Biométrie Windows Hello dans l’entreprise

  • Article

Windows Hello est la fonctionnalité d’authentification biométrique qui permet de renforcer l’authentification et de se prémunir contre l’usurpation d’identité à l’aide de la correspondance d’empreintes digitales et de la reconnaissance faciale.

Comme nous savons que vos employés vont vouloir utiliser cette nouvelle technologie dans votre entreprise, nous avons collaboré activement avec les fabricants d’appareils pour élaborer des recommandations strictes en matière de conception et de performances afin que vous puissiez mettre en œuvre la biométrie Windows Hello en toute confiance au sein de votre organisation.

Comment la fonctionnalité Windows Hello fonctionne-t-elle ?

Windows Hello permet à vos employés d’utiliser la reconnaissance des empreintes digitales ou du visage comme autre méthode pour déverrouiller un périphérique. Avec Windows Hello, l’authentification a lieu quand l’employé fournit son identificateur biométrique unique lors de l’accès aux informations d’identification Microsoft Passport spécifiques de l’appareil.

L’authentificateur Windows Hello fonctionne conjointement avec Microsoft Passport pour authentifier les employés et les autoriser à accéder à votre réseau d’entreprise. L’authentication n’est pas transmise entre plusieurs appareils, n’est pas partagée avec un serveur et ne peut pas facilement être extraite d’un appareil. Si plusieurs employés partagent un appareil, chaque employé utilise ses propres données biométriques sur l’appareil.

Pourquoi devrais-je laisser mes employés utiliser Windows Hello ?

Windows Hello offre de nombreux avantages, notamment :

  • Associée à Microsoft Passport, cette fonctionnalité contribue à renforcer vos dispositifs de protection contre le vol d’informations d’identification. Dans la mesure où une personne malveillante doit disposer à la fois de l’appareil et des informations biométriques ou du code confidentiel, il est beaucoup plus difficile de se connecter à l’insu de l’employé.

  • Les employés bénéficient d’une méthode d’authentification simple (avec un code confidentiel comme méthode de secours) indissociable de leur personne, éliminant ainsi tout risque de perte. Fini les mots de passe oubliés !

  • La prise en charge de Windows Hello étant intégrée au système d’exploitation, vous pouvez ajouter des appareils et des stratégies biométriques supplémentaires dans le cadre d’un déploiement coordonné ou pour des employés individuels ou des groupes via la stratégie de groupe ou les stratégies de fournisseurs de services de configuration (CSP) en matière de gestion des périphériques mobiles (GPM).

    Pour plus d’informations sur les stratégies de groupe et les CSP GPM disponibles, consultez la rubrique Implémenter Microsoft Passport dans votre organisation.

Où les données de Microsoft Hello sont-elles stockées ?

Les données biométriques utilisées pour prendre en charge Windows Hello sont stockées uniquement sur l’appareil local. Elles ne sont pas transmises et ne sont jamais envoyées à des appareils ou des serveurs externes. Cette séparation permet d’empêcher des attaques potentielles en ne fournissant aucun point de collecte qu’une personne malveillante pourrait compromettre pour voler les données biométriques. En outre, même si une personne malveillante réussit à obtenir les données biométriques, il est difficile de les convertir sous une forme qui peut être reconnue par le détecteur biométrique.

Microsoft a-t-il défini une configuration d’appareil requise pour Windows Hello ?

Nous avons collaboré avec les fabricants d’appareils pour garantir que chaque capteur et chaque appareil assurent un niveau élevé de performances et de protection, en nous basant sur les critères suivants :

  • Taux de fausses acceptations (FAR, False Accept Rate). Représente les cas où une solution d’identification biométrique valide l’identité d’une personne non autorisée. Ce taux est généralement exprimé sous forme de nombre de cas pour une taille de population donnée, par exemple 1 pour 100 000. Il peut également être exprimé sous forme de pourcentage de cas, par exemple 0,001 %. Cette mesure est largement considérée comme la plus importante en ce qui concerne la sécurité de l’algorithme biométrique.

  • Taux de faux rejets (FRR, False Reject Rate). Représente les cas où une solution d’identification biométrique ne parvient pas à valider l’identité d’une personne autorisée. Ce taux est généralement exprimé sous forme de pourcentage, la somme du taux de vraies acceptations et du taux de faux rejets étant égale à 1. Peut inclure ou non la détection d’usurpation d’identité ou la détection de présence.

Exigences en matière de capteurs d’empreintes digitales

Pour pouvoir utiliser la correspondance d’empreintes digitales, vous devez disposer d’appareils dotés de logiciels et de capteurs d’empreintes digitales. Les capteurs d’empreintes digitales, qui utilisent les empreintes digitales uniques d’un employé comme autre option d’ouverture de session, peuvent être des capteurs à toucher (à petite ou grande zone) ou des capteurs à balayage. Chaque type de capteur présente son propre ensemble d’exigences détaillées qui doivent être implémentées par le fabricant, mais tous les capteurs doivent inclure des mesures de détection de l’usurpation d’identité (obligatoire) et un moyen de les configurer (facultatif).

Plage de performances acceptables pour les capteurs à toucher petits à grands

  • Taux de fausses acceptations (FAR) : < 0,001 – 0,002 %

  • Taux de faux rejets (FRR) sans détection d’usurpation d’identité ou détection de présence : < 5 %

  • FRR réel avec détection d’usurpation d’identité ou détection de présence : < 10 %

Plage de performances acceptables pour les capteurs à balayage

  • Taux de fausses acceptations (FAR) : < 0,002 %

  • Taux de faux rejets (FRR) sans détection d’usurpation d’identité ou détection de présence : < 5 %

  • FRR réel avec détection d’usurpation d’identité ou détection de présence : < 10 %

Capteurs de reconnaissance faciale

Pour pouvoir utiliser la reconnaissance faciale, vous devez disposer d’appareils dotés de logiciels et de capteurs infrarouges spéciaux intégrés. Les capteurs de reconnaissance faciale utilisent des caméras spéciales sensibles au rayonnement infrarouge, ce qui leur permet de faire la différence entre une photographie et une personne vivante lors de l’analyse des traits de visage d’un employé. Ces capteurs, comme les capteurs d’empreintes digitales, doivent également inclure des mesures détection d’usurpation d’identité (obligatoire) et un moyen de les configurer (facultatif).

  • Taux de fausses acceptations (FAR) : < 0,001 %

  • Taux de faux rejets (FRR) sans détection d’usurpation d’identité ou détection de présence : < 5 %

  • FRR réel avec détection d’usurpation d’identité ou détection de présence : < 10 %

Rubriques associées

Gérer la vérification d’identité à l’aide de Microsoft Passport

Implémenter Microsoft Passport dans votre organisation

Guide de Microsoft Passport

Préparer les collaborateurs à l’utilisation de Microsoft Passport

CSP PassportforWork