FIDO2 et Passkeys : L'avenir de l'AMF pour les Infrastructures Critiques

Authentification Multi-Facteurs (AMF) est depuis longtemps considérée comme une défense de base contre la compromission des comptes. Pourtant, les infrastructures critiques—systèmes de contrôle industriels (ICS), environnements SCADA et réseaux de technologie opérationnelle (OT)—souvent tardent à l'adopter en raison de contraintes environnementales, de facilité d'utilisation et de systèmes hérités. Avec la sophistication croissante des cyberattaques et l'authentification par mot de passe largement reconnue comme un point faible, la norme FIDO2 et la technologie des passkeys émergent comme des réponses convaincantes pour la modernisation. Cet article propose une analyse technique pour les RSSI, directeurs IT, ingénieurs réseau et opérateurs cherchant à comprendre comment FIDO2 et les passkeys peuvent réellement transformer l'accès sécurisé dans des environnements à haut risque et critiques pour la mission.

Contexte Historique : AMF et ses Défis dans les Infrastructures Critiques

AMF n'est pas nouveau. La première forme remonte aux années 1980 : des jetons physiques générant des codes temporaires. Malheureusement, ils apportent des complications de coût, de logistique et d'utilisation – notamment pour les opérateurs de quart dans les usines ou les sous-stations. Plus tard, le SMS et le TOTP (Mot de passe à usage unique basé sur le temps) sont devenus populaires pour les systèmes IT, mais les deux souffrent de vulnérabilité au phishing et/ou nécessitent un canal de communication secondaire qui peut ne pas être solidement disponible dans les milieux industriels.

Au cours de la dernière décennie, les lignes directrices de sécurité pour les infrastructures critiques (e.g., NIST SP 800-53, IEC 62443) recommandent de plus en plus une authentification forte. Cependant, traduire ces directives en réalité opérationnelle reste difficile :

• Fatigue liée aux mots de passe : Des politiques de mots de passe complexes submergent les utilisateurs et entraînent des solutions de contournement peu sécurisées.

• Protocoles hérités : De nombreux systèmes d'automatisation dépendent de protocoles et d'interfaces obsolètes.

• Environnements déconnectés ou isolés : Les schémas traditionnels de l'AMF supposent souvent un accès Internet continu ou une communication par dispositif mobile – ce qui n'est pas toujours viable sur le terrain de l'usine, à une sous-station ou sur des sites éloignés.

Contexte : FIDO Alliance, FIDO2 et le Passage à l'Authentification sans Mot de Passe

L'Alliance FIDO (Fast Identity Online) a été formée en 2012, en réponse aux violations croissantes liées aux mots de passe et à l'essor du phishing. FIDO visait des normes ouvertes et pratiques pour une authentification forte — supprimant le mot de passe comme crédentiel principal.

FIDO2 est la combinaison de deux normes fondamentales :

• WebAuthn (API d'authentification Web) : Une norme W3C qui permet aux navigateurs et serveurs de coordonner une authentification forte, soutenue par la cryptographie.

• CTAP2 (Protocole Client-à-Authentificateur) : Définit comment les authentificateurs externes (par exemple, clés de sécurité, biométrie de la plateforme) communiquent avec les clients tels que les navigateurs ou les applications natives.

Ensemble, ces normes permettent aux appareils et aux services cloud de vérifier les utilisateurs en utilisant la cryptographie à clé publique — aucun secret partagé, SMS ou mot de passe exposé.

Comment FIDO2 Fonctionne en Pratique

• Lors de l'enregistrement, l'authentificateur (jeton matériel, téléphone, puce intégrée, etc.) génère une paire de clés. La clé privée ne quitte jamais l'appareil; la clé publique est enregistrée auprès du service.

• Lors de la connexion, un défi est envoyé par le service. L'authentificateur le signe avec la clé privée, parfois verrouillé par la présence locale de l'utilisateur (capteur tactile, code PIN, biométrie, etc.).

• Le serveur vérifie ensuite la signature du défi en utilisant la clé publique stockée. Aucun identifiant sensible n'est jamais transmis ou stocké côté serveur.

