Activer l’authentification sans mot de passe sur Mac

Tous les professionnels de l'informatique ont vu cette liste avec un frisson de terreur. Le Top 10 des mots de passe les plus utilisés. Le simple fait de penser que des utilisateurs protègent leurs appareils et leurs données avec « motdepasse123 », « azerty », « 1234567890 » ou « motdep@sse1! » suffit à provoquer des crises d'angoisse. Heureusement, la plupart d'entre eux ont mis en place des mesures qui empêchent cette situation de se produire en exigeant un mot de passe bien plus complexe. Pourtant, les données nous montrent que cela ne suffit pas toujours.

L'un des principaux problèmes de sécurité pour les organisations aujourd'hui ? Le vol d'identifiants de connexion. Cela vous surprend ?

Et que pensez-vous du fait que 80 % des fuites de données impliquent des mots de passe volés ou faibles ? Il s'agit bien souvent de mots de passe à un seul mot ou basés sur des informations personnelles. Même avec des règles exigeant des mots de passe plus forts, le piratage d'un serveur ou une attaque par hameçonnage peut révéler des mots de passe et donc des informations sur l'entreprise et les employés. En outre, ces règles ont leurs limites. Quand les mots de passe sont trop complexes et incluent des chiffres et des caractères spéciaux, davantage d'utilisateurs naïfs sont tentés de les noter sur des post-its – et créent ainsi un risque dans le monde physique cette fois.

Les entreprises ont besoin de renforcer leur sécurité pour prévenir les attaques et protéger leurs données et celles de leurs clients. Principalement dû à l'adoption du télétravail et de pratiques hybrides et à la dispersion des employés, ce phénomène a entraîné une augmentation des budgets de sécurité des grandes entreprises. Mais les violations sont également à la hausse, et l'augmentation du budget alloué au renforcement des mots de passe n'est pas à la hauteur du problème qu'elles posent. En effet, moins de 10 % du budget global est consacré à la lutte contre la compromission des identifiants, alors qu'ils sont responsables de plus de 80 % de toutes les violations.

Les administrateurs et les équipes de sécurité doivent relever un défi considérable : sécuriser et protéger les employés en télétravail, tout en leur offrant une expérience fluide. Il faut à la fois exiger des mots de passe complexes et leur renouvellement tout en offrant aux utilisateurs un moyen d'éviter les frictions créées par ces obligations – et cela n'a rien de simple. C'est là qu’interviennent les workflows sans mot de passe, une solution moderne d'authentification.

Authentification sans mot de passe

D'ici 2022, Gartner prévoit que 60 % des grandes entreprises et des multinationales, ainsi que 90 % des entreprises de taille moyenne adopteront des méthodes sans mot de passe dans plus de 50 % des cas d'utilisation.

L'authentification sans mot de passe est une forme d'authentification à plusieurs facteurs (MFA) qui remplace les mots de passe par au moins deux moyens de vérification sécurisés et chiffrés sur l'appareil d'un utilisateur. Il peut s'agir d'une empreinte digitale, de la reconnaissance faciale, d'un code PIN ou d'une clé de chiffrement. Les utilisateurs Apple connaissent bien Face ID et Touch ID, deux formes de vérification biométrique. Ces deux méthodes d'authentification sans mot de passe offrent aux utilisateurs une expérience à la fois fluide et extrêmement difficile à falsifier, ce qui réduit les risques de sécurité.

Beaucoup considèrent le code PIN et le mot de passe comme une seule et même méthode. Toutefois, le code PIN est lié à un appareil spécifique et sert donc à vous authentifier localement. Il réduit le risque de violation car l'adversaire a besoin d'un accès physique à votre appareil et doit impérativement connaître votre code PIN, dans la mesure où les appareils se verrouillent souvent automatiquement après un certain nombre de codes erronés. Quand ils sont créés par l'utilisateur et qu'ils ne changent pas, les codes PIN ont un inconvénient : un comportement négligent peut toujours ouvrir la voie à un accès non autorisé à un appareil et ses fichiers, même chiffrés.

Les workflows sans mot de passe de ce type ne sont pas nouveaux, pas plus que la plupart de ces méthodes d'authentification. Il n'existe toutefois pas réellement de workflow sans mot de passe spécifique à Apple. En théorie, une méthode d'authentification sans mot de passe doit permettre à une entreprise d'utiliser Face ID ou Touch ID sur un appareil de confiance comme deuxième forme d'authentification. Cette méthode remplace la saisie d'un mot de passe pour déverrouiller son Mac – et c'est exactement ce que propose désormais Jamf Connect !

Jamf Unlock

Jamf Unlock est un workflow Jamf Connect qui prend en charge l'authentification par certificat et dépose un certificat sur l'appareil de l'utilisateur. Celui-ci peut alors exploiter son identité cloud pour déverrouiller son Mac à l'aide de son iPhone, en utilisant Face ID, Touch ID ou un code PIN régulièrement renouvelé. Il obtient ensuite un accès immédiat aux ressources professionnelles indispensables.

