Qu’est-ce que FIDO2 ?
FIDO (Fast Identity Online) est le terme générique qui désigne le dernier ensemble de spécifications de l’Alliance FIDO.
Les clés d’accès – basées sur la technologie FIDO2 – permettent aux utilisateurs de s’authentifier rapidement et en toute sécurité auprès des services en ligne sans plus utiliser de mot de passe.
L’authentification par clés d’accès et FIDO2 constitue la solution pérenne du secteur au défi mondial des mots de passe. Elle répond à toutes les préoccupations liées à l’authentification traditionnelle, en fournissant une authentification résistante aux attaques par hameçonnage combinée à une expérience utilisateur améliorée dans les environnements de bureau et mobiles.
Pourquoi les entreprises devraient-elles envisager FIDO ?
Pratique
FIDO2 est une méthode d’authentification sans mot de passe, ce qui évite aux utilisateurs de devoir mémoriser leur mot de passe. Pour faciliter l’adoption par les utilisateurs, vous pouvez l’associer à des données biométriques telles que les empreintes digitales.
Résistants aux attaques par hameçonnage
S’appuyant sur la cryptographie asymétrique à clé publique, FIDO2 protège contre les attaques par hameçonnage car chaque clé privée est liée à un domaine de service. Si le service consulté est frauduleux, l’authentification échoue.
Prévenir les attaques
La clé de sécurité FIDO2 protège contre les attaques de l’homme du milieu (MiTM), car chaque clé privée est stockée en toute sécurité dans le dispositif matériel.
À l’épreuve du temps
Les applications web modernes prennent en charge FIDO2. Les agences de cybersécurité et les analystes classent la clé de sécurité FIDO2 comme la technologie de référence dans laquelle investir (NIST, ENISA, CSA, Gartner, etc.).
S’authentifier partout
Divers facteurs de forme tels que les cartes à puce et les tokens USB, avec option sans contact, permettent aux utilisateurs de s’authentifier à partir de leurs appareils mobiles ou de bureaux partagés.
Facile à déployer
Basée sur une norme ouverte, FIDO2 simplifie la compatibilité des systèmes. Cette solution supprime les coûts du service d’assistance liés aux mots de passe et réduit les frais généraux TI (aucune infrastructure distincte n’est nécessaire).
Principaux vecteurs d’attaque initiaux en matière de violations de données
49 %
Identifiants volés ou compromis
16 %
Hameçonnage
Pour réduire le risque d’usurpation d’identité et de failles de sécurité lors de la connexion à des ressources numériques sensibles telles que les sessions Windows et les applications Web, Thales recommande aux entreprises d’activer l’authentification multifactorielle sans mot de passe et résistante aux attaques par hameçonnage pour leurs utilisateurs privilégiés, les travailleurs de première ligne et les utilisateurs en général, à l’aide de clés d’accès liées à des clés de sécurité matérielles.
The Comprehensive Guide on Phishing-Resistant MFA, Passkeys and FIDO security keys
La combinaison de FIDO2 et de l’authentification PKI offre aux fournisseurs des solutions pérennes pour mettre en œuvre l’authentification sans mot de passe et protéger l’accès aux applications basées sur le cloud.
Avantages des clés de sécurité FIDO2 de Thales
Les dispositifs d’authentification multifactorielle de Thales utilisent des protocoles actuels et émergents pour prendre en charge plusieurs applications en même temps. Utilisez une seule clé de sécurité combinant FIDO2, WebAuthn, U2F et PKI pour accéder aux espaces physiques et aux ressources logiques.
Une sécurité de pointe
Thales contrôle l’intégralité du cycle de fabrication et développe ses propres bibliothèques cryptographiques FIDO, ce qui réduit le risque de compromission.
