Guide de Microsoft Passport
Ce guide décrit les nouvelles technologies Windows Hello et Microsoft Passport qui font partie du système d’exploitation Windows 10. Il présente des fonctionnalités spécifiques de ces technologies qui contribuent à atténuer les menaces liées aux informations d’identification classiques et fournit des recommandations sur la conception et le déploiement ces technologies dans le cadre de votre déploiement de Windows 10.
Un principe fondamental relatif à la sécurité des informations est qu’un système peut identifier qui l’utilise. Lors de l’identification d’un utilisateur, le système peut décider si l’utilisateur s’est correctement identifié (processus appelé authentification), et déterminer ce que cet utilisateur correctement authentifié peut faire (processus appelé autorisation). La grande majorité des systèmes informatiques déployés dans le monde entier dépendent des informations d’identification de l’utilisateur comme moyen permettant de prendre des décisions d’authentification et d’autorisation, ce qui signifie que ces systèmes dépendent de mots de passe réutilisables et créés par l’utilisateur pour leur propre sécurité. La maxime que cette authentification peut supposer, « ce que vous savez, ce dont vous disposez et ce que vous êtes », met habilement en évidence le problème suivant : un mot de passe réutilisable est un facteur d’authentification en lui-même, de sorte que quiconque connaît le mot de passe peut emprunter l’identité de l’utilisateur qui la détient.
Problèmes liés aux informations d’identification traditionnelles
Jamais depuis le milieu des années 1960, lorsque Fernando Corbató et son équipe du Massachusetts Institute of Technology ont été à l’origine de l’introduction du mot de passe, les utilisateurs et les administrateurs n’avaient eu à gérer l’utilisation de mots de passe pour l’authentification et l’autorisation de l’utilisateur. Au fil du temps, le stockage et de l’utilisation du mot de passe ont peu évolué (le hachage et le salt du mot de passe étant les deux améliorations majeures), mais nous sommes toujours confrontés à deux problèmes sérieux : les mots de passe sont faciles à cloner et à dérober. Des erreurs de mise en œuvre peuvent affecter leur sécurité, et les utilisateurs sont confrontés à un dilemme important entre commodité et sécurité.
Vol d’informations d’identification
Le principal risque lié aux mots de passe est simple : une personne malveillante peut les voler facilement. Chaque endroit où un mot de passe est entré, traité ou stocké est vulnérable. Par exemple, une personne malveillante peut voler un ensemble de mots de passe ou de hachages sur un serveur d’authentification en espionnant le trafic réseau vers un serveur d’applications, en implantant un logiciel malveillant dans une application ou sur un appareil, en consignant les frappes de l’utilisateur sur un appareil, ou en observant les caractères entrés par un utilisateur, ceci n’étant que les méthodes d’attaque les plus courantes. Une autre peut attaquer de manière plus exotique pour voler un ou plusieurs mots de passe.
Le risque de vol est dû au fait que le facteur d’authentification que représente le mot de passe est le mot de passe lui-même. Sans autre facteur d’authentification, le système considère que toute personne qui connaît le mot de passe est l’utilisateur autorisé.
Un autre risque est celui de la relecture des informations d’identification, dans lequel une personne malveillante recueille des informations d’identification valides en espionnant un réseau non sécurisé, puis les relit pour usurper l’identité d’un utilisateur valide. La plupart des protocoles d’authentification (notamment Kerberos et OAuth) protègent contre les attaques par relecture en incluant un horodatage dans le processus d’échange des informations d’identification, qui protège le jeton généré par le système d’authentification, mais pas le mot de passe que l’utilisateur fournit pour obtenir le ticket.
Réutilisation d’informations d’identification
L’augmentation du nombre de systèmes connectés et d’applications utilisées entraîne une augmentation de la demande d’informations d’identification. Une étude Microsoft Research de 2007 a révélé que l’utilisateur Web disposait en moyenne de 6,5 mots de passe ; une recherche ultérieure a révélé un nombre nettement supérieur, d’où un désaccord sur le nombre exact. La grande diversité de mots de passe (décrite dans la section Compromis entre commodité et complexité) implique que les utilisateurs sont plus enclins à choisir des mots de passe qu’ils peuvent facilement mémoriser, ce qui se traduit généralement par l’utilisation d’un même mot de passe sur plusieurs sites. Les utilisateurs recherchant plus de complexité peuvent choisir un mot de passe de base et le modifier pour chaque site (par exemple, le mot de passe de base « 4joe » peut donner « banque4joe », « avion4joe » et « école4joe », mais cette pratique permet de deviner plus facilement le mot de passe. Alors que chaque système peut conserver un historique des mots de passe afin que les utilisateurs ne puissent pas réutiliser les anciens mots de passe lors d’un changement, il n’existe aucun mécanisme pour les empêcher d’utiliser le même mot de passe sur plusieurs domaines.
L’approche courante d’utilisation d’une adresse électronique comme nom d’utilisateur accentue le problème. Une personne malveillante qui récupère une paire nom d’utilisateur/mot de passe sur un système compromis peut ensuite l’essayer sur d’autres systèmes. Cette méthode permet souvent aux personnes malveillantes de se servir d’un système compromis comme d’un tremplin vers d’autres systèmes. L’utilisation d’une adresse électronique comme nom d’utilisateur entraîne d’autres problèmes encore, qui nous aborderons plus loin dans ce guide.
Compromis entre commodité et complexité
La sécurité est principalement un compromis entre commodité et sécurité : plus le système est sécurisé, et moins il est pratique pour les utilisateurs. Bien que les concepteurs et responsables de l’implémentation de systèmes disposent d’un large choix d’outils pour les rendre plus sécurisés, les utilisateurs ont également leur mot à dire. Lorsque les utilisateurs considèrent qu’un mécanisme de sécurité les empêche de faire ce qu’ils veulent, ils cherchent généralement un moyen de le contourner. Ce comportement conduit à un bras de fer, les utilisateurs appliquant des stratégies visant à réduire les efforts nécessaires pour respecter les stratégies de mot de passe de leur entreprise à mesure qu’elles évoluent.
Complexité du mot de passe
Si le risque majeur lié aux mots de passe est qu’une personne malveillante peut les deviner à l’aide d’une analyse en force brute, il peut sembler raisonnable de demander aux utilisateurs d’étendre le jeu de caractères utilisé dans leurs mots de passe ou qu’ils soient plus longs, mais pour des raisons pratiques, les exigences de longueur et de complexité des mots de passe ont deux effets négatifs. Elles encouragent tout d’abord la réutilisation des mots de passe. Selon les calculs de Herley, Florêncio et van Oorschot, plus un mot de passe est fort, et plus il est susceptible d’être réutilisé. Dans la mesure où les utilisateurs déploient plus d’efforts dans la création et la mémorisation des mots de passe forts, ils sont beaucoup plus susceptibles d’utiliser les mêmes informations d’identification sur plusieurs systèmes. Deuxièmement, l’ajout d’une complexité par longueur ou jeu de caractères aux mots de passe ne les rend pas nécessairement plus difficiles à deviner. Par exemple, P@ssw0rd1 comporte neuf caractères et inclut des lettres majuscules et minuscules, des chiffres et des caractères spéciaux, mais il est facile à deviner par de nombreux outils de décodage des mots de passe courants actuellement disponibles sur Internet. Ces outils peuvent attaquer les mots de passe à l’aide d’un dictionnaire de mots de passe courants pré-calculé, ou ils peuvent commencer avec un mot de base comme « password » et appliquer des substitutions de caractères courantes. Un mot de passe de huit caractères complètement aléatoire peut ainsi être beaucoup plus long à deviner que P@ssw0rd123.
Expiration du mot de passe
Étant donné qu’un mot de passe réutilisable est le seul facteur d’authentification sur les systèmes basés sur un mot de passe, les concepteurs ont tenté de réduire le risque de vol et de réutilisation des informations d’identification. Une méthode courante consiste à utiliser des mots de passe à durée de vie limitée. Certains systèmes n’autorisent l’utilisation de mots de passe qu’une seule fois, mais l’approche la plus courante actuellement réside dans l’expiration des mots de passe après une période donnée. La limitation de la durée de vie d’un mot de passe permet de limiter le temps pendant lequel un mot de passe volé peut être utile à une personne malveillante. Cette pratique permet de protéger contre l’utilisation sur le long terme d’un mot de passe volé, détenu et utilisé, mais nous ramène également au temps où le piratage des mots de passe ne servait que les intérêts des personnes malveillantes à l’échelle nationale. Une personne malveillante avisée tentera alors de voler des mots de passe plutôt que de les pirater en raison de leur durée d’utilisation réduite.
La grande diversité d’outils de piratage des mots de passe et la puissance de calcul considérable disponible de mécanismes tels que les pirates sur GPU ou les outils de piratage sur cloud ont inversé cette équation de sorte qu’il est généralement plus fiable pour une personne malveillante de pirater un mot de passe que d’essayer de le voler. Les nombreux mécanismes de réinitialisation du mot de passe en libre-service impliquent également qu’une personne malveillante n’a besoin que de peu de temps pendant lequel le mot de passe est valide pour le changer et réinitialiser la période de validité. Très peu de réseaux d’entreprise proposent des mécanismes de réinitialisation du mot de passe en libre-service, mais ils sont courants dans les services Internet. De plus, nombreux sont les utilisateurs qui utilisent le magasin d’informations d’identification sécurisé des systèmes Windows et Mac OS X pour stocker des mots de passe de services Internet. Une personne malveillante capable de compromettre le mot de passe du système d’exploitation peut donc obtenir facilement et gratuitement une multitude d’autres mots de passe de services.
Pour finir, un délai d’expiration trop court peut amener les utilisateurs à apporter des modifications mineures à leurs mots de passe à chaque période d’expiration, en utilisant, par exemple, password123, password456, puis password789. Cette approche réduit les efforts nécessaires au piratage du mot de passe, et plus particulièrement si la personne malveillante connaît les anciens mots de passe.
