Nouvelles fonctionnalités et conformité FIPS : Microsoft Authenticator se met à jour

Publié le par Poster un commentaire

Microsoft a récemment annoncé des mises à jour importantes pour son application Authenticator, visant à renforcer sa résistance au phishing et à améliorer l’expérience utilisateur. Ces améliorations répondent aux besoins croissants en matière de sécurité tout en facilitant la gestion des objectifs de “phishing-resistant authentication”. Mais ce qui est très interessant ici, et nous vous en parlons fréquemment sur le blog et lors des Briefing Calipia, c’est les apports sur la gestion des Passkey.

Les Passkeys

L’une des principales évolutions concerne donc la gestion des Passkeys pour les appareils fonctionnant sous Android 14 et plus. Désormais, l’application Authenticator supporte les passkeys FIDO2 dans les applications Microsoft qui utilisent l’authentification via un “broker”. Cela signifie que les utilisateurs peuvent se connecter à des applications telles que Microsoft Teams ou Outlook en utilisant une clé de sécurité FIDO2 ou une passkey, lorsque Microsoft Authenticator ou l’application “Microsoft Intune Company Portal” est configurée comme intermédiaire d’authentification. Cette fonctionnalité soit en avant-première publique, elle sera également étendue aux appareils Android 13 dans les mois à venir.

Pour rappel, ces passkeys, qui sont des clés cryptographiques associées à un appareil spécifique et non transférables, garantissent que la clé de sécurité est strictement liée à un seul appareil, renforçant ainsi la sécurité.

Cependant, lors du lancement de la version bêta, de nombreux utilisateurs ont rencontré des difficultés avec l’enregistrement des passkeys. En effet, certains utilisateurs se sont retrouvés face à un processus compliqué de 19 étapes, manquant souvent des prérequis essentiels comme l’activation du Bluetooth. Microsoft a pris en compte ces retours et a simplifié le processus en introduisant un nouveau flux d’enregistrement. Désormais, les utilisateurs doivent d’abord se connecter à l’application Authenticator, suivie d’une étape d’attestation qui vérifie la légitimité de l’application via les API Android et iOS.

Conformité FIPS pour Android

Une autre amélioration majeure est la conformité de l’application Authenticator pour Android avec le standard FIPS 140. Presque deux ans après que la version iOS ait obtenu cette certification. FIPS 140 est une norme de sécurité cryptographique adoptée par les agences gouvernementales américaines, et la conformité à cette norme est un élément clé pour les entreprises travaillant avec des institutions publiques.

Cette mise à jour intervient dans le cadre du décret présidentiel 14028 des États-Unis, qui exige des agences gouvernementales l’utilisation d’authentifications résistantes au phishing. Toutes les méthodes d’authentification proposées par Microsoft Entra ID avec Authenticator, y compris les passkeys, l’authentification sans mot de passe via téléphone, la vérification multifactorielle (MFA), et les codes OTP, sont désormais considérées comme conformes aux exigences FIPS… Comme quoi un peu de réglementation ne fait pas de mal pour renforcer les fonctionnalités 🙂

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur la façon dont les données de vos commentaires sont traitées.