FIDO2, Windows Hello : se connecter à votre compte Microsoft sans mot de passe, comment ça marche ?

FIDO2, Windows Hello : se connecter à votre compte Microsoft sans mot de passe, comment ça marche ?

Sans les mains !

Avatar de l'auteur
David Legrand

Publié dans

Logiciel

21/11/2018 6 minutes
33

FIDO2, Windows Hello : se connecter à votre compte Microsoft sans mot de passe, comment ça marche ?

La connexion sans mot de passe à travers le standard FIDO2 devient une réalité. Microsoft vient en effet de l'activer pour ses comptes, le navigateur Edge étant compatible sous Windows 10. Explications.

Ces derniers mois, les choses se sont accélérées pour les standards WebAuthn et FIDO2. Yubico a annoncé une première clé compatible, puis ses Yubikey 5 venant généraliser leur gestion au sein de sa gamme. Firefox 60 a embrayé le pas, Google et Microsoft ayant déjà montré leur intérêt face à ces solutions. 

Outre une intégration plus large aux navigateurs, ce duo ouvre de nouvelles possibilités, comme la connexion sans mot de passe alors qu'il était nécessaire avec la solution précédente (U2F). Notamment grâce à l'arrivée de la seconde version du protocole Client to Authenticator (CTAPv2) géré par les dispositifs compatibles FIDO2.

Il suffit ainsi d'enregistrer une clé comme un élément de connexion pour qu'elle soit ensuite reconnue. La sécurité est assurée par les capacités de stockage de clés privées et de chiffrement, à la manière des solutions biométriques. 

Microsoft premier sur la connexion sans mot de passe

Mais il n'est pas aisé de changer de visage ou d'empreintes. Il faut donc proposer un fonctionnement similaire avec un élément « que l'on possède », mais surtout révocable en cas de perte ou de panne.

Des démonstrations avaient été mises en ligne ici ou , mais aucune implémentation pérenne n'avait été mise en œuvre. C'est Microsoft qui frappe le premier, ce qui semble logique puisque la société travaille de longue date avec Yubico sur FIDO2. On peut donc désormais se connecter à son compte sans mot de passe.

Lors de l'enregistrement de votre Yubikey comme élément de sécurité, un couple clé privée/clé publique est ainsi créé par cette dernière. La clé privée reste stockée dessus, ne pouvant pas en être extraite (comme pour une carte à puce), la clé publique est envoyée à Microsoft pour être stockée sur ses serveurs.

Elle permettra de vous identifier à travers la signature d'un élément aléatoire (nonce) fourni au navigateur puis à la clé. Des étapes transparentes pour l'utilisateur. Des détails complémentaires sont donnés par ici.

Un enregistrement limité à Edge

Comment cela fonctionne-t-il ? Tout d'abord il faut disposer de la dernière version de Windows 10 (October Update, 1809). Microsoft précise que son navigateur Edge est compatible, permettant de se connecter à l'ensemble de ses services en ligne par ce biais, la page sécurité du compte utilisateur ayant été mise à jour.

Il faut bien entendu disposer également d'une clé compatible avec FIDO2, le modèle Yubico de base étant proposé pour une vingtaine d'euros. Les versions compactes 5 Nano et 5C Nano sont proposées pour 53 euros et 63 euros, respectivement. Feitian a dévoilé sa BioPass FIDO2 (K27), disponible pour 50 dollars (sur son site uniquement).

Il faut ensuite se rendre sur votre compte Microsoft et vous connecter. Dans la section Sécurité, un lien (assez peu visible) vous mènera à Plus d'options de sécurité. C'est là qu'apparaîtront les options relatives à Windows Hello et aux clés de sécurité. Mais la version française n'étant pas encore à jour, il faudra changer la langue pour l'anglais (en bas de page)

Windows Hello Clé de sécurité Edge

Malheureusement, comme souvent dans ce genre de cas, Microsoft a fait le choix de réserver cette fonctionnalité à son navigateur, Chrome et Firefox indiquant qu'ils sont incompatibles (même s'ils gèrent WebAuthn/FIDO2). Espérons que la situation évoluera rapidement, une fois le premier galop d'essai via Edge terminé.

