La communauté de la cybersécurité s’accorde sur un point : les mots de passe restent l’un des maillons faibles des environnements informatiques modernes. Les identifiants volés ou compromis sont encore impliqués dans la majorité des violations de données, que ce soit via le phishing, le credential stuffing ou les attaques par force brute.
Au cours de la dernière décennie, deux grandes réponses se sont imposées.
La première consiste à renforcer les mots de passe (ce que l’utilisateur connaît) avec un second facteur (ce qu’il possède). C’est ce que l’on appelle l’authentification multifacteur (MFA).
La seconde va plus loin : supprimer totalement les mots de passe. Microsoft propose avec Windows Hello for Business (WHfB) un modèle d’authentification sans mot de passe adapté aux environnements Windows. Voici ce que les équipes sécurité doivent comprendre sur Windows Hello for Business, l’authentification multifacteur et la sécurisation des accès dans un système sans mot de passe.
Windows Hello : le modèle sans mot de passe de Microsoft
Windows Hello est la solution d’authentification sans mot de passe de Microsoft pour Windows. Elle existe en deux versions : Windows Hello pour les particuliers et Windows Hello for Business, destiné aux besoins renforcés de sécurité et d’administration des entreprises.
Une fois enrôlés, les utilisateurs peuvent ouvrir une session Windows via une empreinte digitale, la reconnaissance faciale, un code PIN ou une combinaison de ces éléments. Cette approche est plus simple que la mémorisation de mots de passe longs et complexes. En pratique, l’utilisateur n’a plus qu’à retenir un court code PIN en solution de secours.
Windows Hello for Business se distingue des systèmes traditionnels d’authentification multifacteur. Il s’agit d’une technologie d’authentification côté client, dans laquelle le terminal joue un rôle central.
Les données biométriques sont traitées localement et stockées de manière sécurisée sur l’appareil. Lorsqu’un utilisateur s’authentifie avec ses données biométriques ou son PIN, cela déverrouille une clé privée protégée par le TPM (Trusted Platform Module) ou par le matériel sécurisé du terminal. L’appareil utilise ensuite la cryptographie à clé publique pour prouver l’identité de l’utilisateur auprès d’un service distant, sans jamais transmettre les données biométriques ni de mot de passe réutilisable sur le réseau.
Ce fonctionnement est proche de celui des passkeys, technologie grand public d’authentification sans mot de passe reposant également sur une architecture côté client et la cryptographie à clé publique. La différence majeure est que les passkeys sont indépendants de la plateforme, tandis que Windows Hello for Business est spécifique à Windows et s’intègre à Active Directory (AD) ou à Entra ID (anciennement Azure AD).
Windows Hello for Business suffit-il à lui seul ?
Lorsque les applications le permettent, Windows Hello for Business peut supprimer la nécessité d’utiliser des mots de passe (même s’ils peuvent subsister comme solution de secours). La question est alors la suivante : cela remplace-t-il aussi l’authentification multifacteur ?
D’un point de vue technique, oui, dans de nombreux cas. L’utilisation d’un PIN combiné à une clé privée liée au terminal répond à deux facteurs d’authentification :
- quelque chose que l’on connaît (le PIN)
- quelque chose que l’on possède (la clé protégée par le TPM)
Cela correspond bien à une authentification multifacteur.
Cependant, la sécurité ne se limite pas à la théorie. Certains scénarios exigent toujours des facteurs supplémentaires plus traditionnels. C’est notamment le cas lors de la phase initiale de déploiement (avant l’activation de Windows Hello for Business) ou dans des environnements réglementés où des dispositifs matériels dédiés (tokens physiques, cartes à puce) sont requis.
Par ailleurs, Windows Hello for Business peut réduire la fréquence des demandes MFA dans certains contextes. Une fois l’utilisateur authentifié, un niveau de confiance élevé est établi, ce qui permet l’accès aux services d’un domaine AD sans nouvelle authentification systématique.
Gérer les politiques d’authentification multifacteur dans un environnement Windows Hello for Business
Les solutions d’authentification multifacteur qui s’intègrent directement à Active Directory peuvent fonctionner aux côtés de Windows Hello for Business sans modifier l’expérience utilisateur. Du point de vue de l’utilisateur, l’invite Windows Hello apparaît localement. Une fois l’authentification initiée, la politique MFA configurée est appliquée comme elle le serait pour une session Windows traditionnelle.
En arrière-plan, les organisations doivent néanmoins définir clairement leur architecture d’identité et d’authentification multifacteur. Selon les scénarios, les déploiements Microsoft peuvent nécessiter des composants supplémentaires : configurations hybrides, modèles de confiance par certificat ou par clé, ou encore intégration avec des services d’identité dans le cloud.
Dans les environnements reposant sur un Active Directory sur site, l’application des politiques MFA au niveau d’AD permet de mettre en œuvre des règles d’accès, des contrôles de session et des restrictions de connexion de manière cohérente, que l’utilisateur s’authentifie avec un mot de passe ou avec Windows Hello for Business.
Des solutions comme UserLock s’inscrivent dans ce modèle en appliquant les politiques MFA et les contrôles de session directement via les groupes utilisateurs AD depuis un serveur sur site. Cette approche permet de conserver visibilité et contrôle administratif lors de la transition vers un modèle sans mot de passe.
Supprimer les mots de passe ne supprime pas la responsabilité sécurité
L’authentification sans mot de passe ne signifie pas nécessairement une refonte complète de l’architecture d’identité. Windows Hello for Business introduit la biométrie, la cryptographie à clé publique et un modèle centré sur le terminal. Mais les utilisateurs doivent toujours être enrôlés, et des politiques d’accès doivent toujours être définies.
Les mots de passe disparaissent au profit de la biométrie combinée à un PIN ou à une autre méthode MFA. En revanche, les principes de contrôle des accès, de supervision des sessions et de gouvernance des identités restent inchangés.
Pour les organisations exploitant un Active Directory sur site, le véritable enjeu consiste à déployer l’authentification multifacteur et l’accès sans mot de passe sans accroître la complexité opérationnelle ni perdre en maîtrise.
L’objectif n’est pas simplement d’éliminer les mots de passe. Il s’agit de réduire la surface d’attaque tout en conservant un contrôle administratif fort.
