La connexion sans mot de passe à travers le standard FIDO2 devient une réalité. Microsoft vient en effet de l'activer pour ses comptes, le navigateur Edge étant compatible sous Windows 10. Explications.
Ces derniers mois, les choses se sont accélérées pour les standards WebAuthn et FIDO2. Yubico a annoncé une première clé compatible, puis ses Yubikey 5 venant généraliser leur gestion au sein de sa gamme. Firefox 60 a embrayé le pas, Google et Microsoft ayant déjà montré leur intérêt face à ces solutions.
Outre une intégration plus large aux navigateurs, ce duo ouvre de nouvelles possibilités, comme la connexion sans mot de passe alors qu'il était nécessaire avec la solution précédente (U2F). Notamment grâce à l'arrivée de la seconde version du protocole Client to Authenticator (CTAPv2) géré par les dispositifs compatibles FIDO2.
Il suffit ainsi d'enregistrer une clé comme un élément de connexion pour qu'elle soit ensuite reconnue. La sécurité est assurée par les capacités de stockage de clés privées et de chiffrement, à la manière des solutions biométriques.
Microsoft premier sur la connexion sans mot de passe
Mais il n'est pas aisé de changer de visage ou d'empreintes. Il faut donc proposer un fonctionnement similaire avec un élément « que l'on possède », mais surtout révocable en cas de perte ou de panne.
Des démonstrations avaient été mises en ligne ici ou là, mais aucune implémentation pérenne n'avait été mise en œuvre. C'est Microsoft qui frappe le premier, ce qui semble logique puisque la société travaille de longue date avec Yubico sur FIDO2. On peut donc désormais se connecter à son compte sans mot de passe.
Lors de l'enregistrement de votre Yubikey comme élément de sécurité, un couple clé privée/clé publique est ainsi créé par cette dernière. La clé privée reste stockée dessus, ne pouvant pas en être extraite (comme pour une carte à puce), la clé publique est envoyée à Microsoft pour être stockée sur ses serveurs.
Elle permettra de vous identifier à travers la signature d'un élément aléatoire (nonce) fourni au navigateur puis à la clé. Des étapes transparentes pour l'utilisateur. Des détails complémentaires sont donnés par ici.
Un enregistrement limité à Edge
Comment cela fonctionne-t-il ? Tout d'abord il faut disposer de la dernière version de Windows 10 (October Update, 1809). Microsoft précise que son navigateur Edge est compatible, permettant de se connecter à l'ensemble de ses services en ligne par ce biais, la page sécurité du compte utilisateur ayant été mise à jour.
Il faut bien entendu disposer également d'une clé compatible avec FIDO2, le modèle Yubico de base étant proposé pour une vingtaine d'euros. Les versions compactes 5 Nano et 5C Nano sont proposées pour 53 euros et 63 euros, respectivement. Feitian a dévoilé sa BioPass FIDO2 (K27), disponible pour 50 dollars (sur son site uniquement).
Il faut ensuite se rendre sur votre compte Microsoft et vous connecter. Dans la section Sécurité, un lien (assez peu visible) vous mènera à Plus d'options de sécurité. C'est là qu'apparaîtront les options relatives à Windows Hello et aux clés de sécurité. Mais la version française n'étant pas encore à jour, il faudra changer la langue pour l'anglais (en bas de page)
Malheureusement, comme souvent dans ce genre de cas, Microsoft a fait le choix de réserver cette fonctionnalité à son navigateur, Chrome et Firefox indiquant qu'ils sont incompatibles (même s'ils gèrent WebAuthn/FIDO2). Espérons que la situation évoluera rapidement, une fois le premier galop d'essai via Edge terminé.
La procédure d'enregistrement de la clé est assez classique. Vous devez la connecter, taper son code PIN et effectuer une pression pour confirmer physiquement l'action de connexion. Ensuite, une confirmation par SMS vous sera envoyée si vous avez indiqué votre numéro de mobile à Microsoft.
Le NFC est également géré pour peu que votre clé soit compatible, et ouvre la voie aux appareils mobiles par la suite. Mais que se passe-t-il si vous tentez votre chance avec une clé U2F plutôt qu'un modèle FIDO 2 ? Elle sera rejetée.
La barrière de la langue reste à franchir
Lorsque vous tenterez de vous connecter à votre compte, deux possibilités seront ensuite proposées : utiliser votre identifiant et votre mot de passe, Windows Hello ou votre clé de sécurité. Cette dernière remplacera donc les deux éléments de connexion, avec la même procédure que précédemment : votre code PIN et une action physique.
On regrettera par contre que là encore ce ne soit proposé qu'en anglais pour le moment. Surtout que s'il est aisé de changer de langue sur un service en ligne, il en sera tout autrement pour les applications plus classiques. Oubliez au passage la Xbox One et autres smartphones, qui ne peuvent pas (encore ?) en profiter.
Un nouveau pas dans le « sans mot de passe » pour Microsoft
Avec l'intégration de cette solution, Microsoft passe donc une nouvelle étape. On peut ainsi utiliser Edge pour se connecter de manière classique, avec une double authentification par SMS ou via une application, à travers Windows Hello ou même une clé de sécurité FIDO2. De fait, la société propose le panel le plus complet à ses clients.
Certes, il reste encore du travail sur la traduction des différentes étapes ou l'adaptation d'une telle mécanique aux appareils mobiles. On aimerait également pouvoir utiliser tout ça pour se connecter à Windows 10 sans passer par les services Azure ou une application dédiée, mais c'est un bon début.
On s'étonnera d'ailleurs que le monde de l'open source ne s'empare pas plus de ces possibilités, notamment pour la gestion de la sécurité dans les distributions Linux.
Dans tous les cas, cette annonce devrait accélérer l'adoption de FIDO2 et de la connexion sans mot de passe, qu'elle soit biométrique ou non. Des pratiques qui devront dépasser l'intégration à quelques plateformes américaines pour avoir un effet réel. On pense notamment aux banques et à leurs dispositifs de connexion encore archaïques.
Certains espèrent qu'elle mettra progressivement fin à la problématique des fuites de mot de passe, la gestion de ces derniers devenant de plus en plus complexe avec le temps. Peut-être que cela ne fera que déplacer le problème. L'important, au final, est que l'utilisateur dispose d'un panel de solutions de plus en plus étoffé, avec des alternatives plus sécurisées. Ce sera ensuite à lui de faire ses choix.