Mécanismes de réinitialisation du mot de passe
Pour permettre aux utilisateurs de mieux gérer leurs propres mots de passe, certains services leur permettent de le modifier. Certaines implémentations demandent aux utilisateurs d’ouvrir une session avec leur mot de passe actuel, alors que d’autres leur permettent de sélectionner l’option Mot de passe oublié, qui envoie un courrier électronique à l’adresse électronique enregistrée de l’utilisateur. Le problème de ces mécanismes est qu’un grand nombre d’entre eux sont implémentés de telle sorte qu’une personne malveillante peut les exploiter. Par exemple, une personne malveillante capable de deviner ou de voler le mot de passe de messagerie d’un utilisateur peut facilement réinitialiser les mots de passe de tous les autres comptes de la victime dans la mesure où les courriers de réinitialisation sont adressés au compte compromis. La plupart des réseaux d’entreprise sont donc configurés de sorte que seuls les administrateurs puissent réinitialiser les mots de passe des utilisateurs. Par exemple, Active Directory prend en charge l’utilisation d’un indicateur Le mot de passe doit être modifié à la prochaine ouverture de session de sorte que lorsque l’administrateur réinitialise un mot de passe, l’utilisateur ne peut le réinitialiser qu’après avoir fourni le mot de passe défini par l’administrateur. Certains systèmes de gestion des appareils mobiles (GPM) prennent en charge des fonctionnalités similaires pour les appareils mobiles.
Négligence du mot de passe par l’utilisateur
Un problème insidieux accentue ses points faibles de conception et d’implémentation : certains utilisateurs ne font tout simplement pas attention à leurs mots de passe. Ils les notent à des endroits non sûrs, choisissent des mots de passe faciles à deviner, prennent des précautions minimales (dans le meilleur des cas) contre les programmes malveillants, voire donnent leurs mots de passe à d’autres personnes. Ces utilisateurs ne sont pas nécessairement négligents, ils n’y prêtent tout simplement pas attention. Ils ont des choses à faire et les stratégies de longueur ou d’expiration du mot de passe trop strictes ou un trop grand nombre de mots de passe les gênent.
Atténuer les risques liés aux informations d’identification
Sur la base des problèmes décrits jusqu’ici, il peut sembler évident que les mots de passe réutilisables constituent un risque de sécurité. L’argument est simple : l’ajout de facteurs d’authentification permet de réduire la valeur des mots de passe, car même si un mot de passe est volé, la personne malveillante ne pourra pas se connecter à un système si elle ne dispose pas des autres facteurs associés. Cet argument simple pose malheureusement de nombreux problèmes pratiques. Les fournisseurs de sécurité et de système d’exploitation tentent de résoudre les problèmes liés aux informations d’identification réutilisables depuis de nombreuses années, pour une réussite limitée.
L’atténuation la plus évidente des risques liés aux mots de passe réutilisables consiste à ajouter un ou plusieurs facteurs d’authentification. Au cours des 30 dernières années, différents fournisseurs ont essayé de résoudre ce problème en proposant l’utilisation d’identificateurs biométriques (notamment l’analyse des empreintes digitales, de l’iris et de la rétine et la géométrie de la main), de jetons logiciels et matériels, de cartes à puce physiques et virtuelles, et l’authentification de la voix ou de SMS via le téléphone mobile de l’utilisateur. La description détaillée de chacun de ces authentificateurs et de ses avantages et inconvénients n’est pas abordée dans ce guide, mais quelle que soit la méthode d’authentification choisie, les principaux défis sont peu couverts par les solutions d’authentification à plusieurs facteurs, notamment :
Complexité et coût de l’infrastructure. Tout système qui nécessite que l’utilisateur fournisse un facteur d’authentification supplémentaire lors de l’accès doit être doté d’un moyen de collecte de ces informations. Bien qu’il soit possible d’adapter le matériel de terrain en ajoutant des lecteurs d’empreintes digitales, des lecteurs oculaires, des lecteurs de cartes à puce ou autres, peu d’entreprises sont disposées à en payer le prix et à engager les efforts nécessaires.
Manque de normalisation. Bien que Microsoft ait inclus la prise en charge de la carte à puce au niveau du système d’exploitation Windows Vista, les fournisseurs de cartes à puce et de lecteurs sont libres de proposer leurs propres pilotes, tout comme les fabricants d’autres appareils d’authentification. Le manque de normalisation a entraîné une fragmentation de l’application et du support, et il n’était pas toujours possible de combiner plusieurs solutions au sein d’une entreprise, même si les fabricants de ces solutions annonçaient leur compatibilité.
Compatibilité descendante. L’adaptation des systèmes d’exploitation et applications déjà déployés pour utiliser une solution d’authentification à plusieurs facteurs est extrêmement complexe. Trois ans après son lancement, Microsoft Office 2013 les prend finalement en charge. La grande majorité des applications commerciales et métier personnalisées ne pourra jamais être adaptée pour tirer parti d’un système d’authentification autre que ceux proposés par le système d’exploitation sous-jacent.
Désagréments pour l’utilisateur. Les solutions qui demandent aux utilisateurs de disposer, de gérer et d’utiliser des jetons physiques sont généralement peu populaires. Si les utilisateurs ont besoin d’un jeton spécifique pour l’accès à distance ou d’autres scénarios supposés être plus pratiques, ils ont tendance à être rapidement rebutés par l’utilisation d’un appareil supplémentaire. Cet inconvénient est accentué dans les solutions à associer aux ordinateurs (les lecteurs de cartes à puce par exemple), car elles posent des problèmes de portabilité, de prise en charge du pilote, et d’intégration du système d’exploitation et de l’application.
Compatibilité des appareils. Tous les facteurs de forme matériels ne prennent pas en charge toutes les méthodes d’authentification. Par exemple, en dépit des efforts d’évaluation des fournisseurs, aucun marché des lecteurs de cartes à puce compatibles avec les téléphones mobiles n’a jamais émergé. Ainsi, lorsque Microsoft a implémenté les cartes à puce comme moyen d’authentification pour l’accès réseau à distance, une limitation majeure était que les employés ne pouvaient se connecter qu’à partir d’ordinateurs de bureau ou portables équipés de lecteurs de cartes à puce. Toutes les méthodes d’authentification s’appuyant sur un matériel ou logiciel supplémentaire peuvent rencontrer ce problème. Par exemple, plusieurs systèmes à « jeton logiciel » populaires s’appuient sur des applications mobiles exécutées sur un nombre limité de plateformes matérielles mobiles.
Un autre problème est lié aux connaissances institutionnelles et à la maturité. Les systèmes d’authentification forte sont complexes. Ils renferment un grand nombre de composants et peuvent être coûteux en termes de conception, de gestion et d’exploitation. Pour certaines entreprises, le coût et la surcharge supplémentaires de maintenance d’une infrastructure à clé publique (PKI) interne pour créer des cartes à puce ou les efforts de gestion des appareils complémentaires dépassent les avantages qu’ils estiment obtenir d’une authentification forte. Voici un cas spécial du problème courant rencontré par les établissements financiers : si le coût de la réduction des fraudes est plus élevé que le coût de la fraude proprement dite, difficile de justifier la rentabilité des mesures de prévention contre les fraudes.
Résoudre les problèmes liés aux informations d’identification
La résolution des problèmes posés par les mots de passe est délicate. Un renforcement des stratégies de mot de passe seulement est inefficace : les utilisateurs peuvent simplement recycler, partager ou noter les mots de passe. Bien que l’éducation des utilisateurs soit essentielle à la sécurité de l’authentification, l’éducation seule ne résout pas le problème non plus.
Comme vous l’avez vu, l’ajout d’authentificateurs supplémentaires n’est pas nécessairement efficace si les nouveaux systèmes d’authentification ajoutent de la complexité, des coûts ou de la fragilité. Dans Windows 10, Microsoft traite ces problèmes avec deux nouvelles technologies : Windows Hello et Microsoft Passport. Combinées, ces technologies permettent d’améliorer la sécurité et la commodité pour l’utilisateur :
Microsoft Passport remplace les mots de passe par l’authentification à deux facteurs forte (2FA) en vérifiant les informations d’identification existantes et en créant des informations d’identification spécifiques à l’appareil protégé par un mouvement de l’utilisateur (biométrique ou sur code PIN). Cette combinaison remplace efficacement les cartes à puce physiques et virtuelles, ainsi que les mots de passe réutilisables pour l’ouverture de session et le contrôle d’accès.
Windows Hello offre une authentification biométrique fiable et totalement intégrée basée sur la reconnaissance faciale ou la correspondance d’empreintes digitales. Windows Hello combine des caméras (IR) spéciales et des logiciels pour optimiser la précision et protéger contre l’usurpation d’identité. Les principaux fabricants de matériels proposent des appareils équipés de caméras compatibles avec Windows Hello intégrées, et un lecteur d’empreintes digitales matériel peut être utilisé ou ajouté aux appareils n’en disposant pas. Sur les appareils qui prennent en charge Windows Hello, un mouvement biométrique simple déverrouille les informations d’identification Microsoft Passport des utilisateurs.
Qu’est-ce que Windows Hello ?
Windows Hello est le nom que Windows a donné au nouveau système de connexion biométrique intégré dans Microsoft 10. Étant donné qu’il est directement intégré au système d’exploitation, Windows Hello peut identifier le visage ou les empreintes digitales pour déverrouiller les appareils des utilisateurs. L’authentification se produit lorsque l’utilisateur fournit son identificateur biométrique unique pour accéder aux informations d’identification de Microsoft Passport spécifiques à l’appareil. Une personne malveillante qui vole l’appareil ne peut donc s’y connecter que si elle dispose du code PIN. Le magasin d’informations d’identification sécurisées Windows protège les données biométriques sur l’appareil. En utilisant Windows Hello pour déverrouiller un appareil, l’utilisateur autorisé accède à l’ensemble de son utilisation Windows, applications, données, sites Web et services.