Crucialement, FIDO2 est conçu pour résister au phishing : La liaison entre l'authentificateur, l'utilisateur et le service est appliquée cryptographiquement, non dépendante de la conscience des tentatives de phishing par l'utilisateur.

Qu'est-ce qu'une Passkey ?

Une passkey est essentiellement un identifiant FIDO facile à utiliser et synchronisé dans le cloud. Au lieu de nécessiter un jeton USB ou un authentificateur lié à la plateforme, les passkeys sont synchronisées de manière sécurisée entre les appareils (par exemple, via iCloud Keychain ou Google Password Manager sur les systèmes d'exploitation mobiles) et peuvent être utilisées pour des connexions fluides. Cela est particulièrement précieux dans des environnements où des postes de travail partagés, un changement rapide d'utilisateurs ou des quarts dynamiques sont courants.

Considérez un technicien se déplaçant entre la salle de contrôle, le sol de l'usine et la tablette de terrain —requérant tous un accès rapide et sécurisé aux IHM industrielles, aux solutions de gestion des actifs, ou même aux hôtes de saut. Les passkeys, avec leur commodité pour l'utilisateur et leur robustesse, comblent cet écart.

Pourquoi FIDO2 et les Passkeys Comptent dans les Environnements Critiques

1. Le Phishing et le Vol d'Identifiants sont Omniprésents

Les compromissions industrielles commencent souvent par le phishing d'identifiants — parfois ciblant des systèmes d'accès à distance exposés pour la commodité du support fournisseur ou de l'administration ICS. FIDO2 les arrête netto : le défi cryptographique ne peut être rejoué ou hameçonné.

2. Simplification : La Fin de la Fatigue Liée aux Mots de Passe

Plus besoin de "vérifier deux fois le Post-It" dans la salle SCADA ou de passer par des réinitialisations de mot de passe pour des opérateurs sur le terrain sans appareils d'entreprise. Le déverrouillage biométrique local ou par code PIN suffit pour libérer l'authentificateur, sans secrets traversant le réseau.

3. Interopérabilité et Normes

FIDO2, étant fondé sur des normes et indépendant du fournisseur, est désormais pris en charge par tous les grands navigateurs, et du matériel de sécurité de Yubico, Feitian, et autres. Les plateformes Windows Hello, Android et Apple l'intègrent nativement. Cette croissance de l'écosystème érode le problème du “verrouillage fournisseur” fréquemment rencontré pour la collaboration IT/OT.

4. Approvisionnement Sécurisé pour les Environnements Isolés et en Bordure

Contrairement aux applications TOTP héritées, les authentificateurs FIDO peuvent être approvisionnés hors ligne, avec une attestation locale. Les jetons matériels (NFC, BLE, USB) fonctionnent dans les zones isolées. Les authentificateurs de la plateforme peuvent, via QR ou Bluetooth, négocier une connexion même sur des postes de travail HMI isolés.

Défis d'Adoption et d'Intégration

Ce n'est pas tout du “prêt à l’emploi”. Les déploiements réels doivent prendre en compte :

• Applications héritées : Les composants principaux de l’ICS (passerelles MODBUS, historiens, consoles opérantes spécifiques au fournisseur) peuvent ne pas prendre en charge SAML/OpenID/FIDO2 par défaut. Un proxy d'authentification ou un hôte de saut sécurisé peut être nécessaire.

• Sécurité Physique : S'appuyer sur les jetons matériels nécessite une gestion robuste des pertes/vols. Les environnements partagés (e.g., salles de contrôle) peuvent nécessiter une distribution individuelle ou des pools de jetons basés sur les quarts et des procédures de contrôle de l'enregistrement.

• Réparation et Accès d'Urgence : Une alternative est requise pour les authentificateurs perdus — sans réintroduire de faiblesses basées sur des mots de passe ou du SMS. Des procédures de rupture de verre bien documentées sont non négociables dans les environnements opérationnels.

• Alignement Politique : Les exigences réglementaires et de conformité interne (journalisation, audit) peuvent influencer l'architecture d'intégration, e.g., application multifacteur sur les opérations critiques, pas seulement l'accès.

• Collaboration IT/OT : La gestion des identifiants et du cycle de vie de l'identité dépasse les domaines IT et OT. Les processus d’intégration, de révocation et de désenregistrement fluides évitent les comptes orphelins dangereux.

