Problématique​

​​

​

​

​

​

 ​

Aujourd’hui, le mot de passe seul n’est plus suffisant pour protéger les comptes utilisateurs. Les attaques par phishing, les fuites de mots de passe et les campagnes ciblant les services en ligne comme Microsoft 365 montrent que les identifiants classiques restent une porte d’entrée très utilisée par les attaquants.

L’ANSSI indique dans son panorama de la cybermenace 2024 que les attaques par rançongiciel ont encore fortement mobilisé ses équipes, avec un nombre d’incidents comparable à l’année précédente. Cela montre que la protection des accès reste un enjeu essentiel pour les entreprises.

La question que je me suis donc posée est la suivante :

Les passkeys et l’authentification multifacteur peuvent-elles réellement remplacer les mots de passe en entreprise ? 

​

1. Pourquoi les mots de passe posent problème​

​

Le mot de passe est encore très utilisé, mais il présente plusieurs limites. Beaucoup d’utilisateurs réutilisent les mêmes mots de passe sur plusieurs services, choisissent des mots de passe trop simples ou les stockent de manière non sécurisée. En cas de fuite de données, un attaquant peut tenter de réutiliser ces identifiants sur d’autres services.

Même avec une double authentification classique, certains risques restent présents. Par exemple, les codes SMS, les codes reçus par e-mail ou certaines notifications de validation peuvent être contournés avec des techniques de phishing avancé ou de fatigue MFA. Dans ce type d’attaque, l’utilisateur reçoit plusieurs demandes de validation jusqu’à ce qu’il finisse par en accepter une par erreur.

C’est pour cette raison que les solutions d’authentification résistantes au phishing, comme les passkeys ou les clés de sécurité FIDO2, prennent de plus en plus d’importance.

​

2. Qu’est-ce que la MFA ?

​

​

​

​

​​

​

​

​

​

La MFA, ou authentification multifacteur, consiste à demander au moins deux preuves différentes pour se connecter à un service.

Ces preuves peuvent être :

• quelque chose que l’utilisateur connaît : un mot de passe ou un code PIN ;

• quelque chose que l’utilisateur possède : un smartphone, une clé de sécurité ou une application d’authentification ;

• quelque chose que l’utilisateur est : une empreinte digitale ou une reconnaissance faciale.

L’objectif est de réduire le risque de compromission d’un compte. Si un attaquant récupère uniquement le mot de passe, il ne pourra pas forcément se connecter sans le second facteur.

Dans une entreprise, la MFA peut être utilisée pour protéger les comptes Microsoft 365, les accès VPN, les applications métiers, les comptes administrateurs, les serveurs ou encore les connexions à distance.

​

3. Les passkeys : une évolution plus sécurisée

​

​

​

​

​

​

​

Les passkeys sont une méthode d’authentification sans mot de passe basée sur la cryptographie asymétrique. Au lieu de saisir un mot de passe, l’utilisateur valide sa connexion avec Windows Hello, Face ID, Touch ID, un code PIN local ou une clé de sécurité physique.

Le principe repose sur deux clés :

• une clé privée, conservée sur l’appareil de l’utilisateur ;

• une clé publique, enregistrée par le service en ligne.

Lors de la connexion, le service envoie un défi cryptographique. L’appareil de l’utilisateur signe ce défi avec la clé privée, puis le service vérifie la réponse avec la clé publique. Le mot de passe n’est donc pas transmis, puisqu’il n’existe plus dans ce fonctionnement.

Ce système est plus résistant au phishing, car la passkey est liée au vrai domaine du service. Un faux site peut imiter visuellement une page de connexion, mais il ne peut pas facilement réutiliser une passkey créée pour un autre domaine.

​

4. Pourquoi c’est intéressant pour une entreprise

​

Pour une entreprise, les passkeys et la MFA présentent plusieurs avantages.

Le premier avantage est la réduction du risque de phishing. Un attaquant peut voler un mot de passe avec une fausse page de connexion, mais il est beaucoup plus difficile de voler une passkey, car celle-ci repose sur une validation cryptographique liée au site légitime.

Le deuxième avantage concerne l’expérience utilisateur. L’utilisateur n’a plus forcément besoin de retenir un mot de passe complexe. Il peut se connecter avec son empreinte, son visage, un code PIN local ou une clé physique.

Le troisième avantage est la réduction de la charge du support informatique. Moins de mots de passe oubliés signifie moins de demandes de réinitialisation. Pour un administrateur systèmes et réseaux, c’est intéressant car cela renforce la sécurité tout en simplifiant une partie de la gestion quotidienne.

​

5. Les limites à prendre en compte

​

Les passkeys ne règlent pas tous les problèmes. Il faut prévoir une procédure de récupération de compte si l’utilisateur perd son téléphone, son PC ou sa clé de sécurité. Une mauvaise procédure de récupération peut devenir une faille de sécurité.

Il faut aussi accompagner les utilisateurs. Si la technologie est mal expliquée, certains peuvent la contourner, contacter trop souvent le support ou continuer à utiliser des méthodes moins sécurisées.

Enfin, toutes les applications ne sont pas encore compatibles avec les passkeys. Une entreprise peut donc devoir conserver plusieurs méthodes en parallèle pendant une période de transition : mot de passe avec MFA classique, application Microsoft Authenticator, Windows Hello, clés FIDO2 ou passkeys.

​

6. Exemple concret dans une entreprise

​

Dans une PME utilisant Microsoft 365, la mise en place peut se faire progressivement.

La première étape consiste à activer la MFA pour tous les comptes, en priorité pour les comptes administrateurs et les comptes ayant accès à des données sensibles.

La deuxième étape consiste à désactiver progressivement les méthodes les moins sécurisées, comme les codes SMS, surtout pour les comptes sensibles.

La troisième étape consiste à mettre en place des méthodes plus robustes, comme Microsoft Authenticator, Windows Hello ou des clés FIDO2.

La quatrième étape consiste à surveiller les connexions suspectes à l’aide des journaux Microsoft Entra ID. Cela permet par exemple d’identifier des connexions depuis des pays inhabituels, des appareils inconnus ou des tentatives répétées.

La cinquième étape consiste à former les utilisateurs avec des exemples simples de phishing. La technique seule ne suffit pas : les utilisateurs doivent comprendre pourquoi ces protections sont mises en place.

​

7. Conclusion de la veille

​

Cette veille montre que la sécurité des accès est en train d’évoluer. Le mot de passe n’est pas encore totalement remplacé, mais il devient de moins en moins fiable lorsqu’il est utilisé seul.

La MFA est aujourd’hui presque indispensable en entreprise, mais toutes les méthodes ne se valent pas. Les codes SMS ou les validations simples peuvent encore être contournés. Les passkeys et les clés FIDO2 représentent une évolution importante, car elles sont beaucoup plus résistantes au phishing.

Pour un administrateur systèmes et réseaux, ce sujet est important car il touche directement à la protection des comptes utilisateurs, des serveurs, des accès VPN, de Microsoft 365 et des données de l’entreprise.