L’authentificateur Windows Hello est appelé un Hello. Un Hello est unique à la combinaison d’un appareil et d’un utilisateur spécifique. Il n’est pas transmis entre plusieurs appareils, il n’est pas partagé avec un serveur et ne peut pas être extrait facilement d’un appareil. Si plusieurs utilisateurs partagent un appareil, chaque utilisateur dispose d’un Hello unique pour cet appareil. Imaginez un Hello comme un jeton que vous pouvez utiliser pour déverrouiller (ou libérer) des informations d’identification stockées : le Hello proprement dit ne vous authentifie pas sur une application ou un service, mais libère les informations d’identification qui le peuvent.
Au lancement de Windows 10, le système d’exploitation prenait en charge trois types de Hello :
Code PIN. Pour pouvoir utiliser Windows Hello afin d’activer la biométrique sur un appareil, vous devez choisir un code PIN comme votre mouvement Hello initial. Une fois le code PIN défini, vous pouvez ajouter des mouvements biométriques si vous le souhaitez. Vous pouvez toujours utiliser le mouvement PIN pour libérer vos informations d’identification. Vous pouvez ainsi toujours déverrouiller et utiliser votre appareil même si vous ne pouvez pas utiliser votre biométrique préféré en raison d’une blessure ou si le capteur est indisponible ou ne fonctionne pas correctement.
Reconnaissance faciale. Ce type utilise des caméras spéciales qui voient une lumière infrarouge, leur permettant ainsi de faire la différence entre une photographie ou une numérisation et une personne vivante. Plusieurs fournisseurs fournissent des caméras externes intégrant cette technologie, et les principaux fabricants d’ordinateurs portables l’intègrent également à leurs appareils.
Reconnaissance par empreinte digitale. Ce type utilise un capteur capacitif d’empreintes digitales pour analyser votre empreinte digitale. Les lecteurs d’empreintes digitales sont possibles sur les ordinateurs Windows depuis de nombreuses années déjà, mais la génération de capteurs actuelle est bien plus fiable et source de moins d’erreurs. La plupart des lecteurs d’empreinte digitale (externes ou intégrés dans les ordinateurs portables ou les claviers USB) fonctionnent avec Windows 10.
Les données biométriques utilisées pour mettre en œuvre ces mouvements Hello sont stockées en toute sécurité sur l’appareil local uniquement. Elles ne sont pas transmises et ne sont jamais envoyées à des appareils ou serveurs externes. Étant donné que Windows Hello stocke uniquement les données d’identification biométrique sur l’appareil, il n’existe aucun point de collecte qu’une personne malveillante peut compromettre pour voler vos données biométriques. Les failles exposant les biométriques collectées et stockées pour d’autres utilisations (comme les empreintes digitales collectées et stockées à des fins réglementaires ou de vérification) ne représentent pas une menace significative : une personne malveillante qui vole les biométriques dispose uniquement d’un modèle de l’identificateur, et ce modèle ne peut pas être facilement converti en une forme que la personne malveillante peut présenter à un capteur biométrique. Le chemin d’accès de données des capteurs compatibles avec Windows Hello est également résistant à la falsification, réduisant d’autant plus encore le risque qu’une personne malveillante puisse injecter des données biométriques falsifiées. De plus, avant qu’une personne malveillante puisse ne serait-ce que tenter d’injecter des données dans le capteur, elle doit être en mesure d’accéder physiquement à l’appareil, ce qui n’est pas à la portée de tout le monde.
Windows Hello offre plusieurs avantages majeurs. Tout d’abord, associé à Microsoft Passport, il résout efficacement les problèmes de vol et de partage des informations d’identification. Dans la mesure où une personne malveillante doit disposer à la fois de l’appareil et de la biométrique choisie, difficile de le faire à l’insu de l’utilisateur. Ensuite, l’utilisation de la biométrique implique que les utilisateurs bénéficient d’un outil d’authentification simple qui les accompagne en permanence : aucun risque d’oubli ou de perte. Au lieu de mémoriser des mots de passe longs et complexes, les utilisateurs bénéficient d’une méthode pratique et sécurisée pour se connecter à tous leurs appareils Windows. Enfin, dans de nombreux cas, il suffit simplement de déployer ou de gérer pour utiliser Windows Hello (même si Microsoft Passport peut nécessiter un déploiement supplémentaire, tel que décrit plus loin dans ce guide). Le support de Windows Hello est directement intégré au système d’exploitation, et les utilisateurs ou les entreprises peuvent ajouter des appareils biométriques compatibles pour proposer une reconnaissance des mouvements biométriques, que ce soit dans le cadre d’un déploiement coordonné ou lorsque chaque utilisateur ou groupe décide d’ajouter les capteurs nécessaires. Windows Hello fait partie de Windows, aucun déploiement supplémentaire n’est donc nécessaire pour commencer à l’utiliser.
Qu’est-ce que Microsoft Passport ?
Windows Hello offre à un appareil une méthode fiable de reconnaissance d’un utilisateur et traite la première partie du chemin d’accès entre un utilisateur et un service ou un élément de données demandé. Lorsque l’appareil a reconnu l’utilisateur, il doit toujours toutefois l’authentifier avant de décider s’il accorde l’accès à une ressource demandée. Microsoft Passport propose une authentification 2FA forte, entièrement intégrée à Windows, qui remplace les mots de passe réutilisables par la combinaison d’un appareil spécifique et d’un Hello ou d’un code PIN. Microsoft Passport n’est toutefois pas un simple remplacement des systèmes 2FA traditionnels. Sa conception est similaire aux cartes à puce : l’authentification est effectuée à l’aide de primitives cryptographiques plutôt que des comparaisons de chaînes, et le document de clé de l’utilisateur est protégé à l’intérieur d’un matériel inviolable. Microsoft Passport ne nécessite pas non plus des composants d’infrastructure supplémentaires nécessaires au déploiement de cartes à puce. Plus particulièrement, vous n’avez pas besoin d’une infrastructure à clé publique (PKI) si vous n’en avez pas déjà une. Microsoft Passport offre le principal avantage des cartes à puce (flexibilité de déploiement pour les cartes à puce et sécurité fiable pour les cartes à puce physiques), sans aucun de leurs inconvénients.
Microsoft Passport propose quatre avantages significatifs par rapport à l’authentification Windows actuelle : il est plus flexible, il est basé sur les normes du secteur, il réduit les risques efficacement et il est prêt pour l’entreprise. Examinons chacun de ces avantages plus en détail.
Flexibilité
Microsoft Passport offre une flexibilité inédite. Bien que le format et l’utilisation des mots de passe réutilisables soient fixes, Microsoft Passport propose aux administrateurs et aux utilisateurs plusieurs choix pour gérer l’authentification. Tout d’abord et surtout, Microsoft Passport fonctionne avec les identificateurs biométriques et codes PIN de sorte que les informations d’identification des utilisateurs sont protégées sur les appareils ne prenant pas en charge la biométrique. Les utilisateurs peuvent même utiliser leur téléphone pour libérer leurs informations d’identification au lieu d’un code PIN ou d’un mouvement biométrique sur l’appareil principal. Microsoft Passport tire profit en toute transparence du matériel des appareils utilisés. Lorsque les utilisateurs passent à des appareils plus récents, Microsoft Passport est prêt à les utiliser et les organisations peuvent mettre à jour des appareils existants en ajoutant des capteurs biométriques si nécessaire.
Microsoft Passport offre également une touche de flexibilité dans le centre de données. Pour le déployer, vous devez ajouter dans certains modes des contrôleurs de domaine Windows Server 2016 Technical Preview à votre environnement Active Directory, mais il est inutile de remplacer ou supprimer vos serveurs Active Directory : les serveurs requis pour Microsoft Passport s’appuient sur votre infrastructure et la développent. Vous n’avez pas besoin de modifier le niveau fonctionnel du domaine ou de la forêt, et vous pouvez ajouter des serveurs locaux ou utiliser Microsoft Azure Active Directory pour déployer Microsoft Passport sur votre réseau. Le choix des utilisateurs pour lesquels vous devez autoriser l’utilisation de Microsoft Passport vous appartient : déterminez les stratégies et les appareils à prendre en charge et les facteurs d’authentification auxquels les utilisateurs doivent avoir accès. Cela facilite l’utilisation de Microsoft Passport en complément des déploiements de carte à puce ou de jeton existants, en proposant la protection des informations d’identification forte aux utilisateurs qui n’en bénéficient pas, ou pour déployer Microsoft Passport en vue de renforcer la protection des systèmes ou ressources sensibles (décrit dans la section Concevoir un déploiement Microsoft Passport).
Standardisation
Les éditeurs de logiciels et les clients d’entreprise ont réalisé que ces systèmes d’identité et d’authentification propriétaires sont une impasse. L’avenir repose sur des systèmes ouverts interopérables qui permettent une authentification sécurisée sur une grande variété d’appareils, d’applications métier et externes, et de sites Web. Pour cela, un groupe d’acteurs du secteur a créé la FIDO (Fast IDentity Online Alliance), une organisation à but non lucratif, dont la mission consisté à gérer l’absence d’interopérabilité entre les appareils à authentification forte, ainsi que les problèmes que rencontrent les utilisateurs lorsqu’ils doivent créer et mémoriser noms d’utilisateur et mots de passe. La FIDO Alliance prévoit de modifier le mode d’authentification en développant des spécifications qui définissent un panel de mécanismes ouverts, évolutifs et interopérables, destinés à supplanter les mots de passe pour authentifier les utilisateurs des services en ligne de manière sécurisée. Ce nouveau standard pour les appareils de sécurité et les plug-ins de navigateur permettra aux sites Web et aux applications Cloud de communiquer avec un large panel d’appareils FIDO actuels et futurs en toute sécurité. Pour plus d’informations, voir le site Web de la FIDO Alliance.
