FIDO2 : Tout savoir sur l'authentification sans mot de passe

Face à l’augmentation des cyberattaques et aux limites des mots de passe traditionnels, les entreprises se tournent vers des solutions d’authentification plus sécurisées et ergonomiques.

L’authentification FIDO2, basée sur les passkeys (clés d'accès), s’impose aujourd’hui comme le standard ouvert permettant une authentification sans mot de passe, résistante au phishing et centrée sur l’expérience utilisateur.

Qu’est-ce que l’authentification FIDO2 ?  

L'authentification FIDO2 est un standard ouvert développé par la FIDO Alliance, un consortium industriel visant à réduire la dépendance aux mots de passe et à renforcer significativement la sécurité des authentifications en ligne.

FIDO2 s'appuie sur le principe de la cryptographie asymétrique (à clé publique) via l'utilisation de FIDO passkeys (clés d'accès). Cette architecturegarantit l’interopérabilité entre les différents navigateurs web, systèmes d’exploitation, appareils mobiles, clés de sécurité matérielles (security keys) et méthodes biométriques (reconnaissance faciale, empreinte digitale).

Cette approche technologique permet une authentification fluide et sans mot de passe, adaptée aux environnements modernes.

FIDO2: authentification sans mot de passe et résistance au phishing  

Avec FIDO2, les mots de passe traditionnels sont remplacés par des mécanismes d’authentification natifs aux appareils des utilisateurs, tels que Windows Hello, Apple Touch ID, Face ID ou des clés de sécurité FIDO2 (YubiKey, Titan).
 

L’un des principaux avantages de FIDO2 réside dans son modèle de sécurité :
 

  • Les secrets d'authentification (données biométriques, PIN, motifs) ne quittent jamais l'appareil local de l'utilisateur. Ils sont stockés et vérifiés dans un environnement sécurisé, comme le module de plateforme sécurisée (TPM) de l'appareil ou dans le coffre-fort d'identité géré par une solution telle que ADSelfService Plus de ManageEngine.

  • Seules des paires de clés cryptographiques (clé publique / clé privée) sont utilisées pour le processus d'authentification avec le serveur distant. La clé privée reste strictement confidentielle sur l'appareil de l'utilisateur.

  • Les identifiants (credentials) sont uniques par site/service. Une passkey créée pour un service ne peut pas être réutilisée ou "phishée" pour accéder à un autre service.Même si un service est compromis, enregistrées chez ce fournisseur ne peuvent pas être réutilisées pour attaquer d'autres comptes de l'utilisateur. FIDO2 est donc naturellement résistant aux principales attaques en ligne :

  • Phishing (hameçonnage)

  • Attaques par rejeu (replay attacks)

  • Attaques de l'homme du milieu (Man-in-the-Middle - MITM)
     

FIDO2 : authentification sans mot de passe et résistance au phishing

FIDO2 repose sur deux standards ouverts complémentaires :
 

  • WebAuthn (W3C) : Une API standard intégrée aux navigateurs web modernes qui permet aux sites de créer et d'utiliser des informations d'identification à clé publique de manière sécurisée.

  • CTAP (Client to Authenticator Protocol) : Le protocole de communication entre un client (navigateur/système d'exploitation) et un authentificateur (appareil local ou clé de sécurité). Il se décline en deux versions :

  • CTAP1/U2F : Conçu principalement pour l'authentification à deuxième facteur (MFA)

  • CTAP2 : Étendu pour prendre en charge l'authentification sans mot de passe (passwordless) et les flux MFA avancés.

Processus d’authentification FIDO2 

 
Enrôlement (Registration):

  1. L’authentificateur génère une paire de clés (passkeys FIDO2).

  2. La clé publique est envoyée et enregistrée par le serveur du service.

  3. La clé privée correspondante reste stockée de manière sécurisée sur l’appareil de l'utilisateur, jamais divulguée.
     

    Authentification (Login) :
     

  4. Lors d'une tentative de connexion, le serveur génère et envoie un "défi" (challenge) cryptographique unique et aléatoire.

  5. L'authentificateur utilise la clé privée pour signer numériquement ce défi.Le serveur vérifie la signature à l'aide de la clé publique stockée. Si elle est valide et correspond au défi, l'accès est autorisé.

FIDO vs FIDO2  
 

  • FIDO 1.0 (incluant UAF pour l'authentification sans mot de passe et U2F pour la deuxième facteur matérielle) a posé les bases indispensables dès 2014. Néanmoins, son adoption large a été freinée par l'absence d'intégration native dans les navigateurs et les systèmes d'exploitation, nécessitant souvent des plug-ins.

  • FIDO2, finalisé en 2018, constitue une avancée décisive. Il résout cette limite en s'articulant autour de deux standards : WebAuthn (intégré nativement aux navigateurs) et CTAP. Cette union permet une authentification forte, universelle et directement utilisable par l'utilisateur final. De plus, FIDO2 renforce la sécurité contre le phishing grâce à des contrôles stricts de domaine, empêchant toute redirection frauduleuse vers des sites malveillants.

Authentification FIDO2 avec ADSelfService Plus  

ADSelfService Plus intègre l’authentification FIDO2 pour sécuriser l’accès aux applications cloud, aux clients web de messagerie OWA et aux ressources internes. En s'appuyant sur l’API WebAuthn, la solution prend en charge aussi bien les authentificateurs intégrés que les clés de sécurité externes.

Fonctionnalités clés  

  • Configuration flexible des passkeys FIDO2

  • Choix de la méthode d’enrôlement (passkeys sur appareil, clés de sécurité ou les deux)

  • Tableaux de bord et rapports détaillés sur l’adoption et l'état de l'enrôlement.Révocation instantanée des passkeys en cas d’activité suspecte ou de perte.

  • Console d'administration intuitive pour superviser et faciliter l’enrôlement des utilisateurs.Méthodes d’authentification prises en charge 

  • Passkeys sur appareil : biométrie (Windows Hello, Apple Touch ID / Face ID d'Apple, empreintes sur Android) et codes PIN.

  • Clés de sécurité : YubiKey, Google Titan et autres modèles compatibles FIDO2/U2F

Les avantages de FIDO2 avec ADSelfService Plus  

  • Suppression des mots de passe

  • Aucune exposition des secrets utilisateurs

  • Protection native contre le phishing

  • Support de plusieurs passkeys par utilisateur

  • MFA FIDO2 personnalisable

  • Conformité avec les normes NIST, HIPAA, PCI DSS et PSD2

Conclusion  

L’authentification FIDO2 marque une étape clé vers un futur sans mot de passe, plus sécurisé et plus simple. En l’adoptant via ADSelfService Plus, les entreprises bénéficient d’une solution robuste, conforme et facile à déployer pour protéger efficacement les identités numériques.