Migrer vers FIDO2 dans les Infrastructures Critiques : Guide par Étapes

1. Inventaire des Actifs et des Utilisateurs : Cartographier toutes les voies d'accès à distance, les interfaces privilégiées et les identités des utilisateurs — à travers IT, OT, et canaux tiers/fournisseurs. Identifier où l'authentification basée sur le mot de passe est présente, et évaluer le support du protocole.

2. Piloter avec des Cas d'Usage Prioritaires : Par exemple, commencer avec l'accès à distance en ingénierie (RDP, SSH, VPN), qui traverse déjà la frontière IT/OT. Utiliser des hôtes de bastion modernes (e.g., avec support WebAuthn) comme passerelle.

3. Passerelle vers Héritage : Où un FIDO2 direct est impossible, utiliser des proxys d'authentification ou des Fournisseurs d'Identité (IdPs) qui traduisent FIDO2 en aval, appliquant une auth forte même pour les applications plus anciennes.

4. Gestion des Crédibles : Définir comment les authentificateurs matériels ou de plateforme sont distribués, suivis, révoqués et récupérés. Intégrer les processus ITAM/IAM existants ; automatiser si possible.

5. Expérience Utilisateur des Opérateurs et Formation : Impliquer des champions des utilisateurs à partir du plancher de fabrication pour assurer l'ergonomie et l'acceptation. Les flux de travail biométriques et NFC, s'ils sont bien testés, réduisent la friction. Documenter et répéter les procédures de secours (rupture de verre).

6. Itérer et Élargir la Couverture : Déployer l'auth FIDO2/passkey à plus de cas d'utilisation, en mettant l'accent sur le moindre privilège et les contrôles de montée en privilèges — en particulier pour les fonctions de contrôle des plantes ou les sessions de vendeur à distance.

Étude de Cas : Sécuriser les Hôtes de Saut d'Accès à Distance OT

Une illustration pratique : Une concession électrique de taille moyenne à grande exploite plusieurs centrales hydroélectriques. Les équipes d'ingénierie nécessitent un accès à distance périodique des fournisseurs aux stations de programmation des automates. Historiquement, les VPN et les identifiants Windows suffisaient — un vecteur connu pour la réutilisation et la force brute des identifiants.

Après l'adoption d'hôtes de saut compatible FIDO2 (e.g., avec Yubikey ou Windows Hello intégré), toutes les sessions distantes doivent s'authentifier via WebAuthn. Ces hôtes de saut sont la seule voie d'accès vers les réseaux OT sensibles. Les jetons sont émis par ingénieur, avec des journaux d'audit sur les accès.

Résultat : Le risque de compromission des identifiants chute considérablement. Une violation nécessite non seulement un vol de jeton, mais aussi un contournement physique de l'émission par l'établissement, avec présence biométrique.

Conclusion

FIDO2 et les passkeys représentent non seulement une évolution technologique mais aussi un pragmatisme opérationnel dans le domaine de la sécurité industrielle. En détachant l'authentification des mots de passe et en offrant des mécanismes résilients au phishing et à la réutilisation, ces normes posent les bases d'une AMF robuste, conviviale et alignée sur les régulations dans les environnements où les erreurs peuvent avoir des effets d'entraînement réels. Comme pour toute architecture de sécurité, l'adoption d'outils doit s'aligner sur des réalités pratiques — intégration legacy, provisionnement de dispositifs, et flux de travail des utilisateurs. Entre les mains d'une collaboration IT/OT attentive, FIDO2 et les passkeys signalent un pas vers rendre le "sécurisé par défaut" réel dans les systèmes les plus critiques au monde.

Lectures Complémentaires et Normes

• Spécifications de l'Alliance FIDO

• W3C WebAuthn

• NIST SP 800-63B Lignes directrices sur l'identité numérique

• IEC 62443 Sécurité pour les systèmes d'automatisation et de contrôle industriels

À propos de l'Auteur

Réalisé avec la contribution d'ingénieurs en sécurité, d'opérateurs industriels et de praticiens de l'infrastructure qui en ont assez d'entendre "utilisez simplement l'AMF". Pas de jargon techno AI — juste un aperçu durement acquis.