En 2013, Microsoft rejoint la FIDO Alliance. Les standards FIDO permettent à un écosystème global de mettre en place une infrastructure universelle proposant une expérience utilisateur cohérente et considérablement améliorée de l’authentification forte sans mot de passe. Les spécifications FIDO 1.0 publiées en décembre 2014 fournissent deux types d’authentification : sans mot de passe (appelé Universal Authentication Framework [UAF]) et 2nd Factor (U2F). La FIDO Alliance travaille actuellement sur un ensemble de propositions 2.0 pour combiner le meilleur des normes U2F et UAF FIDO 1.0. Microsoft contribue activement aux propositions et Windows 10 est une mise en œuvre de référence de ces concepts. Outre la prise en charge de ces protocoles, la mise en œuvre Windows couvre d’autres aspects encore de l’expérience de bout en bout non couverte par la spécification, notamment l’interface utilisateur, le stockage et la protection des clés des appareils des utilisateurs et des jetons générés après l’authentification ; la prise en charge de stratégies d’administration et la fourniture d’outils de déploiement. Microsoft prévoit de continuer à travailler avec la FIDO Alliance à mesure que la spécification FIDO 2.0 évolue. L’interopérabilité des produits FIDO est une caractéristique de l’authentification FIDO. Microsoft pense que la mise sur le marché d’une solution FIDO répondra à un besoin fondamental des entreprises et des particuliers.
Efficacité
Microsoft Passport réduit efficacement deux risques majeurs pour la sécurité. En supprimant tout d’abord l’utilisation de mots de passe réutilisables pour l’ouverture de session, il réduit le risque que les informations d’identification d’un utilisateur soient copiées ou réutilisées. Sur les appareils prenant en charge la norme de module de plateforme sécurisée (TPM), le document de clé utilisateur peut être stocké dans le module de plateforme sécurisée (TPM) de l’appareil de l’utilisateur, rendant ainsi plus difficile pour une personne malveillante de capturer et de réutiliser le document de clé. Pour les appareils sans module de plateforme sécurisée (TPM), Microsoft Passport peut chiffrer et stocker des données d’informations d’identification dans le logiciel, mais les administrateurs peuvent désactiver cette fonctionnalité pour forcer un déploiement « module de plateforme sécurisée (TPM) ou rien ».
Ensuite, dans la mesure où Microsoft Passport ne dépend d’un serveur centralisé unique, le risque de compromis dû à une faille de ce serveur est supprimé. Même si une personne malveillante pourrait théoriquement compromettre un appareil, il n’existe pas de point d’attaque qu’un intrus peut exploiter pour accéder à l’environnement.
Prêt pour l’entreprise
Chaque édition de Windows 10 inclut la fonctionnalité Microsoft Passport pour une utilisation individuelle ; les utilisateurs d’entreprise et personnels peuvent tirer profit de Microsoft Passport pour protéger leurs informations d’identification individuelles avec des applications et services compatibles. De plus, les entreprises dont les utilisateurs exécutent Windows 10 Professionnel et Windows 10 Entreprise peuvent utiliser la version professionnelle de Microsoft Passport, une version améliorée de Microsoft Passport qui inclut la possibilité de gérer de manière centralisée les paramètres de Microsoft Passport de force du code PIN et de biométrique par le biais d’objets de stratégie de groupe (GPO).
Fonctionnement de Microsoft Passport
Pour utiliser Microsoft Passport pour se connecter à un fournisseur d’identités (IDP), un utilisateur a besoin d’un appareil configuré, ce qui signifie que le cycle de vie de Microsoft Passport démarre lorsque vous configurez un appareil pour une utilisation de Microsoft Passport. Lorsque l’appareil est configuré, son utilisateur peut l’utiliser pour s’authentifier auprès de services. Dans cette section, nous allons étudier le fonctionnement de l’inscription de l’appareil, ce qu’il se passe lorsqu’un utilisateur demande une authentification, comment un document de clé est stocké et traité, ainsi que les serveurs et composants d’infrastructure impliqués dans les différentes parties de ce processus.
Inscrire un nouvel utilisateur ou appareil
Un objectif de Microsoft Passport vise à permettre à l’utilisateur d’ouvrir un tout nouvel appareil, de rejoindre un réseau organisationnel en toute sécurité pour télécharger et gérer des données organisationnelles, et de créer un nouveau mouvement Hello pour sécuriser l’appareil. Microsoft appelle « inscription » le processus de configuration d’un appareil à utiliser avec Microsoft Passport.
Remarque
Il se distingue de la configuration organisationnelle nécessaire pour utiliser Microsoft Passport avec Active Directory ou Azure AD ; cette configuration est abordée plus loin dans ce guide. Cette configuration doit être effectuée avant que les utilisateurs commencent à s’inscrire.
Le processus d’inscription se déroule comme suit :
L’utilisateur configure un compte sur l’appareil.
Ce compte peut être un compte local sur l’appareil, un compte de domaine stocké dans le domaine Active Directory sur site, un compte Microsoft ou un compte Azure AD. Pour un nouvel appareil, cette étape peut être aussi simple que l’ouverture d’une session avec un compte Microsoft. L’ouverture de session avec un compte Microsoft sur un appareil Windows 10 configure automatiquement Microsoft Passport sur l’appareil ; les utilisateurs n’ont rien d’autre à faire pour l’activer.
Pour ouvrir une session avec ce compte, l’utilisateur doit entrer les informations d’identification associées à celui-ci.
L’IDP « propriétaire » du compte reçoit les informations d’identification et authentifie l’utilisateur. Cette authentification IDP peut inclure l’utilisation d’un second facteur d’authentification existant, ou une preuve. Par exemple, un utilisateur qui inscrit un nouvel appareil en utilisant un compte Azure AD devra fournir une preuve basée sur SMS envoyée par Azure AD.
Lorsque l’utilisateur fournit la preuve à l’IDP, il active l’authentification par code PIN (Figure 1).
Le code PIN sera associé à ces informations d’identification.
.png "Figure 1")
Figure 1. Configuration d’un code PIN dans l’élément Paramètres du compte du Panneau de configuration
Lorsque l’utilisateur définit le code PIN, il peut être utilisé immédiatement (Figure 2).
.png "Figure 2")
Figure 2. Une fois défini, le code PIN est immédiatement utilisable
N’oubliez pas que Microsoft Passport dépend du couplage d’un appareil et d’informations d’identification. Le code PIN choisi est donc associé à la combinaison du compte actif et de cet appareil spécifique uniquement. Le code PIN doit être conforme à la stratégie de longueur et de complexité configurée par l’administrateur du compte ; cette stratégie est appliquée à l’appareil. Les autres scénarios d’inscription pris en charge par Microsoft Passport sont les suivants :
Un utilisateur qui met à niveau à partir du système d’exploitation Windows 8.1 ouvrira une session avec son mot de passe d’entreprise. L’authentification à plusieurs facteurs est déclenchée côté IDP. Après la réception et le renvoi d’une preuve, un SMS ou un code vocal par exemple, l’IDP authentifie l’utilisateur sur l’appareil Windows 10 mis à niveau, et l’utilisateur peut définir son code PIN.
Un utilisateur qui utilise généralement une carte à puce pour ouvrir une session sera invité à configurer un code PIN lors de sa première connexion à un appareil Windows 10 sur lequel il n’a pas encore ouvert de session.
Un utilisateur qui utilise généralement une carte à puce virtuelle pour ouvrir une session sera invité à configurer un code PIN lors de sa première connexion à un appareil Windows 10 sur lequel il n’a pas encore ouvert de session.
Lorsque l’utilisateur a terminé ce processus, Microsoft Passport génère une nouvelle paire de clés publique/privée sur l’appareil. Le module de plateforme sécurisée (TPM) génère et stocke cette clé privée. Si l’appareil n’inclut pas de module de plateforme sécurisée, la clé privée est chiffrée et stockée dans le logiciel. Cette clé d’origine est appelée la clé de protecteur. Elle n’est associée qu’à un seul mouvement. En d’autres termes, si un utilisateur inscrit un code PIN, une empreinte digitale et un visage sur le même appareil, chacun de ces mouvements aura une clé de protecteur unique. La clé de protecteur inclut en toute sécurité la clé d’authentification d’un conteneur spécifique. Chaque conteneur ne dispose que d’une seule clé d’authentification, mais plusieurs copies de cette clé il peut y avoir plusieurs copies de cette clé enveloppée avec différentes clés de protecteur uniques sont possibles (chacune étant associée à un mouvement unique). Microsoft Passport génère également une clé d’administration que l’utilisateur ou l’administrateur peut utiliser pour réinitialiser des informations d’identification, si nécessaire. En plus de la clé de protecteur, les appareils avec un module de plateforme sécurisée (TPM) génèrent un bloc de données contenant des attestations du module de plateforme sécurisée.
À ce stade, l’utilisateur dispose d’un code PIN défini sur l’appareil et d’une clé de protecteur pour celui-ci. Cela signifie qu’il peut ouvrir une session sécurisée sur l’appareil avec le code PIN, et donc établir une session approuvée avec l’appareil pour ajouter la prise en charge d’un mouvement biométrique alternatif au code PIN. Lorsque vous ajoutez un mouvement biométrique, il suit la même séquence de base : l’utilisateur s’authentifie au système à l’aide de son code PIN, puis inscrit la nouvelle biométrique (« sourire à l’appareil photo ! »), après quoi Windows génère paire de clés unique et la stocke en toute sécurité. Les ouvertures de session futures peuvent alors utiliser le code PIN ou les mouvements biométriques inscrits.
Qu’est-ce qu’un conteneur ?
Le terme conteneur est souvent utilisé dans les solutions de gestion des appareils mobiles (GPM). Microsoft Passport l’utilise également, mais de manière légèrement différente. Un conteneur dans ce contexte représente le raccourci d’un regroupement logique de document ou données de clé. Windows 10 prend en charge deux conteneurs : le conteneur par défaut contient le document de clé utilisateur des comptes personnels, notamment le document de clé associé au compte Microsoft de l’utilisateur ou d’autres fournisseurs d’identités grand public, et le conteneur d’entreprise contient les informations d’identification associées à un compte professionnel ou scolaire.