Prise en charge de plusieurs cas d’utilisation
- Combinez FIDO, PKI et l’accès physique avec un seul dispositif
- Bénéficiez d’une authentification robuste pour les terminaux mobiles
Confort d’utilisation pour une meilleure adoption
- Prise en charge de la biométrie (empreinte digitale sur carte à puce)
- Capteur de présence sensible sur la clé USB FIDO
Conforme aux normes de sécurité élevées du marché
- Certifié U2F et FIDO2
- Conforme aux réglementations américaines et européennes en matière d’authentification résistante aux attaques par hameçonnage
- Fabrication en Europe et conformité au Trade Agreement Act (TAA) en option
- Certifié FIPS et CC pour les opérations PKI
Robustesse et évolutivité pour une longue durée de vie
- Clés USB FIDO inviolables, en plastique dur moulé
- Pas de dommage aux ports USB grâce à un capteur de détection de présence très sensible
- Prise en charge des mises à jour de micrologiciel pour une maintenance et une évolutivité améliorées
Enterprise FIDO Ready
- Conforme aux spécifications FIDO2.1
- Bénéficiez des fonctionnalités de Thales FIDO Enterprise
- Utilisez SafeNet FIDO Key Manager gratuitement
Trouvez la clé de sécurité FIDO2 qui correspond à vos besoins
Thales prend en charge de nombreux parcours d’authentification sans mot de passe avec une large gamme d’authentificateurs FIDO.
Tokens USB FIDO
Sécurisez l’accès aux applications web et aux appareils à l’aide de FIDO
Série SafeNet eToken FIDO
- Solution idéale pour les entreprises qui souhaitent passer à l’authentification sans mot de passe
- Tokens USB compacts et inviolables, disponibles en type A et C
- Capteur de détection de présence pour confirmer la présence humaine
- Idéal pour les utilisateurs privilégiés, les travailleurs de première ligne et les travailleurs temporaires
- Accès rapide pour les employés à n’importe quel appareil partagé tel qu’un PC ou une tablette
Thales Enterprise features
- Manage FIDO Keys
- Ensure appropriate usage of FIDO Keys
- Unblock FIDO Keys
- Manage Reset
- Ensure Persistent PIN Length
- Enforce user verification
FIDO USB Tokens
Secure access to web applications and devices using FIDO
SafeNet eToken FIDO series
- Ideal solution for organizations to go passwordless
- Compact, tamper-evident USB tokens, available in type A, type C and NFC in option
- Presence detection sensor to confirm human presence
- Ideal for privilege users, frontline and temporary workers
- Quick access for employees to any shared device such as PC or tablet
FIDO + Biométrie
Simplifier l’adoption par les utilisateurs.
Carte à puce SafeNet IDPrime FIDO Bio
Combinant la biométrie et la technologie NFC, la carte à puce innovante SafeNet IDPrime FIDO Bio permet aux utilisateurs finaux de s’authentifier facilement et en toute sécurité à partir de plusieurs types d’appareils, avec une simple empreinte digitale au lieu d’un mot de passe.
Authenticate to your data with your fingerprint
eToken Fusion Bio
By combining biometric fingerprint verification, FIDO2, and PIN-based PKI support in a single device, it brings phishing-resistant, passwordless authentication to life without disrupting users. A simple fingerprint replaces passwords and codes, strengthening identity security while accelerating user adoption of phishing-resistant MFA across the organization.
Cartes à puce FIDO + PKI
Étendez l’authentification FIDO moderne aux cas d’utilisation PKI.
Série de cartes à puce SafeNet IDPrime FIDO
- Nouvelle génération de cartes à puce PKI
- Facilite la migration vers le cloud et la modernisation de l’authentification
- Prise en charge des cas d’utilisation FIDO et PKI : authentification, signature numérique et chiffrement de fichiers
- Un seul badge pour sécuriser l’accès aux applications héritées, aux domaines réseau et aux services cloud
- Utilisation sur plusieurs appareils, des ordinateurs de bureau aux tablettes, grâce à l’option NFC
- Aidez les entreprises à se conformer aux réglementations du marché
Tokens USB FIDO + PKI
Étendez l’authentification FIDO moderne aux cas d’utilisation PKI.
Série SafeNet eToken Fusion
- Nouvelle génération de tokens USB PKI
- Facilite la migration vers le cloud et la modernisation de l’authentification
- Prise en charge des cas d’utilisation FIDO et PKI : authentification, signature numérique et chiffrement de fichiers
- Un seul token pour sécuriser l’accès aux applications héritées, aux domaines réseau et aux services cloud
- Utilisation sur plusieurs appareils, des ordinateurs de bureau aux tablettes, grâce à l’option NFC
- Aidez les entreprises à se conformer aux réglementations du marché
- Option « Enterprise FIDO ready » pour aider les entreprises à contrôler leur cycle de vie
FIDO + accès physique
Combinez l’accès numérique et l’accès physique.