La procédure d'enregistrement de la clé est assez classique. Vous devez la connecter, taper son code PIN et effectuer une pression pour confirmer physiquement l'action de connexion. Ensuite, une confirmation par SMS vous sera envoyée si vous avez indiqué votre numéro de mobile à Microsoft.

Le NFC est également géré pour peu que votre clé soit compatible, et ouvre la voie aux appareils mobiles par la suite. Mais que se passe-t-il si vous tentez votre chance avec une clé U2F plutôt qu'un modèle FIDO 2 ? Elle sera rejetée.

  • Microsoft Edge FIDO2
  • Microsoft Edge FIDO2
  • Microsoft Edge FIDO2
  • Microsoft Edge FIDO2

La barrière de la langue reste à franchir

Lorsque vous tenterez de vous connecter à votre compte, deux possibilités seront ensuite proposées : utiliser votre identifiant et votre mot de passe, Windows Hello ou votre clé de sécurité. Cette dernière remplacera donc les deux éléments de connexion, avec la même procédure que précédemment : votre code PIN et une action physique.

On regrettera par contre que là encore ce ne soit proposé qu'en anglais pour le moment. Surtout que s'il est aisé de changer de langue sur un service en ligne, il en sera tout autrement pour les applications plus classiques. Oubliez au passage la Xbox One et autres smartphones, qui ne peuvent pas (encore ?) en profiter. 

Un nouveau pas dans le « sans mot de passe » pour Microsoft

Avec l'intégration de cette solution, Microsoft passe donc une nouvelle étape. On peut ainsi utiliser Edge pour se connecter de manière classique, avec une double authentification par SMS ou via une application, à travers Windows Hello ou même une clé de sécurité FIDO2. De fait, la société propose le panel le plus complet à ses clients.

Certes, il reste encore du travail sur la traduction des différentes étapes ou l'adaptation d'une telle mécanique aux appareils mobiles. On aimerait également pouvoir utiliser tout ça pour se connecter à Windows 10 sans passer par les services Azure ou une application dédiée, mais c'est un bon début.

On s'étonnera d'ailleurs que le monde de l'open source ne s'empare pas plus de ces possibilités, notamment pour la gestion de la sécurité dans les distributions Linux.

Dans tous les cas, cette annonce devrait accélérer l'adoption de FIDO2 et de la connexion sans mot de passe, qu'elle soit biométrique ou non. Des pratiques qui devront dépasser l'intégration à quelques plateformes américaines pour avoir un effet réel. On pense notamment aux banques et à leurs dispositifs de connexion encore archaïques.

Certains espèrent qu'elle mettra progressivement fin à la problématique des fuites de mot de passe, la gestion de ces derniers devenant de plus en plus complexe avec le temps. Peut-être que cela ne fera que déplacer le problème. L'important, au final, est que l'utilisateur dispose d'un panel de solutions de plus en plus étoffé, avec des alternatives plus sécurisées. Ce sera ensuite à lui de faire ses choix.

Écrit par David Legrand

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Microsoft premier sur la connexion sans mot de passe

Un enregistrement limité à Edge

La barrière de la langue reste à franchir

Un nouveau pas dans le « sans mot de passe » pour Microsoft

Commentaires (33)


Je dois être vieux jeu, mais la double authentification (identifiant/mot de passe + code envoyé par SMS), je la trouve plus simple. Car plus on est lié à une technologie, plus on y est enfermée.



Sur le fond FIDO2 est intéressant, mais la mise en application me parait bien trop complexe pour être utilisé par défaut.


Oui, après c’est oublier qu’un identifiant + pass, c’est comme une clé privée, mais qui n’est pas franchement stockée de manière très sécurisée en général :p Le code SMS/Authenticator (parce que les SMS c’est caca) ça revient à vérifier la possession d’un élément, ce que fait aussi la clé. 