Le conteneur d’entreprise n’existe que sur les appareils inscrits avec une organisation ; il contient le document de clé de l’IDP d’entreprise, Active Directory ou Azure AD sur site par exemple. Le conteneur d’entreprise contient uniquement les données de clé pour Active Directory ou Azure AD. Si le conteneur d’entreprise est présent sur un appareil, il est déverrouillé séparément du conteneur par défaut, distinguant ainsi les données et l’accès aux informations d’identification personnelles et d’entreprise et aux services. Par exemple, un utilisateur qui utilise un mouvement biométrique pour ouvrir une session sur un ordinateur géré peut déverrouiller séparément son conteneur personnel en entrant un code PIN lors de la connexion pour effectuer un achat sur un site Web.
Ces conteneurs sont séparés de manière logique. Les organisations n’ont aucun contrôle sur les informations d’identification que les utilisateurs stockent dans le conteneur par défaut, et les applications qui s’authentifient auprès de services dans le conteneur par défaut ne peuvent pas utiliser les informations d’identification du conteneur d’entreprise. Toutefois, chaque application Windows peut utiliser les interfaces de programmation d’application (API) de Microsoft Passport pour demander un accès aux informations d’identification en fonction des besoins, les applications grand public et métier peuvent donc être améliorées pour tirer profit de Microsoft Passport.
N’oubliez pas qu’il n’existe aucun conteneur physique sur le disque, dans le Registre ou tout autre emplacement. Les conteneurs sont des unités logiques utilisées pour regrouper des éléments associés. Les magasins de clés, de certificats et d’informations d’identification Microsoft Passport sont protégés sans recourir à la création de conteneurs ou de dossiers réels.
Chaque conteneur contienne en fait un ensemble de clés, dont certaines sont utilisées pour protéger d’autres clés. La figure 3 montre un exemple : la clé de protecteur est utilisée pour chiffrer la clé d’authentification, et cette dernière est utilisée pour chiffrer les clés individuelles stockées dans le conteneur.
.png "Figure 3")
Figure 3. Chaque conteneur logique conserve un ou plusieurs ensembles de clés
Les conteneurs peuvent contenir plusieurs types de documents de clé :
Une clé d’authentification, qui est toujours une paire de clés publique/privée asymétrique. Cette paire de clés est générée au moment de l’inscription. Elle doit être déverrouillée à chaque accès, à l’aide du code PIN de l’utilisateur ou d’un mouvement biométrique préalablement généré. La clé d’authentification existe jusqu’à ce que l’utilisateur réinitialise le code PIN, auquel cas une nouvelle clé est générée. Lorsque la nouvelle clé est générée, tous les documents de clé protégés par l’ancienne clé doivent être déchiffrés puis chiffrés à nouveau avec la nouvelle clé.
Des clés de carte à puce virtuelle sont générées lorsqu’une carte à puce virtuelle est générée et stockée en toute sécurité dans le conteneur. Elles sont disponibles lorsque le conteneur de l’utilisateur est déverrouillé.
Des clés et certificats Secure/Multipurpose Internet Mail Extensions (S/MIME), qui sont générés par une autorité de certification (AC). Les clés associées au certificat S/MIME de l’utilisateur peuvent être stockées dans un conteneur Microsoft Passport afin d’être accessibles à l’utilisateur chaque fois que le conteneur est déverrouillé.
La clé IDP. Ces clés peuvent être symétriques ou asymétriques, selon l’IDP que vous utilisez. Un conteneur peut contenir zéro ou plusieurs clés IDP avec certaines restrictions (le conteneur d’entreprise peut contenir zéro ou une clé IDP par exemple). Les clés IDP sont stockées dans le conteneur comme illustré dans la figure 3. Pour la version professionnelle de Microsoft Passport basée sur un certificat, lorsque le conteneur est déverrouillé, les applications devant accéder à la clé IDP ou à une paire de clés peuvent en demander l’accès. Les clés IDP sont utilisées pour signer ou chiffrer des demandes d’authentification ou des jetons envoyés par cette machine à l’IDP. Les clés IDP ont généralement une durée de vie longue, qui peut cependant être plus courte que celle de la clé d’authentification.
Les comptes Microsoft, les comptes Active Directory et les comptes Azure AD ont tous besoin de paires de clés asymétriques. L’appareil génère des clés publique et privée, inscrit la clé publique auprès de l’IDP (qui la stocke pour vérification ultérieure) et stocke la clé privée de manière sécurisée. Pour les entreprises, les clés IDP peuvent être générées de deux manières :
La paire de clés IDP peut être associée à une autorité de certification d’entreprise via le Service d’inscription de périphérique réseau (NDES), décrit plus en détail dans Recommandations relatives au Service d’inscription de périphérique réseau. Dans ce cas, Microsoft Passport demande un nouveau certificat avec la même clé que celui de l’infrastructure à clé publique (PKI) existante. Cette option vous permet aux organisations disposant déjà d’une infrastructure à clé publique (PKI) de continuer à l’utiliser si nécessaire. Étant donné que de nombreuses applications, les systèmes réseau privé virtuel courants par exemple, doivent utiliser des certificats, lorsque vous déployez Microsoft Passport dans ce mode, vous obtenez une transition plus rapide des mots de passe utilisateur tout en préservant les fonctionnalités basées sur le certificat. Cette option permet également à l’entreprise de stocker d’autres certificats dans le conteneur protégé.
L’IDP peut générer directement la paire de clés IDP, permettant ainsi un déploiement rapide et à surcharge réduite de Microsoft Passport dans les environnements où vous n’avez pas ou n’avez pas besoin d’une infrastructure à clé publique (PKI).
La protection des clés
Chaque fois qu’un document de clé est généré, il doit être protégé contre les attaques. La meilleure façon de procéder consiste à utiliser un matériel dédié. Depuis longtemps, les modules de sécurité matériels (HSM) sont utilisés pour générer, stocker et traiter les clés des applications de sécurité critiques. Les cartes à puce constituent un type spécial de HSM, comme les appareils compatibles avec la norme TPM de Trusted Computing Group. Dans la mesure du possible, la mise en œuvre de la version professionnelle de Microsoft Passport tire profit du module de plateforme sécurisée (TPM) matériel intégré pour générer, stocker et traiter les clés. Microsoft Passport et la version professionnelle de Microsoft Passport n’ont pas nécessairement besoin d’un module de plateforme sécurisée (TPM) intégré. Les administrateurs peuvent choisir d’autoriser des opérations de clé dans le logiciel, auquel cas tout utilisateur disposant (ou pouvant recevoir) des droits d’administration sur l’ordinateur peut utiliser les clés IDP pour signer des demandes. Dans certains scénarios, les appareils ne disposant pas d’un module de plateforme sécurisée (TPM) peuvent également être authentifiés à distance à l’aide d’un appareil en ayant un, auquel cas toutes les opérations sensibles sont exécutées avec le module de plateforme sécurisée et aucun document de clé n’est exposé.
Si possible, Microsoft vous recommande d’utiliser un module de plateforme sécurisée matériel. Le module de plateforme sécurisée (TPM) protège contre diverses attaques connues et potentielles, notamment les attaques de force brute du code PIN. Le module de plateforme sécurisée (TPM) offre également une couche de protection supplémentaire après le verrouillage du compte. Lorsque le module de plateforme sécurisée (TPM) a verrouillé le document de clé, l’utilisateur devra réinitialiser le code PIN (ce qui signifie qu’il devra utiliser l’authentification à plusieurs facteurs pour s’authentifier à nouveau après de l’IDP pour que l’IDP l’autorise à s’inscrire à nouveau). La réinitialisation du code PIN suppose que toutes les clés et tous les certificats chiffrés avec l’ancien document de clé seront supprimés.
Authentification
Lorsqu’un utilisateur souhaite accéder à un document de clé protégé (pour utiliser un site Internet demandant une ouverture de session ou pour accéder aux ressources protégées d’un intranet d’entreprise par exemple), le processus d’authentification commence lorsque l’utilisateur entre un code PIN ou un mouvement biométrique pour déverrouiller l’appareil, un processus appelé parfois libération de la clé. Imaginez que vous utilisez une clé physique pour déverrouiller une porte : avant de pouvoir la déverrouiller, vous devez sortir la clé dans votre poche ou sac. Sur un appareil personnel connecté à un réseau organisationnel, les utilisateurs utilisent leur code PIN ou biométrique pour libérer la clé. Sur un appareil associé à un domaine sur site ou Azure AD, il utilisera le code PIN organisationnel.
Ce processus déverrouille la clé de protecteur du conteneur principal sur l’appareil. Lorsque ce conteneur est déverrouillé, les applications (et donc l’utilisateur) peuvent utiliser toutes les clés IDP du conteneur.
Ces clés sont utilisées pour signer les demandes d’accès à des ressources spécifiées envoyées à l’IDP. Notez bien que même si les clés sont déverrouillées, les applications ne peuvent pas les utiliser comme bon leur semble. Les applications peuvent utiliser des API spécifiques pour demander des opérations dont certaines actions nécessitent un document de clé (pour déchiffrer un courrier électronique ou pour se connecter à un site Web par exemple). L’accès via ces API n’implique pas une validation explicite à l’aide d’un mouvement de l’utilisateur, et le document de clé n’est pas exposé à l’application à l’origine de la demande. L’application demande plutôt une authentification, un chiffrement ou un déchiffrement, et Microsoft Passport traite la tâche réelle et renvoie les résultats. Le cas échéant, une application peut demander une authentification forcée, et ce même sur un appareil déverrouillé. Windows invite l’utilisateur à entrer à nouveau le code PIN ou à effectuer un mouvement d’authentification, ajoutant ainsi un niveau de protection supplémentaire des données ou actions sensibles. Par exemple, vous pouvez configurer le Windows Store pour demander une nouvelle authentification chaque fois qu’un utilisateur achète une application, même si les mêmes compte et code PIN ou mouvement ont été déjà utilisés pour déverrouiller l’appareil.
Le processus d’authentification réel se déroule comme suit :
Le client envoie une demande d’authentification vide à l’IDP. (Essentiellement pour le processus d’établissement de liaison).
