  3. Configurer le déploiement
    • Dans Azure Active Directory > Dispositifs, gérez l’enregistrement des clés FIDO2 et la configuration Windows Hello.

Conclusion

Le sans mot de passe, supporté par Windows Hello et les clés FIDO2, représente un changement significatif dans la façon de gérer l’authentification au quotidien. En plus de réduire drastiquement les risques liés aux mots de passe, ces méthodes simplifient la vie des utilisateurs et des équipes informatiques. Après avoir découvert la puissance de Microsoft Identity dans nos articles précédents, l’adoption du passwordless s’inscrit comme une évolution nécéssaire pour renforcer encore plus la sécurité dans un environnement Azure AD.

Avez-vous déjà testé Windows Hello avec vos ordinateurs?

Sources

  • Justinha. “Microsoft Entra Passwordless Sign-in - Microsoft Entra ID.” Microsoft Entra Passwordless Sign-in - Microsoft Entra ID | Microsoft Learn, learn.microsoft.com/en-us/entra/identity/authentication/concept-authentication-passwordless. (Accédé le 8 mars)
  • Matarazzo, Paolo. “Plan a Windows Hello for Business Deployment.” Plan a Windows Hello for Business Deployment | Microsoft Learn, 25 Feb. 2025, learn.microsoft.com/en-us/windows/security/identity-protection/hello-for-business/deploy/.
  • Security, Microsoft. “What Is FIDO2?: Microsoft Security.” What Is FIDO2? | Microsoft Security, www.microsoft.com/en-us/security/business/security-101/what-is-fido2. (Accedé le 8 Mars).

Lexique

TPM : TPM est l'abréviation de "Trusted Platform Module", ce qui signifie en anglais "module de plateforme de confiance". Il s'agit d'un type de sécurité de haut niveau qui est réalisé par le biais de logiciels et de matériel, et qui dispose à cette fin d'une puce spécifique située sur la carte mère des appareils.

NFC : Le NFC - ou Near Field Communication - est une technologie de communication sans fil de courte portée. Il permet à deux appareils équipés de cette fonctionnalité, comme des téléphones cellulaires, d’échanger des données en les approchant à quelques centimètres l’un de l’autre. Spécialement conçu pour être simple, rapide et sécurisé, le NFC est très utilisé pour les transactions sans contact, le partage de contenu et la connectivité simplifiée entre dispositifs.

Commentaires1

ppatel

il y a 21 heures 42 min

Ton article est clair et bien structuré, ça rend la lecture agréable et facile à suivre. Tu expliques bien les concepts, ce qui est super accessible pour un lecteur non expert.