Disons que pour un usage classique ça apparaît comme une bonne idée, le PIN pouvant être vu comme un complément “réconfortant” en cas de perte par exemple. La biométrie peut venir compléter et durcir un peu le dispositif ensuite (avec l’intérêt de la révocation de la clé possible). 


Concernant la biométrie justement, un article sur ce que le capteur me parait intéressant à détailler, du point de vue technique (qu’est-ce que l’on obtient en sorti de capteur) mais aussi sur ses applications actuelles.



Car ce qui me pose problème avec ce type de capteur (et c’est pour cela que j’en utilise pas), c’est que l’empreinte ne peut être changé. Donc il doit y avoir quelque chose qui m’échappe car du point de vue de la sécurité, tout ce qui ne peut être changé, est un identifiant unique indélébile.


@David On notera que Google fait la même chose que Microsoft dans le cadre de la protection avancée en disant que seule Chrome est compatible (ce qui est faux) lors de la demande des deux clés FIDO.



Par ailleurs sur l’Open-Source il y a Gitlab qui a intégré ce standard :)


U2F c’était un peu différent, il était plus spécifique à Chrome, c’est que devait notamment permettre d’effacer WebAuthn en étant un standard global accepté par tous, avec plus de possibilités (notamment le passwordless)


Le protocole SMS est tout troué. C’est kamikaze de se reposer dessus pour la sécurité.








alex.d. a écrit :



Le protocole SMS est tout troué. C’est kamikaze de se reposer dessus pour la sécurité.



 



C’est toujours mieux que le duo ident/mot de passe simple.



La 1809 n’étant toujours pas dispo via Windows update, c’est domage du coup.



Perso pour un échange de clé de sécurité, j’aurai du mal à faire confiance à Chrome pour me logguer sur mon pc. Pas confiance en Google.


La 1809 est à nouveau distribuée, si ça ne passe pas via WU pour le moment (la diffusion étant progressive) l’assistant de mise à jour est là pour ça (le lien est dans l’article) <img data-src=" />


Manger du rat c’est aussi mieux que de ne pas manger. Mais ce n’est pas une bonne solution pour autant <img data-src=" /> (Après quand on a que ça de proposé ça peut être utilisé, mais ça ne devrait pas être la seule solution proposée).


Oui j’ai bien vu le lien, je pensais surtout aux gens qui attendent normalement la MàJ. On est pas tous à même de faire autrement ^^


“Microsoft premier sur la connexion sans mot de passe” ?! ca fait deja pas mal de temps qu’on peut le faire avec Chrome. On peut meme ouvrir une session sur ChromeOS avec une clé comme celle la :https://www.amazon.fr/gp/product/B01LYV6TQM


Tu confonds avec l’U2F là non ?


oui cette clé n’est FIDO2 mais U2F



mais en pratique c’est “sans mot de passe” aussi. je met que la clé pour ouvrir la session.

C’est juste sur un nouvel appareil qu’il faut mettre le mot de passe la 1ere fois.



apres concernant FIDO2, FF et Chrome supportaient WebAuthn avant Edge il me semble.


Comme dit dans l’article, on peut même déjà faire du sans mot de passe dans W10 via une app Yubico par exemple, mais ça reste via un service complémentaire au standard ;) Pour FF et Chrome, il y a le support mais ce n’est pas encore exploitable pour un service à grande échelle (l’annonce de MS pour FIDO2 / Hello étant Edge only)


ok donc on ne peut pas encore se connecter a son compte Google depuis Chrome/FF (et meme Edge) avec une clé FIDO2 , ce point n’était pas certain pour moi.








alex.d. a écrit :



Le protocole SMS est tout troué. C’est kamikaze de se reposer dessus pour la sécurité.





le protocole SMS est certainement tout troué, mais quand tu reçois un code de vérification par SMS pour réinitialiser un mot de passe, c’est juste un code de vérification!

Le méchant pirate n’a aucune idée de ton identifiant ou adresse email. Il a juste un code de vérification qui ne lui sert à rien.



Rdv dans une prochaine news pour une faille FIDO2&nbsp; <img data-src=" />



&nbsp;


Je suis pas sur d’avoir compris (manque de sommeil), mais au final ce n’est qu’une clef qui permet de remplacer tes mots de passe pour déverrouiller ton pc et accéder à tes services en ligne ?