L’IDP renvoie un défi, appelé une valeur à usage unique.
L’appareil se connecte à la valeur à usage unique avec la clé privée appropriée.
L’appareil renvoie la valeur à usage unique d’origine, la valeur à usage unique signée et l’ID de la clé utilisée pour signer la valeur à usage unique.
L’IDP récupère la clé publique spécifiée par l’ID de clé, l’utilise pour vérifier la signature de la valeur à usage unique, et vérifie que la valeur à usage unique renvoyée par l’appareil correspond à la valeur d’origine.
Si toutes les vérifications de l’étape 5 réussissent, l’IDP renvoie deux éléments de données : une clé symétrique, qui est chiffrée avec la clé publique de l’appareil, et un jeton de sécurité, qui est chiffré avec la clé symétrique.
L’appareil utilise sa clé privée pour déchiffrer la clé symétrique, puis utilise cette clé symétrique pour déchiffrer le jeton.
L’appareil procède à une demande d’authentification normale pour la ressource d’origine, en présentant le jeton de l’IDP comme preuve d’authentification.
Lorsque l’IDP valide la signature, il vérifie que la demande provient bien de l’utilisateur et de l’appareil spécifiés. La clé privée spécifique à l’appareil signe la valeur à usage unique, permettant ainsi à l’IDP de déterminer l’identité de l’utilisateur à l’origine de la demande afin de pouvoir appliquer des stratégies d’accès au contenu basées sur l’utilisateur, le type d’appareil, ou les deux. Par exemple, un IDP pourrait autoriser l’accès à un ensemble de ressources à partir d’appareils mobiles uniquement et un ensemble différent à partir d’appareils de bureau.
Le déverrouillage à distance, qui est planifié dans une version future de Windows 10, s’appuie sur ces scénarios en activant une authentification à distance transparente à partir d’un appareil mobile en tant que second facteur. Par exemple, imaginons que vous vous rendez dans un autre bureau de votre entreprise et que vous devez utiliser provisoirement un ordinateur, mais que vous ne voulez pas exposer vos informations d’identification à une éventuelle capture. Plutôt que d’entrer vos informations d’identification, vous pouvez cliquer sur autre utilisateur dans l’écran d’ouverture de session de Windows 10, entrer votre nom d’utilisateur, choisir la vignette de l’authentification à distance, et utiliser une application sur votre téléphone, vous avez déjà déverrouillée à l’aide de ses capteurs de reconnaissance faciale intégrés. Le téléphone et l’ordinateur sont couplés et une liaison est établie via Bluetooth, vous entrez votre code PIN d’authentification sur le téléphone, et l’ordinateur obtient la confirmation de votre identité de l’IDP. Tout ceci est possible sans entrer de mot de passe ou votre code PIN sur l’ordinateur.
L’infrastructure
Microsoft Passport varie en fonction des IDP compatibles mis à sa disposition. À ce jour, cela signifie que vous disposez de quatre possibilités de déploiement :
Utilisez une infrastructure à clé publique (PKI) Windows existante ciblée sur les Services de certificats Active Directory. Cette option nécessite une infrastructure supplémentaire, notamment un moyen de génération de certificats sur les appareils. Vous pouvez utiliser NDES pour inscrire directement des appareils, Microsoft System Center Configuration Manager Technical Preview ou une version ultérieure pour les environnements sur site, ou Microsoft Intune (si disponible) pour gérer la participation d’un appareil mobile à Microsoft Passport.
Vous pouvez configurer des contrôleurs de domaine Windows Server 2016 Technical Preview en tant qu’IDP pour Microsoft Passport. Dans ce mode, les contrôleurs de domaine Windows Server 2016 Technical Preview servent d’IDP avec n’importe contrôleur de domaine Windows Server 2008 R2 ou version ultérieure. Il n’est pas nécessaire de remplacer tous les contrôleurs de domaine existants, il vous suffit d’introduire au moins un contrôleur de domaine Windows Server 2016 Technical Preview par site Active Directory et de mettre à jour le schéma des services de domaine Active Directory (AD DS) de la forêt vers Windows Server 2016 Technical Preview.
Le mécanisme de détection classique utilisé par les clients pour rechercher des contrôleurs de domaine et des catalogues globaux repose sur des enregistrements SRV de système de nom de domaine (DNS), mais ces enregistrements ne contiennent pas de données de version. Les ordinateurs Windows 10 rechercheront des enregistrements SRV dans le DNS afin de trouver tous les serveurs Active Directory disponibles, puis rechercheront sur chaque serveur pour identifier ceux pouvant servir d’IDP Microsoft Passport. Le nombre de demandes d’authentification générées par vos utilisateurs, où qu’ils se trouvent, et la conception de votre réseau déterminent le nombre de contrôleurs de domaine Windows Server 2016 Technical Preview nécessaires.
Azure AD peut servir d’IDP par lui-même ou avec une forêt AD DS sur site. Les organisations qui utilisent Azure AD peuvent inscrire directement des appareils sans les associer à un domaine local à l’aide des fonctionnalités fournies par le service d’inscription d’appareil Azure AD.
Outre l’IDP, Microsoft Passport a besoin d’un système GPM. Ce système peut être Intune sur cloud si vous utilisez Azure AD, ou un déploiement de System Center Configuration Manager sur site conforme à la configuration système requise décrite dans la section Configuration requise du déploiement de ce document.
Concevoir le déploiement d’une version professionnelle de Microsoft Passport
La version professionnelle de Microsoft Passport est conçue pour être intégrée à votre infrastructure d’annuaire existante et future et aux déploiements d’appareils, mais cette flexibilité implique la prise en compte de nombreux facteurs lors de la conception du déploiement. Certaines de ces décisions sont techniques, alors que d’autres organisationnelles, voire politiques. Dans cette section, nous abordons les points essentiels sur lesquels vous devez prendre des décisions quant à la mise en œuvre de la version professionnelle de Microsoft Passport. N’oubliez pas chaque appareil peut utiliser une version différente de Microsoft Passport sans aucune modification de l’infrastructure de votre part. La version professionnelle de Microsoft Passport vous permet de contrôler et de gérer de manière centralisée l’authentification de l’utilisateur et l’inscription de l’appareil. Pour utiliser la version professionnelle de Microsoft Passport initiale, chaque appareil doit disposer d’une identité Azure AD afin que l’inscription automatique des appareils permette à la fois d’inscrire de nouveaux appareils et d’appliquer des stratégies facultatives de gestion de la version professionnelle de Microsoft Passport.
Une stratégie de déploiement
Diverses organisations utiliseront des approches différentes de déploiement de Microsoft Passport en fonction de leurs possibilités et besoins, mais une seule et même stratégie s’applique : déployer la version professionnelle de Microsoft Passport sur l’ensemble de l’entreprise pour obtenir une protection optimale pour un nombre maximum d’appareils et de ressources. Les organisations ont le choix entre les trois approches suivantes pour parvenir à cet objectif :
Déployer la version professionnelle de Microsoft Passport partout en fonction de la stratégie de déploiement d’appareil ou d’utilisateur la mieux adaptée à l’organisation.
Déployer tout d’abord la version professionnelle de Microsoft Passport sur des cibles à valeur ou à risque élevé à l’aide de stratégies d’accès conditionnel afin de limiter l’accès aux ressources essentielles aux utilisateurs disposant d’informations d’identification forte uniquement.
Fusionner la version professionnelle de Microsoft Passport avec un environnement à plusieurs facteurs existant, et l’utiliser comme un formulaire d’authentification forte supplémentaire en plus de cartes à puce physiques ou virtuelles.
Déployer partout la version professionnelle de Microsoft Passport
Dans cette approche, vous déployez Microsoft Passport sur l’ensemble de l’organisation dans le cadre d’un déploiement coordonné. D’une certaine manière, cette méthode est similaire à n’importe quel autre projet de déploiement de bureau. La seule différence réside dans le fait que l’infrastructure Microsoft Passport doit déjà être en place pour prendre en charge l’inscription de l’appareil avant d’utiliser Microsoft Passport sur des appareils Windows 10.
Remarque
Vous pouvez toujours mettre à niveau vers Windows 10 ou ajouter de nouveaux appareils Windows 10 sans modifier votre infrastructure. Vous ne pouvez tout simplement pas utiliser la version professionnelle de Microsoft Passport sur un appareil tant qu’il n’est pas associé à Azure AD et qu’il n’a pas reçu la stratégie appropriée.
Le principal avantage de cette approche est qu’elle offre une protection uniforme à toutes les composantes de l’organisation. Les personnes malveillantes chevronnées ont montré leur capacité à pirater de grandes organisations en identifiant les points faibles de leur sécurité, notamment les utilisateurs et les systèmes ne disposant pas d’informations essentielles, mais qui peuvent être exploités pour en obtenir. L’application d’une protection cohérente à chaque appareil qu’une personne malveillante pourrait utiliser pour accéder aux données de l’entreprise constitue une excellente solution contre ces types d’attaques.
L’inconvénient de cette approche est sa complexité. Les petites entreprises peuvent penser que la gestion du déploiement d’un nouveau système d’exploitation sur tous les appareils est au-delà de leurs compétences. Dans ces organisations, chaque utilisateur peut procéder à la mise à niveau et les nouveaux utilisateurs peuvent disposer de Windows 10 dans la mesure où ils disposent des nouveaux appareils. Les organisations plus importantes, notamment celles fortement décentralisées ou dont les opérations sont réparties sur de nombreux sites, peuvent disposer de plus de connaissances et de ressources de déploiement, mais doivent relever le défi de la coordination des efforts de déploiement sur une base d’utilisateurs et une répartition géographique plus vaste.
Pour plus d’informations sur le déploiement de Windows 10, visiter le Windows 10 TechCenter.
