MENU
  1. Accueil
  2. Windows
  3. Edge
  4. YubiKey NFC et Edge Android : contourner le blocage de la connexion Microsoft sans mot de passe

YubiKey NFC et Edge Android : contourner le blocage de la connexion Microsoft sans mot de passe

Edge

Impossible de faire détecter votre YubiKey 5 NFC par Edge ou l’application Bing ? Vous n’êtes pas seul ! Voici un guide exhaustif pour comprendre la cause, appliquer des solutions temporaires fiables et préparer la transition vers les passkeys qui régleront définitivement ce blocage.

Sommaire

Pourquoi la connexion NFC est-elle bloquée ?

Sur Windows, l’authentification sans mot de passe avec une clé FIDO2 fonctionne depuis plusieurs années, qu’elle se fasse par USB, NFC ou Bluetooth. Sur Android 14 toutefois, la pile WebAuthn de Microsoft se limite encore au canal USB : le parcours « Clé de sécurité → NFC » est masqué dans Edge et dans l’application Bing.

Concrètement :

  • Après avoir choisi Clé de sécurité, seul USB apparaît ; NFC reste grisé ou absent.
  • Si le compte est configuré « sans mot de passe », l’écran se referme avec « The account or password is incorrect ». Le navigateur a perdu le contexte d’authentification pour cause de redirection interne.
  • Le même flux fonctionne parfaitement sur Chrome ≥ 123 ou sur les sites Google, Reddit, etc., ce qui incrimine la couche d’identité Microsoft mobile, pas la clé.

Solutions de contournement immédiates

ObjectifSolution proposéeDétails / points d’attention
Contourner l’absence de NFC1. Utiliser Microsoft Authenticator en fenêtre pop‑up (Picture‑in‑Picture) ou en mode écran partagé au lieu de quitter Edge.
2. Générer un mot de passe d’application (32 caractères) dans la page Sécurité du compte Microsoft, puis le saisir dans Edge.		· Le PiP maintient le token d’authentification et élimine l’erreur de mot de passe.
· Un mot de passe d’application neutralise temporairement la MFA pour les appareils incompatibles NFC/FIDO2.
Tester la clé en mode filaireConnecter la YubiKey via un adaptateur USB‑C → USB‑A ou un câble OTG.Edge reconnaît alors la clé comme USB FIDO2; l’opération est instantanée même sur batterie.
Valider la clé ailleursEssayer la même YubiKey sur Chrome Android ou sur un service compatible (Google, GitHub, Reddit…).Si la LED s’allume en NFC, la clé et la puce NFC du téléphone sont hors de cause. Seule l’implémentation Microsoft est limitée.
Escalader le problèmeSoumettre un ticket dans Feedback Hub et sur le portail de support Microsoft (catégorie : Accounts > Sign-in).Chaque rapport client augmente la priorité interne et accélère l’activation du parcours NFC.

Comprendre les raisons techniques

1. WebAuthn et FIDO2 côté Microsoft

Les clés de sécurité respectent le standard FIDO2 : une paire de clés asymétriques est créée et stockée dans la puce sécurisée de la YubiKey. Dans Edge Desktop et Windows Hello, l’implémentation Microsoft authentifie par USB, NFC et BLE. Sur Android, le composant MSAL (Microsoft Authentication Library) a d’abord exposé l’endpoint USB, laissant NFC hors champ par souci de cohérence avec d’autres plateformes internes encore en rattrapage.

2. Gestion de session sur Android

Lorsqu’une page web appelle l’API navigator.credentials.get(), le navigateur Android encapsule la requête dans une « Intent ». Si l’utilisateur revient à l’écran d’accueil ou lance Authenticator en plein écran, le système peut terminer l’activité Edge pour libérer de la mémoire. Tout paramètre d’état (nonce, code PKCE, ID de requête) est alors perdu ; d’où l’erreur générique « The account or password is incorrect » qui masque une rupture de contexte d’authentification.

Préparer le futur : l’arrivée des passkeys

Les passkeys sont la version synchronisée de WebAuthn. Au lieu d’exiger une clé matérielle unique, la paire de clés privée/publique est répliquée dans le coffre‑fort chiffré de votre compte Google ou Microsoft et accessible via la biométrie du téléphone (empreinte digitale ou reconnaissance faciale).

Calendrier prévisionnel à retenir :

  • Windows 11 24H2 (déploiement débuté en juin 2025) propose déjà la création de passkeys Microsoft dans Edge 124+. 
  • Edge Android doit hériter de la même pile FIDO2 complète dès que l’équipe MSAL finalise le handler NFC. La documentation interne mentionne un feature flag baptisé android_native_passkey.
  • Le support cross‑vendor (synchronisation entre iOS, Android et Windows) dépendra d’une mise à niveau du service d’identité (IDSv2) prévue fin 2025.

