Authentification sans mot de passe : comment fonctionne la MFA avec Windows Hello for Business

Beaucoup s’accordent à dire que les mots de passe représentent un risque majeur pour la sécurité. Mais comment les remplacer ou les améliorer ? Au cours de la dernière décennie, le monde de la sécurité a apporté deux réponses principales. La première consiste à sécuriser les mots de passe (ce que l’utilisateur connaît) à l’aide d’un second facteur (ce que l’utilisateur possède). C’est ce que l’on appelle l’authentification multifacteur (MFA).

La MFA est aujourd’hui une méthode standard pour protéger les identifiants contre les attaquants. Mais une seconde option existe : abandonner totalement les mots de passe. Windows Hello for Business (WHfB) de Microsoft permet précisément aux organisations de franchir ce pas. Voici ce qu’il faut savoir sur Windows Hello for Business, la MFA et la sécurisation des accès utilisateurs dans un système sans mot de passe.

L’authentification sans mot de passe remplace les mots de passe par des facteurs tels que l’identification biométrique (qui est l’utilisateur) ou les passkeys. Les passkeys reposent sur la cryptographie à clé publique : la clé privée est stockée de manière sécurisée sur l’appareil de l’utilisateur et utilisée pour signer les demandes d’authentification. Les données biométriques sont généralement utilisées localement pour déverrouiller cette clé privée, plutôt que d’être transmises au serveur.

Chaque approche présente des avantages et des inconvénients selon le contexte. De nombreuses organisations finissent par combiner plusieurs méthodes afin de trouver le bon équilibre. Mais gérer différents mécanismes d’authentification peut être complexe pour l’IT et déroutant pour les utilisateurs. Cela rend les options sans mot de passe, comme la biométrie, particulièrement attractives. En un seul geste, elles éliminent les risques de phishing et d’attaques par force brute, tout en pouvant simplifier l’expérience des employés.

Windows Hello est la solution d’authentification sans mot de passe de Microsoft pour Windows. Elle existe en deux versions : Windows Hello pour les utilisateurs grand public et Windows Hello for Business pour répondre à des besoins de sécurité et de gestion plus avancés.

Une fois l’enrôlement effectué, les utilisateurs peuvent s’authentifier à une session Windows à l’aide d’une empreinte digitale, de la reconnaissance faciale, d’un code PIN ou d’une combinaison de ces éléments. Cette méthode est plus pratique que la mémorisation de mots de passe longs et complexes. Les utilisateurs n’ont qu’à retenir un PIN court, utilisé comme solution de secours.

Windows Hello (et plus particulièrement Windows Hello for Business) se distingue de nombreux systèmes MFA traditionnels par le fait qu’il s’agit d’une technologie d’authentification côté client, dans laquelle l’appareil joue un rôle central. Les données biométriques sont traitées localement et stockées de manière sécurisée sur l’appareil. Lorsque l’utilisateur se vérifie avec succès via la biométrie ou un PIN, cela déverrouille une clé privée protégée par le TPM (ou par le matériel sécurisé de l’appareil). L’appareil utilise ensuite la cryptographie à clé publique pour prouver l’identité de l’utilisateur à un service distant, sans transmettre ni données biométriques ni mot de passe.

Cette conception est similaire à celle des passkeys, une technologie d’authentification sans mot de passe destinée au grand public, qui repose également sur un modèle côté client avec chiffrement à clé publique. Et, comme pour les passkeys, cette approche est bien adaptée aux utilisateurs individuels, un point important pour la plateforme Windows. La principale différence est que les passkeys sont indépendantes de la plateforme, tandis que Windows Hello for Business est réservé à Windows et s’intègre à Active Directory (AD) ou à Entra ID (anciennement Azure AD).

Comme d’autres technologies d’authentification côté client, Windows Hello for Business dépend de l’appareil de l’utilisateur. Si celui-ci perd l’accès à son appareil, il devra procéder à un nouvel enrôlement sur le nouveau poste. Cela ajoute une certaine charge à la gestion des utilisateurs.

Par ailleurs, Windows Hello for Business fonctionne uniquement sous Windows. Il ne prend pas en charge les clients non Windows. Il nécessite un TPM (idéalement une puce matérielle, présente sur la majorité des PC professionnels récents), ainsi que des lecteurs d’empreintes digitales ou des caméras pour la reconnaissance faciale.

Si les applications le prennent en charge, Windows Hello for Business permet de se passer des mots de passe (même s’il reste possible de les utiliser). Cela remplace-t-il également la MFA ? Si vous utilisez un PIN, la réponse est, techniquement, oui. Le PIN combine quelque chose que l’utilisateur connaît avec quelque chose qu’il possède (la clé privée protégée par le TPM). Avec deux facteurs d’identification, il s’agit bien de MFA.

Cela dit, certains scénarios nécessitent encore des facteurs MFA traditionnels, et Windows Hello for Business les prend également en charge. C’est notamment le cas lors de la phase de provisioning initiale (avant l’activation de Windows Hello for Business) ou dans des situations où des facteurs plus forts, comme des jetons matériels, sont requis.

Windows Hello for Business peut également réduire la fréquence des demandes MFA dans certains contextes. Une fois l’utilisateur authentifié, un niveau de confiance élevé est établi, ce qui lui permet d’accéder aux services d’un domaine AD sans devoir se réauthentifier en permanence.

La solution MFA pour Active Directory on-premise de UserLock fonctionne avec WHfB de la même manière qu’avec les autres mécanismes d’authentification, à savoir via son intégration à AD. L’utilisateur voit l’invite Windows Hello for Business localement, de la même façon qu’il verrait une invite de mot de passe. Une fois l’authentification lancée, UserLock déclenche l’invite ou le processus d’authentification choisi, exactement comme pour une session Windows sans WHfB. C’est aussi simple que cela.

En arrière-plan, les organisations doivent toujours définir leur architecture globale d’identité et de MFA. Certaines approches Microsoft peuvent nécessiter des composants et des configurations supplémentaires selon les scénarios (déploiements hybrides, approches par certificats ou par clés, intégration avec des identités cloud).

L’avantage de UserLock est d’offrir une solution bien plus simple et plus économique pour parvenir au même résultat. Au lieu de middleware complexe, il suffit d’installer UserLock sur un seul serveur on-premise et de définir des politiques d’authentification basées sur les groupes d’utilisateurs Active Directory. Cela permet d’obtenir la visibilité et le contrôle nécessaires pour sécuriser au maximum les accès utilisateurs.