Un aspect fondamental de cette stratégie de déploiement consiste à fournir Windows 10 aux utilisateurs. Étant donné que les diverses organisations appliquent des stratégies très différentes pour actualiser les matériels et logiciels, il n’existe pas de stratégie universelle. Par exemple, certaines organisations recherchent une stratégie coordonnée qui fournit les nouveaux systèmes d’exploitation de bureau aux utilisateurs tous les 2 à 3 ans sur le matériel existant, en fournissant de nouveaux matériels quand et où cela est nécessaire uniquement. D’autres ont tendance à remplacer le matériel et à déployer la version du système d’exploitation client Windows fournie avec les appareils achetés. Dans les deux cas, les cycles de déploiement des serveurs et systèmes d’exploitation serveur sont généralement distincts, et les cycles bureau et serveur peuvent ou non être coordonnés.
En plus du problème de déploiement de Windows 10 pour les utilisateurs, vous devez considérer comment et quand (ou si) vous déploierez des appareils biométriques pour les utilisateurs. Étant donné que Windows Hello peut tirer profit de plusieurs identificateurs biométriques, vous disposez d’un plus large choix d’options d’appareils, notamment l’achat de nouveaux appareils intégrant la biométrique choisie, en fournissant aux utilisateurs les appareils appropriés, le déploiement d’appareils biométriques dans le cadre d’une actualisation matérielle planifiée et en utilisant des codes PIN jusqu’à ce que les utilisateurs disposent des appareils, ou en s’appuyant sur le déverrouillage à distance comme second facteur d’authentification.
Déployer sur des cibles à valeur ou à risque élevé
Cette stratégie prend en compte le fait que, dans la plupart des réseaux, chaque actif n’est pas nécessairement protégé de la même manière ou n’a pas la même valeur. Il existe deux façons d’aborder ce sujet. Une consiste à vous concentrer sur la protection des utilisateurs et des services particulièrement exposés aux risques en raison de leur valeur. Citons par exemple les bases de données internes sensibles ou les comptes d’utilisateurs de vos principaux dirigeants. L’autre option consiste à vous concentrer sur les zones de votre réseau les plus vulnérables comme les utilisateurs souvent en déplacement (et donc exposés à un risque plus élevé de perte ou de vol de leurs appareils ou de vol de leurs informations d’identification). Dans les deux cas, la stratégie est le même : déployer Microsoft Passport de manière sélective et rapide pour protéger des personnes et ressources spécifiques. Par exemple, vous pourriez fournir de nouveaux appareils Windows 10 avec des capteurs biométriques à tous les utilisateurs qui doivent accéder à une base de données interne sensible, puis déployer sur ces utilisateurs l’infrastructure minimale requise pour prendre en charge l’accès sécurisé de Microsoft Passport à cette base de données.
Une des possibilités de conception fondamentales de la version professionnelle de Microsoft Passport est qu’elle prend en charge les environnements Apportez votre propre appareil (BYOD) en autorisant les utilisateurs à inscrire leur propre appareil auprès de l’IDP organisationnel (que ce soit sur site, hybride ou Azure AD). Vous pouvez l’utiliser pour déployer rapidement Microsoft Passport afin de protéger vos utilisateurs ou actifs les plus vulnérables, en utilisant idéalement la biométrique comme mesure de sécurité supplémentaire pour les cibles les plus importantes.
Fusionner Microsoft Passport et votre infrastructure
Les organisations qui ont déjà investi dans des cartes à puce, des cartes à puce virtuelles ou des systèmes basés sur un jeton, peuvent toujours bénéficier de Microsoft Passport. Parmi ces organisations, un grand nombre utilise des jetons physiques ou des cartes à puce pour protéger les actifs critiques uniquement en raison du coût et la complexité de leur déploiement. Microsoft Passport propose un complément précieux à ces systèmes, car il protège les utilisateurs s’appuyant sur des informations d’identification réutilisables. La protection des informations d’identification de tous les utilisateurs est une étape importante de réduction des attaques qui tentent de s’engouffrer dans les failles des informations d’identification. Cette approche vous apporte également une grande flexibilité dans la planification et le déploiement.
Certaines entreprises ont déployé des cartes à puce à plusieurs usages offrant un contrôle d’accès au bâtiment, un accès aux photocopieuses ou autres équipements de bureau, une valeur stockée pour les frais de restauration, un accès réseau à distance et d’autres services encore. Le déploiement de Microsoft Passport dans ces environnements ne vous empêche de continuer à utiliser des cartes à puce pour ces services. Vous pouvez maintenir l’infrastructure de carte à puce existante pour ces utilisations en place, puis inscrire des appareils de bureau et mobiles dans Microsoft Passport et utiliser Microsoft Passport pour sécuriser l’accès aux ressources réseau et Internet. Cette approche nécessite une infrastructure plus complexe et une plus grande maturité organisationnelle, car vous devez lier infrastructure à clé publique (PKI) existant à un service d’inscription et à Microsoft Passport.
Les cartes à puce peuvent être, d’une autre manière importante, un complément utile à Microsoft Passport : pour démarrer l’ouverture de session initiale en vue de l’inscription de Microsoft Passport. Lorsqu’un utilisateur s’inscrit avec Microsoft Passport sur un appareil, une partie de ce processus d’inscription exige une ouverture de session classique. Plutôt que d’utiliser un mot de passe traditionnel, les organisations ayant déjà déployé l’infrastructure nécessaire aux cartes à puce ou aux cartes à puce virtuelles peuvent autoriser leurs utilisateurs à inscrire de nouveaux appareils en se connectant avec une carte à puce ou une carte à puce virtuelle. Lorsque l’utilisateur a prouvé son identité auprès de l’IDP organisationnel avec la carte à puce, il peut configurer un code PIN et continuer à utiliser Microsoft Passport pour les ouvertures de session suivantes.
Choisir une méthode de déploiement
La méthode de déploiement que vous choisissez dépend de plusieurs facteurs :
Le nombre d’appareils que vous devez déployer. Ce nombre a un impact considérable sur votre déploiement global. Un déploiement global de 75 000 utilisateurs présente des exigences différentes de celles d’un déploiement progressif de groupes de 200 à 300 utilisateurs dans des villes différentes.
La rapidité avec laquelle vous voulez déployer la protection de la version professionnelle de Microsoft Passport. Elle représente un compromis classique entre coût et avantage. Vous devez trouver un équilibre entre les avantages de sécurité de la version professionnelle de Microsoft Passport et le coût et le temps nécessaire au déploiement à grande échelle. Diverses organisations peuvent prendre des décisions complètement différentes en fonction de la manière selon laquelle elles évaluent les coûts et les avantages impliqués. Se doter de la couverture Microsoft Passport la plus large possible sur la période de temps le plus court possible optimise les avantages de sécurité.
Le type d’appareils que vous voulez déployer. Les fabricants d’appareils Windows introduisent sans cesse de nouveaux appareils optimisés pour Windows 10, ce qui signifie que vous pouvez tout d’abord déployer Microsoft Passport sur les derniers appareils portables et tablettes achetés, puis le déployer sur les appareils de bureau dans le cadre de votre cycle d’actualisation normal.
Ce à quoi ressemble votre infrastructure d’actuelle. Chaque version de Microsoft Passport n’implique pas nécessairement de modifier votre environnement Active Directory, mais pour prendre en charge la version professionnelle de Microsoft Passport, vous aurez peut-être besoin d’un système GPM compatible. En fonction de la taille et de la composition de votre réseau, le déploiement de service d’inscription et de gestion des appareils mobiles peut être en lui-même un projet majeur.
Vos plans pour le cloud. Si vous prévoyez déjà de passer au cloud, Azure AD facilite le processus de déploiement de la version professionnelle de Microsoft Passport, car vous pouvez utiliser Azure AD en tant qu’IDP avec votre configuration AD DS sur site sans apporter de changements significatifs à votre environnement sur site. Les versions professionnelles de Microsoft Passport futures permettront d’inscrire simultanément des appareils déjà membres d’un domaine AD DS sur site dans une partition Azure AD afin qu’ils puissent utiliser la version professionnelle de Microsoft Passport à partir du cloud. Les déploiements hybrides qui combinent AD DS et Azure AD vous permettent de conserver la gestion de l’authentification et de la stratégie de l’ordinateur par rapport à votre domaine AD DS local tout en vous proposant l’ensemble complet de services de la version professionnelle de Microsoft Passport (et l’intégration de Microsoft Office 365) à vos utilisateurs. Si vous prévoyez d’utiliser les services AD DS sur site uniquement, la conception et la configuration de votre environnement sur site détermineront le type de modifications que vous devrez apporter.
Configuration requise du déploiement
Le Tableau 1 répertorie les six scénarios de déploiement de la version professionnelle de Microsoft Passport dans l’entreprise. La version initiale de Windows 10 prend en charge les scénarios Azure AD uniquement, la prise en charge de la version professionnelle de Microsoft Passport sur site étant planifiée dans une version ultérieure de 2015 (voir la section Feuille de route pour plus de détails).
En fonction du scénario choisi, le déploiement de la version professionnelle de Microsoft Passport peut nécessiter quatre éléments :
Un IDP organisationnel prenant en charge Microsoft Passport. Il peut s’agir d’Azure AD ou d’un ensemble de contrôleurs de domaine Windows Server 2016 Technical Preview sur site dans une forêt AD DS existante. L’utilisation d’Azure AD implique que vous pouvez définir la gestion des identités hybride, Azure AD servant d’IDP Microsoft Passport et votre environnement AD DS sur site traitant les demandes d’authentification plus anciennes. Cette approche vous apporter toute la flexibilité d’Azure AD ainsi que la possibilité de gérer les comptes d’ordinateurs et les appareils exécutant des versions antérieures de Windows et des applications sur site telles que Microsoft Exchange Server ou Microsoft SharePoint.
Si vous utilisez des certificats, un système GPM est nécessaire pour permettre la gestion des stratégies de Microsoft Passport for Work. Les appareils joints à un domaine dans des déploiements sur site ou hybrides nécessitent Configuration Manager Technical Preview ou ultérieur. Les déploiements avec Azure AD doivent utiliser Intune ou une solution GPM autre que Microsoft compatible.
