La sécurité en ligne est devenue une préoccupation majeure de nos jours et les mots de passe traditionnels ne sont plus suffisants pour contrer les cyberattaques de plus en plus élaborées. C’est pourquoi la clé de sécurité FIDO2 « Passwordless » se révèle comme une solution efficace pour renforcer l’authentification sur le Web et dans le cloud.

Le phishing, une technique de cybercriminalité couramment utilisée pour voler des informations sensibles comme les mots de passe, souligne la vulnérabilité des méthodes d’authentification classiques. D’après le baromètre 2023 du CESIN qui regroupe les Experts français de la Sécurité de l’Information et du Numérique, 74% des entreprises ont identifié le Phishing comme le principal vecteur d’attaque en 2022. Il est donc impératif de remplacer les mots de passe par des méthodes d’authentification plus robustes et anti-hameçonnage. Selon le Rapport sur la défense numérique de Microsoft 2022, au cours de l’année écoulée, le nombre d’attaques de mots de passe de comptes a augmenté de 74 %, pour passer à 921 attaques chaque seconde.

La clé de sécurité FIDO2 se positionne comme une réponse efficace à ce défi. En adoptant une approche « passwordless » (sans mot de passe), elle offre une protection maximale contre un large éventail de menaces, notamment l’ingénierie sociale dont le phishing et les attaques par force brute de mot de passe. Les utilisateurs n’ont plus besoin de saisir de mots de passe pour accéder à leurs comptes Gmail, Microsoft et Apple. Il leur suffit d’insérer leur clé FIDO2 dans le port USB de leur appareil, et éventuellement de fournir un autre mode de confirmation tel qu’une empreinte digitale ou un code PIN, puis de toucher le bouton de la clé pour s’authentifier. La clé de sécurité FIDO2 remplace le mot de passe. Elle offre ainsi une méthode d’authentification à la fois robuste et facile à mettre en œuvre.

Une clé de sécurité FIDO2, c’est quoi ?

Une clé de sécurité FIDO2 est un dispositif physique, sous la forme de clé USB, qui renforce la sécurité des procédures d’authentification en ligne. Elle utilise un mécanisme d’authentification forte conforme au standard FIDO, établi par l’Alliance FIDO (Fast IDentity Online), un consortium de géants du numérique visant à améliorer la sécurité des accès Web et à réduire l’utilisation des mots de passe. Plus de 200 acteurs majeurs du secteur informatique tels que Google, iOS, Apple, Amazon, Paypal, Microsoft 365 et Azure AD ont adopté ces normes.

Les protocoles FIDO s’appuient sur le principe de la cryptographie asymétrique. Elle consiste à créer deux clés distinctes : une clé privée et une clé publique. La clé privée est comme une clé secrète, elle est stockée sur le dispositif physique. La clé publique est quant à elle associée au compte en ligne ou aux services web que vous utilisez et est stockée sur le site web ou le service lui-même. La clé publique, accessible à tous, est utilisée pour chiffrer les fichiers. Seule la clé privée permet de déchiffrer ces fichiers, celle-ci n’étant connue que d’un seul individu.

Cryptographie asymétrique pour du PasswordlessLa cryptographie asymétrique fonctionne comme une boîte aux lettres : n’importe qui peut y déposer des lettres (chiffrées avec votre clé publique), mais seule la personne qui possède la clé correspondante (la clé privée) peut les ouvrir et en lire le contenu.

Comment la clé de sécurité FIDO2 fonctionne ?