On faisait déjà ça à l’école il y a une dizaine d’année (avec beaucoup moins (aucune) sécurité mais bon).

J’ai du rater un truc, il faut que je relise l’article ^^‘.


Oui comme tu peux gérer un chiffrement Bitlocker avec une clé USB qui contient un simple fichier texte <img data-src=" /> Mais là c’est une solution sécurisée et standardisée, FIDO2 ne concernant pas que les clé de sécurité.








David_L a écrit :



Oui comme tu peux gérer un chiffrement Bitlocker avec une clé USB qui contient un simple fichier texte <img data-src=" /> Mais là c’est une solution sécurisée et standardisée, FIDO2 ne concernant pas que les clé de sécurité.





Rien n’est sécurisé, tout se pirate!



(citation du petit fils de Lavoisier <img data-src=" />

Comprenne qui pourra!)



Tiens, à ce propos, il y a quelques temps je cherchais une solution pour avoir une authentification par clé (yubikey par exemple) via le contrôleur de domaine, mais à part utiliser les smartcard, j’ai rien trouvé d’interressant, il y a des nouveauté pour ce cas là ?


C’est bien pour ça que les méchants hacker de l’internet piratent les bases des cyber-marchands qui contiennent à la fois adresse mail et numéro de portable pour pouvoir savoir quel numéro correspond à quelle adresse mail.


Merci pour la précision ^^

mais du coup c’est bien qu’une question d’avancée sur la sécurité du bidule :p








alex.d. a écrit :



C’est bien pour ça que les méchants hacker de l’internet piratent les bases des cyber-marchands qui contiennent à la fois adresse mail et numéro de portable pour pouvoir savoir quel numéro correspond à quelle adresse mail.





oui c’est logique, ça tient la route <img data-src=" />

Après, un code de vérification sert à changer son mot de passe, ce que l’on doit faire dans la foulée. Donc le méchant pirate a intérêt à être rapide!



Perso j’attend d’enfin avoir le support dans windows 10 car j’ai une clef de security (qui ne supporte que fido2) du coup leur app complémentaire ne marche pas :/


Manque plus que la gestion de bitlocker avec les clef fido et le tours est jouer


C’est le pirate qui demande la réinitialisation du mot de passe et l’utilisateur légitime ne reçoit pas le SMS puisqu’il a été détourné par le pirate qui a utilisé les failles dans le protocole Ss7 qui est pas sécurisé.



Le pirate a donc le même temps qu’un utilisateur légitime pour modifier le mot de passe.



Ça peut aussi être utilisé pour payer par carte bancaire avec le système de vérification par SMS.


J’avais cru lire que FIDO2 conservait une rétro-compatibilité avec les clefs U2F comme les anciennes Yubikey.

Vrai ou faux ? <img data-src=" />


Une clé FIDO2 fonctionne en U2F, l’inverse n’est pas vrai


Merci <img data-src=" />

Zut c’est bien ce que je craignais … donc j’ai 5 clefs Yubikey 4 … mais va falloir que j’investisse encore si je veux du FIDO2 <img data-src=" />

Bon par contre j’ai constaté que Firefox avait l’air enfin compatible U2F donc c’est pas non plus totalement perdu <img data-src=" />


Oui mais in fine les services qui reposent sur U2F vont migrer vers WebAuthn. Ils peuvent garder une compatibilité avec les anciennes clés, mais ça disparaitra forcément (après une YK4 ça fait autre chose que de l’U2F de toutes façons)


Effectivement, d’ailleurs j’en avais acheté 2 à la suite de votre dossier à propos. Il faut que je configure des clefs GPG <img data-src=" />

2 reçus gratuitement suite à la vulnérabilité des clefs générées directement par la Yubikey (donc au final utilisable avec des certificats générés ailleurs <img data-src=" />) et profité pour une au type C.



J’espère tout de même que l’U2F sera conservé un temps … sinon vla l’obsolescence !