Thales propose aux entreprises des cartes à puce combinant l’accès physique et l’authentification numérique PKI/FIDO. Converged Badge est une solution idéale pour les entreprises qui doivent protéger l’accès aux zones sécurisées et aux ressources numériques sensibles. Les coûts de déploiement des badges et de gestion de la flotte sont considérablement réduits et l’adoption par les employés est facilitée.
Gérer les clés FIDO
Contrôlez le cycle de vie de vos clés FIDO grâce aux fonctionnalités de Thales FIDO Enterprise.
Les fonctionnalités de Thales FIDO Enterprise permettent aux entreprises de gérer leurs clés FIDO en toute sécurité et en toute simplicité tout au long de leur cycle de vie. Elles ajoutent une couche d’administration et des politiques de configuration pour aider les équipes informatiques à déployer, administrer et assister l’utilisateur final. Au-delà des spécifications FIDO2.1 de l’Alliance FIDO, les fonctionnalités de Thales FIDO enterprise offrent aux entreprises :
- Une meilleure sécurité : application de la vérification de l’utilisateur lors de l’authentification à partir de n’importe quel appareil, gestion de la longueur minimale du code PIN et protection de la politique de code PIN définie, prévention de la suppression malveillante ou non intentionnelle des données contenues dans les clés FIDO
- Une utilisation appropriée des actifs de l’entreprise : limitation de l’utilisation des authentificateurs FIDO à une liste de services privilégiés
- Réduction des coûts informatiques et meilleure expérience utilisateur : déblocage de la clé FIDO sans réinitialiser toutes les données de la clé, permettant aux utilisateurs finaux de définir et de modifier leur code PIN en libre-service
En savoir plus sur les fonctionnalités de Thales FIDO Enterprise prises en charge par SafeNet FIDO Key manager, Versasec Credential Management System et OneWelcome FIDO Key Lifecycle Management Solution.
Accès sécurisé à Microsoft 365 et aux appareils Windows
Thales et Microsoft s’associent pour fournir aux clients de Microsoft 365 une authentification FIDO et une authentification basée sur les certificats (CBA).
Avec Entra ID, les clients de Microsoft peuvent utiliser les tokens basés sur les certificats X.509 de Thales, les cartes à puce et les authentificateurs FIDO pour tous leurs besoins en matière de protection de l’identité.
Toutes les clés de sécurité FIDO de Thales (tokens ou cartes à puce) sont entièrement compatibles et intégrées à Microsoft Entra ID.
Pour plus d’informations sur les clés de sécurité FIDO2 de Thales pour les environnements Microsoft, regardez la vidéo de démonstration, lisez notre document de présentation de la solution et téléchargez le guide d’installation. Consultez notre offre sur Azure Marketplace.
S’associer à un pionnier de l’identité
Récompensé par le prix Identity Trailblazer 2024 décerné par Microsoft Security, Thales est le seul fournisseur à proposer des clés de sécurité FIDO USB-C et USB-A arborant le logo Microsoft Security sur l’une de leurs faces. Elles sont idéales pour protéger les services cloud et la connexion Windows.
Ressources recommandées
Présentation de la solution
Thales Phishing Resistant FIDO2 & Certificate-Based Authentication for Azure AD, part of Microsoft Entra
Il s’agit d’un périphérique compagnon USB ou carte à puce que vous pouvez utiliser pour accéder en toute sécurité à des services en ligne sensibles sans plus utiliser de mot de passe. Il utilise la norme FIDO2 (Fast identity Online) développée par l’Alliance FIDO.
Le protocole FIDO (Fast Identity Online) exige un « geste de l’utilisateur » (toucher ou appuyer sur le token) et/ou une vérification de l’utilisateur (via un code PIN ou un identifiant biométrique) avant que la clé privée puisse être utilisée pour signer une réponse à un défi d’authentification.
Pour accéder à un service en ligne, il vous suffit de suivre les instructions affichées sur l’interface utilisateur : lorsque vous y êtes invité, branchez le token sur le port USB de votre appareil, touchez le capteur sensible pour confirmer votre présence, saisissez votre PIN et vous êtes connecté. Par ailleurs, si vous utilisez un token sans contact et biométrique tel que la carte à puce SafeNet FIDO Bio, il vous suffit d’approcher la carte de votre appareil tout en plaçant votre doigt sur le capteur biométrique et vous êtes connecté !