Génération d'une paire de clés, privée et publique, lors de l'enregistrement de sa clé de sécurité FIDO2

Lorsque vous utilisez une clé de sécurité FIDO2 pour vous connecter à un site web ou à un service en ligne, voici comment cela fonctionne :

  1. Génération des clés : Lors de l’inscription initiale d’un utilisateur à un service en ligne, une nouvelle paire de clés est générée sur la clé de sécurité FIDO2. Cette paire de clés comprend une clé privée (secrète) et une clé publique (accessible).
  2. Association avec le compte en ligne : La clé publique est ensuite envoyée au service en ligne et associée au compte de l’utilisateur sur ce service. La clé privée reste stockée en toute sécurité sur la clé de sécurité FIDO2 ne la quittant jamais.
  3. Chiffrement des défis : Lorsque l’utilisateur souhaite s’authentifier sur le service en ligne, ce dernier génère un défi d’authentification, qui est essentiellement une demande de preuve d’identité. Ce défi est chiffré avec la clé publique associée à l’utilisateur.
    Cryptographie asymétrique avec clé privée et clé publique sur sa clé de sécurité FIDO2
    4. Signature du défi : la clé de sécurité FIDO2 de l’utilisateur utilise sa clé privée pour signer le défi chiffré. Cette signature est spécifique au défi en question et prouve que l’utilisateur possède la clé privée correspondante.
    5. Transmission de la signature : La signature du défi est ensuite envoyée au service en ligne.
    6. Vérification de la signature : Le service en ligne utilise la clé publique précédemment associée à l’utilisateur pour vérifier la signature. Si la vérification réussit, cela signifie que l’utilisateur a correctement prouvé la possession de la clé privée, et l’authentification est réussie.

L’élément clé de ce processus est que la clé privée reste toujours sur le dispositif et n’est jamais exposée en clair, ce qui garantit un niveau de sécurité élevé. La clé publique, quant à elle, est utilisée pour vérifier les signatures sans jamais avoir besoin d’accéder à la clé privée. Cela permet une authentification sécurisée sans avoir à partager des identifiants de connexion ou des mots de passe entre l’utilisateur et le service en ligne.

La clé FIDO2 offre une alternative à l’utilisation du mot de passe pour l’authentification auprès d’applications telles qu’un compte Office365. Afin de garantir que seul le propriétaire puisse utiliser sa clé FIDO2, la plupart des applications requièrent qu’il s’authentifie avec la clé en utilisant un code PIN ou une empreinte digitale. (Crédit : Alliance FIDO)

Comment utiliser la clé de sécurité FIDO2 « Passwordless » ?

Avant  de pouvoir utiliser la clé de sécurité FIDO2, il est essentiel d’activer l’authentification sans mot de passe auprès du service en ligne (Windows 10/11 associé à Active Azure Directory, par exemple) et de l’associer à votre compte utilisateur. Aucune installation logicielle sur le poste n’est nécessaire. Une fois que la clé est enregistrée, voici la procédure à suivre pour toutes vos futures connexions à votre compte en ligne :

ÉTAPE 1 : Pour vous connecter, commencez par insérer votre clé de sécurité FIDO2 dans un port USB

ÉTAPE 2 : Saisissez le code PIN de la clé de sécurité

ÉTAPE 3 : Appuyez sur le bouton pour vous authentifier
La LED de sécurité clignotera pour indiquer une demande de confirmation de la présence de l’utilisateur. Appuyez sur le bouton doré de la clé pour vous authentifier et ouvrir votre session.

L’identité numérique, cible privilégiée des cybercriminels

Le rapport de recherche 2023 de Verizon sur les violations de données (DBIR – Data Breach Investigations Report) souligne l’augmentation des menaces et leur gravité. Les cybercriminels privilégient souvent l’exploitation d’identifiants de connexion volés pour accéder aux réseaux d’entreprise. D’après le rapport, les identifiants volés ou compromis sont à l’origine de plus de 50 % des compromissions. Les organisations doivent renforcer leur cybersécurité, tant sur le plan technologique qu’humain, pour garantir leur pérennité et la continuité de leurs activités. Les attaques, motivées par des intérêts financiers, politiques, stratégiques ou industriels, incluent des techniques de phishing visant à voler des informations sensibles via des courriels, SMS, ou sites web malveillants.