Les déploiements sur site nécessitent la version à venir des services de fédération Active Directory (AD FS) incluse dans Windows Server 2016 Technical Preview pour prendre en charge l’approvisionnement des informations d’identification Microsoft Passport sur les appareils. Dans ce scénario, AD FS remplace l’approvisionnement exécuté par Azure AD dans les déploiements sur cloud.
Les déploiements de Microsoft Passport basés sur des certificats nécessitent une infrastructure à clé publique (PKI), notamment des autorités de certification accessibles à tous les appareils qui doivent s’inscrire. Si vous déployez Microsoft Passport basé sur un certificat sur site, vous n’avez pas besoin de contrôleurs de domaine Windows Server 2016 Technical Preview. Les déploiements sur site ne doivent pas appliquer le schéma AD DS de Windows Server 2016 Technical Preview et la version Windows Server 2016 Technical Preview d’AD FS est installée.
Tableau 1. Configuration requise du déploiement de Microsoft Passport
| Méthode de Microsoft Passport | Azure AD | Active Directory hybride | Active Directory sur site uniquement |
|---|---|---|---|
| Basé sur les clés | Abonnement Azure AD |
|
Un ou plusieurs contrôleurs de domaine Windows Server 2016 Technical Preview AD FS de Windows Server 2016 Technical Preview |
| Basé sur les certificats | Abonnement Azure AD Infrastructure PKI Intune |
|
Schéma AD DS Windows Server 2016 Technical Preview AD FS de Windows Server 2016 Technical Preview Infrastructure PKI System Center 2012 R2 Configuration Manager avec SP2 ou version ultérieure |
Notez que la version actuelle de Windows 10 prend uniquement en charge les scénarios Azure AD. Microsoft fournit les recommandations proactives du tableau 1 pour aider les organisations à préparer leurs environnements pour les versions futures planifiées de la version professionnelle de Microsoft Passport.
Sélectionner des paramètres de stratégie
Un autre aspect essentiel du déploiement de la version professionnelle de Microsoft Passport implique le choix des paramètres de stratégie à appliquer à l’entreprise. Ce choix se décompose en deux parties : les stratégies que vous déployez pour gérer Microsoft Passport lui-même et les stratégies que vous déployez pour contrôler la gestion et l’inscription des appareils. Le guide complet de sélection des stratégies appropriées n’est pas abordé ici, mais un exemple pouvant être utile réside dans les fonctionnalités de gestion des appareils mobiles dans Microsoft Intune.
Implémenter Microsoft Passport
Aucune configuration n’est nécessaire pour utiliser Windows Hello ou Microsoft Passport sur chaque appareil si l’utilisateur souhaite simplement protéger ses informations d’identification personnelles. À moins que l’entreprise ne désactive la fonctionnalité, les utilisateurs peuvent utiliser Microsoft Passport pour leurs informations d’identification personnelles, même sur des appareils enregistrés auprès d’un IDP organisationnel. Toutefois, si vous mettez à la disposition des utilisateurs une version professionnelle de Microsoft Passport, vous devez ajouter les composants nécessaires à votre infrastructure, comme décrit précédemment dans la section Configuration requise du déploiement.
Comment utiliser Azure AD
Il existe trois scénarios d’utilisation de la version professionnelle de Microsoft Passport dans les organisations avec Azure AD uniquement :
Les organisations qui utilisent la version d’Azure AD fournie avec Office 365. Pour ces organisations, aucun travail supplémentaire n’est nécessaire. Lors de la publication de Windows 10 pour disponibilité générale, Microsoft a modifié le comportement de la pile d’Azure AD Office 365. Lorsqu’un utilisateur décide de rejoindre un réseau d’entreprise ou d’école (Figure 4), l’appareil est automatiquement associé à la partition d’annuaire du client Office 365, un certificat est généré pour l’appareil, et il devient éligible à la GPM Office 365 si le client s’est abonné à cette fonctionnalité. L’utilisateur est également invité à ouvrir une session et, si l’authentification à plusieurs facteurs est activée, à entrer une preuve d’authentification à plusieurs facteur envoyée par Azure AD sur son téléphone.
Les organisations qui utilisent le niveau gratuit d’Azure AD. Pour ces organisations, Microsoft n’a pas activé l’association automatique de domaine à Azure AD. Les organisations abonnées au niveau gratuit peuvent activer ou désactiver cette fonctionnalité, de sorte que l’association automatique de domaine automatique ne sera activée que si les administrateurs de l’organisation décident de l’activer. Lorsque cette fonctionnalité est activée, les appareils qui rejoignent le domaine Azure AD à l’aide de la boîte de dialogue Se connecter au bureau ou à l’école illustrée dans la figure 4 sont automatiquement inscrits à la prise en charge de la version professionnelle de Microsoft Passport. Les appareils préalablement associés ne seront toutefois pas inscrits.
Les organisations abonnées à Azure AD Premium ont accès à l’ensemble complet de fonctionnalités de GPM d’Azure AD. Ces fonctionnalités incluent des commandes de gestion de la version professionnelle de Microsoft Passport. Vous pouvez définir des stratégies pour désactiver ou forcer l’utilisation de la version professionnelle de Microsoft Passport, pour exiger l’utilisation d’un module de plateforme sécurisée (TPM), et pour contrôler la longueur et la force des codes PIN définis sur l’appareil.
.png "Figure 4")
Figure 4 : L’association d’une organisation Office 365 inscrit automatiquement l’appareil dans Azure AD
Activer l’inscription de l’appareil
Pour pouvoir utiliser Microsoft Passport for Work avec des certificats, vous avez besoin d’un système d’inscription des appareils. Cela signifie que vous configurez Configuration Manager Technical Preview, Intune ou un système GPM autre que Microsoft compatible, et que vous l’activez pour inscrire des appareils. Il s’agit d’une étape préalable requise pour pouvoir utiliser Microsoft Passport for Work avec des certificats, quel que soit l’IDP, car le système d’inscription est chargé de fournir les certificats nécessaires aux appareils.
Définir des stratégies Microsoft Passport
Depuis la version initiale de Windows 10, vous pouvez contrôler les paramètres suivants pour utiliser la version professionnelle de Microsoft Passport :
Vous pouvez demander que Microsoft Passport soit disponible uniquement sur les appareils disposant d’un module de plateforme sécurisée (TPM) matériel, ce qui signifie que l’appareil utilise TPM 1.2 ou TPM 2.0.
Vous pouvez activer Microsoft Passport avec une option matérielle, ce qui signifie que les clés seront générées sur le module TPM 1.2 ou TPM 2.0 s’il est disponible et par logiciel dans le cas contraire.
Vous pouvez définir si Microsoft Passport basé sur un certificat est accessible aux utilisateurs. Vous le faites dans le cadre du processus de déploiement d’appareil, et non à l’aide d’une stratégie appliquée séparément.
Vous pouvez définir la complexité et la longueur du code PIN généré par l’utilisateur au moment de l’inscription.
Vous pouvez contrôler si l’utilisation de Windows Hello est activée dans votre organisation.
Ces paramètres peuvent être implémentés à l’aide d’objets de stratégie de groupe (GPO) ou de fournisseurs de services de configuration (CSP) dans des systèmes GPM. Vous disposez ainsi d’un ensemble d’outils familiers et flexibles que vous pouvez utiliser pour les appliquer aux utilisateurs souhaités uniquement. (Pour plus d’informations sur le CSP de la version professionnelle de Microsoft Passport, voir CSP PassportForWork).
Feuille de route
La vitesse à laquelle les applications Windows universelles et les services évoluent implique que le cycle de conception/création/test/publication traditionnel pour Windows est trop lent pour répondre aux besoins des clients. Dans la version Windows 10, Microsoft a repensé sa manière de développer, de tester et de distribuer Windows. Au lieu de versions monolithiques volumineuses tous les 3 à 5 ans, l’équipe d’ingénierie Windows s’est engagée dans des versions plus petites et plus fréquentes pour proposer sur le marché plus rapidement de nouvelles fonctionnalités et de nouveaux services sans pour autant sacrifier la sécurité, la qualité ou la facilité d’utilisation. Ce modèle a bien fonctionné dans Office 365 et d’écosystème Xbox.
Dans la version initiale de Windows 10, Microsoft prend en charge les fonctionnalités de Microsoft Passport et Windows Hello suivantes :
Authentification biométrique, avec des lecteurs d’empreintes digitales qui utilisent l’infrastructure de lecteur d’empreintes digitales Windows
Fonctionnalité de reconnaissance faciale sur les appareils équipés de caméras infrarouges compatibles
Microsoft Passport pour les informations d’identification personnelles sur les appareils personnels et gérés par l’entreprise
Prise en charge de la version professionnelle de Microsoft Passport pour les organisations disposant uniquement de déploiements Azure AD sur cloud
Paramètres de stratégie de groupe pour contrôler la longueur et la complexité du code PIN Microsoft Passport
Dans les versions futures de Windows 10, nous prévoyons d’ajouter la prise en charge des fonctionnalités supplémentaires :
Types d’identificateurs biométriques supplémentaires, notamment la reconnaissance de l’iris
Informations d’identification de la version professionnelle de Microsoft Passport basé sur un certificat pour les déploiements Azure AD sur site et les déploiements sur site/Azure AD hybrides
Certificats de la version professionnelle de Microsoft Passport générés par une infrastructure à clé publique (PKI) approuvée, notamment les certificats de carte à puce et de carte à puce virtuelle
Attestation de module de plateforme sécurisée (TPM) pour protéger les clés afin qu’un utilisateur ou un programme malveillant ne puisse pas créer de clés dans un logiciel (ces clés n’étant pas attestées par le module de plateforme sécurisée, elles peuvent donc être identifiées comme fausses)
À plus long terme, Microsoft continuera d’améliorer et d’étendre les fonctionnalités de Microsoft Passport et de Windows Hello pour répondre aux besoins supplémentaires de facilité de gestion et de sécurité des clients. Nous collaborons également avec la FIDO Alliance et différentes tierces parties pour encourager les développeurs d’applications Web et métier à adopter Microsoft Passport.