Dans FIDO2, les clés d’accès remplacent les mots de passe et permettent une connexion plus rapide, plus accessible et plus sûre aux sites web et aux applications. Elles sont résistantes au hameçonnage et aux attaques par bourrage d’identifiants et sont conçues de manière à ce qu’il n’y ait pas de secrets partagés.
Il existe deux types de clés d’accès : les clés d’accès synchronisées (exportables vers un autre appareil via un service cloud) et les clés d’accès liées à l’appareil (stockées sur un seul appareil et non copiables). Les clés/tokens de sécurité FIDO2 sont des clés d’accès liées à un appareil.
Oui, les tokens FIDO2 peuvent être utilisés avec n’importe quel appareil mobile, mais en fonction du connecteur du token (USB-C ou USB-A), l’utilisateur peut avoir besoin d’un adaptateur. Si le token et l’appareil sont compatibles avec la technologie NFC, l’utilisateur peut également utiliser la fonctionnalité NFC directement en approchant le token du dos de son appareil mobile.
Le token FIDO2 de Thales est prêt à l’emploi et ne nécessite aucune installation de logiciel ou de pilote. Vous pouvez configurer votre token FIDO2 en l’enregistrant auprès d’un service en ligne. Les instructions d’installation peuvent différer d’un fournisseur de services à l’autre ; il convient donc de suivre les instructions affichées sur l’interface utilisateur. En général, le fournisseur de services vous demande de définir votre nom de connexion et un code PIN, puis d’attribuer un nom au token FIDO2 enregistré. Vous pouvez également utiliser SafeNet FIDO Key Manager pour configurer et modifier le code PIN de votre token FIDO2 de Thales.
Pour en savoir plus sur ce sujet, consultez notre section dédiée
Les tokens FIDO2 sont compatibles avec tous les services en ligne qui prennent en charge la norme FIDO2.
Vous pouvez consulter notre page de services compatibles FIDO pour plus d’informations.
L’utilisation des clés d’accès FIDO2 présente différents avantages par rapport aux mots de passe traditionnels :
- Sécurité : des identifiants de connexion uniques sur chaque site web, qui ne sont jamais stockés sur un serveur, ce qui élimine le risque d’hameçonnage et d’autres formes d’attaques.
- Expérience utilisateur : l’utilisateur se connecte avec des méthodes simples intégrées à l’appareil ou en exploitant des clés de sécurité FIDO2 faciles à utiliser.
- Confidentialité : des clés uniques pour chaque site Internet qui ne peuvent pas être utilisées pour suivre les utilisateurs d’un site à l’autre. Les données biométriques, lorsqu’elles sont utilisées, ne quittent jamais l’appareil de l’utilisateur.
- Évolutivité : elles permettent d’activer FIDO2 par le biais de simples appels d’API pris en charge par tous les principaux navigateurs et plateformes.
Basée sur la cryptographie, l’authentification FIDO2 est reconnue par les agences de cybersécurité du monde entier comme l’une des méthodes d’authentification les plus sûres. Un token matériel FIDO2 résiste au hameçonnage et aux attaques de l’homme du milieu.
FIDO et CBA sont les deux protocoles d’authentification reconnus comme résistants aux attaques par hameçonnage par les organismes de régulation de la cybersécurité tels que le NIST, l’ENISA, l’ANSSI et l’agence néerlandaise de cybersécurité NCSC (National Cyber-sécurité Center).
Basée sur la cryptographie asymétrique à clé publique, la clé de sécurité FIDO2 (token USB ou carte à puce) empêche l’hameçonnage, car chaque clé privée est liée au domaine du fournisseur de services. Si le domaine est frauduleux, l’authentification échoue. En outre, toutes les clés privées sont stockées localement et en toute sécurité dans la clé FIDO2, ce qui empêche les attaques de type homme du milieu.
Oui, les tokens FIDO2 assurent la protection des données personnelles sur la base de la cryptographie à clé publique. FIDO2 répond aux exigences de l’administration américaine et des agences de sécurité de l’UE en matière d’MFA forte. Les clés de sécurité matérielles FIDO sont évaluées AAL3 par le NIST (niveau d’assurance 3, le plus haut niveau d’assurance en authentification selon le NIST).