L’identité numérique est une cible privilégiée des cybercriminels, et sa vérification est cruciale pour établir un système sécurisé. Les utilisateurs doivent prouver leur identité en utilisant des facteurs d’authentification, à savoir ce qu’ils savent (mot de passe), ce qu’ils possèdent (téléphone, clé USB, carte à puce, etc.), et ce qu’ils sont ou font (reconnaissance vocale, faciale, empreintes digitales, etc.). L’authentification multifacteur (MFA) combine au moins deux de ces critères pour renforcer la sécurité d’accès aux services en ligne. Par exemple, l’utilisateur peut confirmer son identité en utilisant un code reçu sur son téléphone en plus d’un autre facteur. Même si le code est compromis, l’attaquant doit encore obtenir l’autre facteur pour usurper l’identité de l’utilisateur.

Néanmoins, bien que la MFA ajoute une couche de sécurité supplémentaire, elle ne résout pas tous les défis en matière de cybersécurité. Elle ne garantit pas une résistance totale face aux attaques de phishing. Les attaquants peuvent utiliser des techniques sophistiquées pour tromper les utilisateurs et les inciter à fournir les informations de connexion, y compris les codes générés par la MFA. De faux sites web ou des e-mails très convaincants peuvent être utilisés pour induire en erreur les utilisateurs et les inciter à divulguer leurs informations.

Dans le cas spécifique des SMS, OTP/TOTP et QR Codes, chacun présente ses propres vulnérabilités. Les SMS peuvent être interceptés ou redirigés, les codes OTP/TOTP peuvent être volés par des logiciels malveillants sur l’appareil de l’utilisateur, et les QR Codes peuvent être falsifiés. Ci-dessous, nous présentons quelques scénarios illustrant les vulnérabilités spécifiques associées à ces différents types d’authentification multi-facteurs :

 

Pourquoi la clé de sécurité FIDO2 est plus sûre que le mot de passe ?

Si vous recherchez une authentification forte, plus sécurisée que les mots de passe classiques, la clé de sécurité FIDO2 « Passwordless » constitue la solution idéale, et ce, pour plusieurs raisons :

1. Authentification forte : L’authentification forte repose sur des mécanismes de cryptographie tels que les équipements physiques (facteurs de possession) comme les cartes à puce, cartes SIM ou clés de sécurité matérielles qui fonctionnent sur le principe de clés cryptographiques. La clé de sécurité FIDO2 est considérée comme un facteur d’authentification forte puisqu’elle s’appuie sur le protocole FIDO, basé sur la cryptographie asymétrique.
2. Résistance au phishing : Les clés de sécurité FIDO2 sont conçues pour résister au phishing, car elles ne peuvent pas être dupliquées par des attaquants, contrairement aux mots de passe qui peuvent être volés.
3. Protection contre les attaques de force brute : Les mots de passe sont vulnérables aux attaques de force brute, où les attaquants essaient de deviner votre mot de passe en essayant de nombreuses combinaisons. Les clés de sécurité FIDO2 génèrent des codes uniques à chaque utilisation, ce qui rend ces attaques inefficaces.
4. Stockage sécurisé : Les informations de la clé de sécurité FIDO2 sont stockées de manière sécurisée sur la clé elle-même, généralement avec une protection matérielle. En revanche, les mots de passe peuvent être stockés de manière moins sécurisée sur des serveurs en ligne, ce qui les rend vulnérables aux violations de données.
5. Facilité d’utilisation : Les clés de sécurité FIDO2 sont généralement faciles à utiliser. Il vous suffit de la brancher ou de la connecter sans fil à votre appareil et d’appuyer sur un bouton pour vous authentifier. Cela élimine la nécessité de mémoriser de longs mots de passe complexes.
6. Réduction des risques de réutilisation de mots de passe : Les utilisateurs ont souvent tendance à réutiliser les mêmes mots de passe sur plusieurs sites, ce qui accroît les risques en cas de violation d’un seul compte. Les clés de sécurité FIDO2 sont spécifiques à chaque site ou service, réduisant ainsi le risque de réutilisation de mots de passe.
7. Évite les problèmes liés aux mots de passe faibles : Les clés FIDO2 ne requièrent pas de mot de passe, éliminant ainsi le risque lié à l’utilisation de mots de passe faibles comme « 123456 » ou « password ».