Pendant la configuration de Jamf Unlock, l'utilisateur génère un certificat pour lui-même dans le Secure Enclave de l'appareil iOS pour s'authentifier auprès de son fournisseur d'identité cloud. La combinaison de l'identité et de la demande génère un certificat qui est stocké localement sur l'appareil et lui est exclusif. Il ne peut pas être exporté. Cette clé publique a été partagée et liée au Mac de l'utilisateur : chaque fois qu'un utilisateur tente de s'authentifier sur votre compte, il doit suivre le processus d'authentification sur son téléphone.

Votre Mac sait alors que la demande de connexion provient d'un appareil fiable et vous permettra de vous connecter en toute sécurité. Une fois sur l'ordinateur, vous retrouvez l'expérience Jamf Connect que vous connaissez : vous accédez à toutes vos apps et ressources sans avoir à vous identifier à chaque fois. Vous utilisez l'appareil que vous avez toujours avec vous pour accéder à vos outils de productivité en toute sécurité, sans mot de passe.

Parce que Jamf Unlock et Jamf Connect sont liés à votre IdP Cloud, ils sont plus faciles à gérer et plus sûrs pour vos employés en télétravail. Les avantages sont assez comparables à ceux du SSO du point de vue de l'utilisateur : on évite les phénomènes de lassitude et les oublis liés aux mots de passe, ce qui réduit les demandes de réinitialisation auprès du service informatique. Cette méthode atteint également les objectifs de la MFA en réduisant le risque de compromission sans avoir à introduire du matériel supplémentaire. Grâce à l'iPhone qu'ils ont sur eux la plupart du temps, les utilisateurs bénéficient d'un workflow sans mot de passe.

Avantages de Jamf Unlock :

• Vous bénéficiez de tous les atouts de Jamf Connect pour Mac, avec l'approvisionnement de compte en temps réel, des capacités de gestion d'identité et une identité cloud unique pour accéder au Mac et aux ressources.
• Les mots de passe ne suffisent plus à sécuriser l'accès aux ressources et aux comptes : Jamf Unlock utilise un workflow sans mot de passe lié à l'identité cloud et renforcé par la MFA pour accorder l'accès au Mac.
• Jamf Unlock agit comme une carte à puce : une sécurité accrue sans matériel supplémentaire à acquérir et à administrer. Et comme il n'y a pas de mot de passe, le service d'assistance informatique n'a pas besoin de réinitialiser ceux des utilisateurs distraits.
• Les employés utilisent leur téléphone pour déverrouiller leur Mac en toute sécurité, avec ou sans connexion réseau. Ils ne risquent plus d'oublier leur mot de passe et n'ont plus besoin de s'identifier plusieurs fois par jour.

Renforcez la sécurité, améliorez l'expérience de l'utilisateur final et réduisez les tickets d'assistance. Et tout cela, avec le compte Jamf Connect que vous avez déjà associé à votre fournisseur d'identité. Affranchissez-vous des inconvénients des mots de passe sans renoncer aux avantages avec Jamf Unlock.

FAQ

• Qu’est-ce que l’authentification sans mot de passe ?
  L'authentification sans mot de passe est une forme d'authentification à plusieurs facteurs (MFA) qui remplace les mots de passe par au moins deux moyens de vérification sécurisés et chiffrés sur l'appareil d'un utilisateur. Il peut s'agir d'une empreinte digitale, de la reconnaissance faciale, d'un code PIN ou d'une clé de chiffrement. Les identifiants ne quittent jamais l'appareil, ce qui élimine le risque de phishing. Ces alternatives sont basées sur les nouveaux standards du secteur développés par les membres de l'Alliance Fast ID Online (FIDO). *D'ici 2022, Gartner prévoit que 60 % des grandes entreprises et des multinationales, ainsi que 90 % des entreprises de taille moyenne adopteront des méthodes sans mot de passe dans plus de 50 % des cas d'utilisation
• Le client a-t-il besoin de Jamf Connect pour utiliser Jamf Unlock ?
  Oui, Jamf Connect doit toujours être déployé sur chaque Mac pour utiliser Jamf Unlock. Cependant, une organisation n'a pas besoin d'utiliser la même MDM pour les Mac et les iPhone, qui peuvent être gérés par des solutions différentes. Jamf Connect doit déjà être configuré sur le Mac et l'utilisateur doit s'être connecté au moins une fois avec ses identifiants cloud. Pendant le processus de jumelage, le Mac reconnaît que l'iPhone a les mêmes informations d'identité cloud et s'y associe.
• Est-ce que Jamf Unlock est facturé séparément en plus de Jamf Connect ?
  Non, Jamf Unlock n'engage pas de frais supplémentaires : c'est une application disponible sur l'App Store d'Apple.
• Est-ce que Jamf Unlock est inclus dans le forfait Business ?
  Oui. En savoir plus sur le forfait Business
• Faut-il que l'iPhone soit géré pour utiliser Jamf Unlock ?
  Oui, une configuration d'app doit être envoyée à l'appareil iOS pour lui indiquer comment se comporter.
• Comment l'utilisateur obtient-il l'application Jamf Unlock ?
  L'administrateur peut pousser l'application Jamf Unlock sur l'appareil des utilisateurs ou la mettre à leur disposition dans le Self Service.
• L'application Jamf Unlock est-elle utilisable sur un iPad ?
  Oui, avec le même workflow.