Bonnes pratiques avant de rendre un compte “sans mot de passe”

  1. Configurer au minimum deux méthodes indépendantes : Authenticator et SMS, ou Authenticator et deux clés de sécurité distinctes (l’une stockée hors site).
  2. Tester chaque méthode sur chaque appareil critique (PC principal, mobile professionnel, tablette) avant de supprimer le mot de passe.
  3. Garder à jour les codes de récupération hors ligne (impression papier, coffre‑fort chiffré).
  4. Planifier un audit trimestriel : vérifier que les appareils de secours n’ont pas expiré (numéros portés, téléphone réinitialisé, etc.).

FAQ – Questions fréquentes

Edge iOS propose‑t‑il l’option NFC ?

Non. L’écosystème iOS impose l’utilisation de l’“OS‑broker” (feuille de partage système) pour FIDO2, et Microsoft ne l’a pas encore activé. Seul Safari via iCloud Keychain offre la détection NFC native aujourd’hui.

Une YubiKey 5 C NFC fait‑elle mieux qu’une 5 NFC standard ?

La 5 C NFC ajoute le connecteur USB‑C intégré, simplifiant le branchement direct au téléphone mais n’apporte aucune différence logicielle quant à la prise en charge NFC. Les limitations d’Edge restent identiques.

Existe‑t‑il un risque de sécurité à créer un mot de passe d’application ?

Ces mots de passe contournent la MFA, mais ils sont liés à un device/app précis et peuvent être révoqués à tout moment. Limitez-vous à un mot de passe d’application par appareil, désactivez‑les sitôt la fonction NFC disponible.

Comment savoir si ma version d’Edge supporte déjà les passkeys ?

Dans la barre d’adresse, saisissez edge://flags puis cherchez “Passkeys”. Si l’option est affichée, activez-la pour tester le flux. Notez toutefois que le serveur Microsoft peut encore refuser la création côté Android jusqu’à l’ouverture générale.

Étapes détaillées pour l’utilisation de Microsoft Authenticator en fenêtre pop‑up

  1. Ouvrez Edge Android et lancez la connexion Microsoft.
  2. Choisissez Clé de sécurité ; ignorez l’étape où seul USB est visible.
  3. Quand Edge demande Authenticator, touchez Multitâche (icône ‹□›) puis maintenez la vignette Authenticator.
    • Sélectionnez Ouvrir en vue fractionnée.
    • Faites glisser la fenêtre Authenticator en haut ; Edge reste en bas.
    • Approuvez la notification.
    Edge finalise la connexion ; aucun changement de contexte ne survient.
  4. Revenez en mode plein écran une fois l’accès accordé.

Étapes de création d’un mot de passe d’application

  1. Sur un PC, connectez-vous au tableau de bord Compte Microsoft → Sécurité avancée.
  2. Cliquez sur Mots de passe d’application puis Créer un nouveau.
  3. Copiez le mot de passe généré ; ne rajoutez pas d’espaces ni de retour à la ligne.
  4. Sur votre téléphone, collez-le dans Edge ou Bing à l’étape “Entrez le mot de passe”.

Ce mot de passe reste actif tant que vous ne le révoquez pas ou ne réinitialisez pas votre mot de passe principal. Il est recommandé de le supprimer quand la connexion NFC sera disponible pour ne pas multiplier les points d’entrée.

Résolution avancée : analyser les logs de WebAuthn

Pour les administrateurs ou utilisateurs aguerris, il est possible d’observer la pile FIDO2 :

  1. Activez Développeur Android : Paramètres → À propos du téléphone → Infos logiciel → tapez sept fois sur “Numéro de build”.
  2. Lancez adb logcat | findstr -i fido depuis un PC. En insérant la YubiKey (USB) ou en l’approchant en NFC, vous verrez défiler les events ctap2 et hidraw. Absence de logs NFC lors du flux Microsoft Edge confirme que la requête WebAuthn n’est jamais relayée au service NFC.

En synthèse

L’indisponibilité actuelle de la YubiKey NFC dans Edge/Bing Android est une limitation de l’implémentation mobile de Microsoft, non un défaut matériel. D’ici l’activation des passkeys et du handler NFC, trois solutions robustes existent : (1) valider via Authenticator en split‑screen, (2) utiliser un mot de passe d’application et (3) brancher la clé en USB. Suivre l’évolution des versions Edge (Android) et multiplier les signalements accéléreront le déploiement d’un parcours NFC natif, véritable clé d’un avenir sans mot de passe complètement transparent.

Edge
Sommaire