En résumé, les clés de sécurité physique FIDO2 constituent une méthode d’authentification forte grâce notamment au protocole FIDO2 qui garantit une robustesse et une fiabilité supérieures aux mots de passe traditionnels. Pour une sécurité maximale, il est par ailleurs fortement recommandé d’utiliser un matériel physique certifié ou qualifié par l’ANSSI (Agence nationale de la sécurité des systèmes d’information), en respectant les mécanismes cryptographiques du RGS (Référentiel Général de Sécurité). Dans un contexte marqué par une augmentation des attaques informatiques, il devient essentiel d’adopter une stratégie de cybersécurité solide et facile à mettre en place.

Une compatibilité avec de nombreux services en ligne

Les deux principaux standards FIDO sont FIDO U2F et FIDO2 :

FIDO U2F est un second facteur d’authentification, généralement associé à un login et un mot de passe. Il est compatible avec de nombreux services en ligne tels que Gmail, paypal, Facebook, X (ex-Twitter), YouTube, OVH, WordPress, Dropbox, 1Password, Ping Identity, Okta, Linux, etc.

FIDO2 est un standard d’authentification. Il est notamment implémenté dans la version cloud de Microsoft appelée Azure Active Directory et Office365. Il est associé à un code PIN ou un capteur biométrique pour débloquer localement l’usage de la clé. Microsoft qualifie FIDO2 d’authentification « Passwordless ». De nombreux services et applications sont compatibles avec le standard FIDO2 : Microsoft Azure Active Directory, Skype, Shopify, YouTube, Github, ForgeRock, Okta, OneLogin, Ping Identity, X (ex-Twitter), YouTube, Gmail, etc.

Ces standards sont parfaitement compatibles avec une utilisation conjointe de fédérations d’identité telles qu’Evidian, Ilex, Okta, Ping Identity, etc.

FIDO est également pris en charge par les principaux navigateurs et systèmes d’exploitation, tels que Windows 10/11, Mac, Linux, Chrome, Chromium, Vivaldi, Opera, Mozilla Firefox, Microsoft Edge (via WebAuthn/FIDO2 CTAP).

L’excellence en matière d’authentification avec la clé de sécurité FIDO2 de NEOWAVE

NEOWAVE, entreprise française spécialisée dans l’authentification forte et les transactions sécurisées, a pour objectif de sécuriser le patrimoine numérique des entreprises et des utilisateurs grâce à des technologies d’authentification forte basées sur des composants sécurisés et des certificats numériques.

Elle offre une gamme de produits FIDO composée de clés de sécurité et de cartes à puce. Tous ses produits sont fabriqués intégralement en France, depuis la phase de conception jusqu’à la production et au déploiement.

Les clés de sécurité FIDO2 (Winkeo-A FIDO2 et Winkeo-C FIDO2) de NEOWAVE sont certifiées par l’ANSSI. Elles embarquent par ailleurs un composant de sécurité certifié Critères Communs EAL5+ et offrent ainsi une protection renforcée et efficace contre les attaques de type phishing (aucun secret initial, pas de key wrapping).

Elles sont également labellisées « Cybersecurity Made in Europe » et répondent aux normes de sécurité européennes telles que RGS, eIDAS, RGPD et DSP2.

En outre, NEOWAVE est partenaire Microsoft pour ses solutions d’authentification « passwordless » (FIDO2). Elle est par ailleurs membre de l’Alliance FIDO.

Si vous recherchez une protection robuste, NEOWAVE offre des solutions d’authentification forte. Leur expertise technologique leur permet d’accompagner divers professionnels, collectivités et particuliers dans des projets de toutes tailles et complexités, en proposant des solutions optimales à des prix compétitifs.

Pour plus d’informations :
NEOWAVE : https://www.neowave.fr
Boutique FIDO de NEOWAVE : https://authentification-web.fr
Alliance FIDO : https://fidoalliance.org/

Share This