Résoudre les dysfonctionnements YubiKey sous Windows 11 : guide complet FIDO2, firmware et correctifs

Les tentatives d’authentification FIDO2 échouent aléatoirement sous Windows 11 alors que les mêmes YubiKey fonctionnent sans faute sous macOS ? Ce guide pas à pas explique comment identifier la cause (drivers, mises à jour, ports, logiciels de sécurité) et rétablir un fonctionnement 100 % fiable.

Vue d’ensemble du problème

Depuis le printemps 2024, divers utilisateurs ont signalé un message « Impossible de lire votre clé » ou « Unable to authenticate » lors de la présentation d’une YubiKey sur Windows 11 22H2/24H2. Les symptômes sont :

• Échec sporadique : une même clé est lue correctement 3 fois, puis échoue la 4^e.
• L’icône de la clé clignote, mais aucune invite PIN n’apparaît.
• Les journaux WebAuthN retournent l’erreur 0xc000006d (STATUS_LOGON_FAILURE).
• Le même lot de clés fonctionne immédiatement sur macOS, iPadOS, Linux et même sur des PC Windows 10.

Le facteur de corrélation le plus fréquent est une mise à jour cumulative publiée entre juin 2024 et avril 2025, combinée à un micrologiciel YubiKey antérieur à 5.7.0. Vous trouverez ci‑dessous un plan de diagnostic complet, suivi de correctifs et de bonnes pratiques pour éviter la réapparition du problème.

Plan de diagnostic détaillé

Ports USB et matériel

• Changer de port lors des essais. Alternez entre emplacements USB‑A 2.0, USB‑A 3.x et USB‑C (PD) : certains chipsets gèrent mal le power‑debounce propre aux clés matérielles.
• Tester sur un autre PC Windows 11. Si la clé échoue partout, suspectez un défaut matériel. Si elle fonctionne ailleurs, continuez avec les étapes logicielles.
• Inspection physique. Nettoyez délicatement les contacts de la clé et soufflez le port pour retirer poussière ou limaille susceptible d’interrompre la ligne V_BUS.

Pilotes et micrologiciels à jour

Windows ne réclame plus de pilote tiers depuis FIDO2, mais un driver class USB défectueux peut provoquer une désinitialisation intempestive :

1. Ouvrez Gestionnaire de périphériques → Contrôleurs de bus USB.
2. Clic droit sur chaque « USB Root Hub (USB 3.0) » → Mettre à jour le pilote.
3. Vérifiez que la version usbhub3.sys est au moins 10.0.22631.3500 (juin 2025).

Puis lancez YubiKey Manager :

ykman --device <serial> info
ykman firmware update

Le firmware 5.7.0+ corrige un bug FIDO2 qui provoquait un timeout sur Windows si le port passait brièvement en état U0→U1.

Correctifs Windows

Microsoft a distribué deux correctifs clés :

• KB5035857 (juin 2024) : stabilité FIDO2 et WebAuthN.
• KB5040973 (aperçu facultatif C, avril 2025) : résolution d’un conflit USB selective suspend.

Installez le Latest Cumulative Update puis redémarrez. Si l’anomalie coïncide avec l’installation d’un patch, procédez comme suit :

settings → windows update → historique

1. Notez le numéro KB appliqué la veille.
2. Redémarrez en Mode sans échec avec réseau.
3. Testez la clé : si elle marche, désinstallez temporairement le patch.
4. Activez Recevoir les builds Insider Preview Release Preview pour récupérer rapidement le correctif réédité.

Navigateurs et applications

FIDO2 passe par le navigateur, qui dialogue avec webauthn.dll :

• Mettre à jour Edge ou Chrome. Chromium 123‑124 sous Windows 11 déclenchait l’erreur « device lost » lors de la reprise de veille ; la version 125 résout le bug.
• Vider le cache FIDO2. Paramètres → Comptes → Options de connexion → Clés de sécurité → Gérer → Supprimer → Redémarrer.
• Réenregistrer la clé sur chaque site ; préférez Passkeys (pleine implémentation FIDO2) à l’ancien U2F.

Logiciels de sécurité

Antivirus d’entreprise et EDR injectent des filter drivers entre la couche USB et WebAuthN :

Produit de sécurité	Symptôme courant	Contournement
Microsoft Defender Application Control (MDAC)	Échec dès l’insertion ; code 0x801c03fc	Déclarer PIV Applet en AllowedUSB
SentinelOne / CrowdStrike	Clé détectée puis immédiatement éjectée	Mode Jeu ou Politique « USB permitido »
Ivanti Device Control	Invite de blocage Storageless Device	Liste blanche du PID 0x0407 de Yubico

Si le service IT refuse la mise en liste blanche permanente, activez‑la uniquement pendant l’enregistrement puis revenez au mode strict.

Réenregistrement / réinitialisation

1. Supprimez chaque entrée YubiKey dans le compte Microsoft, Google, GitHub, etc.
2. Effectuez un reset FIDO2 :
   ykman fido reset
3. Réinscrivez la clé sur la même machine pour que le navigateur capture la configuration exacte de la pile USB et du module TPM.

Envisagez également de migrer votre tenant Microsoft Entra ID vers des Passkeys cloud : la clé devient alors un facteur secondaire et un échec ponctuel n’interrompt plus la session.

Logs et support avancé

Activez la journalisation détaillée :

eventvwr.msc → Applications and Services Logs
→ Microsoft → Windows → WebAuthN → Operational → Enable log

Reproduisez l’erreur et exportez le fichier EVTX. Recherchez les événements 1006 (NTE_DEVICE_NOT_FOUND) ou 1008 (NTE_TIMEOUT). Transmettez‑les au support Yubico ; ils disposent d’outils internes (YKDiag, FIDODump) capables de corréler le temps de réponse de la clé avec les états de bus USB.

Optimisations et bonnes pratiques

Désactiver USB selective suspend

1. Panneau de configuration → Options d’alimentation → Modifier les paramètres du plan → Modifier les paramètres avancés.
2. Développez Paramètres USB → Paramètre de mise en veille sélective USB.
3. Réglez sur Désactivé puis redémarrez.

Sur de nombreux chipsets Intel Tiger Lake ou AMD Rembrandt, la suspension sélective coupe le +5 V pendant 3 ms ; les YubiKey anciennes générations ne tolèrent pas ce brown‑out.

Vérifier l’intégrité du noyau (HVCI)

Le durcissement Hypervisor‑enforced Code Integrity bloque tout pilote USB non signé :

1. Sécurité Windows → Sécurité des appareils → Isolation du noyau.
2. Si HVCI est activé, assurez‑vous que chacun des pilotes USB listés est signé WHQL 2023+.
3. En dernier recours, désactivez HVCI, redémarrez, testez la clé, puis réactivez‑le.

Sauvegarde hors ligne et plan de continuité

• Détenez toujours deux YubiKey de secours ou, à défaut, une clé + un code de récupération.
• Stockez la seconde clé dans un lieu séparé (coffre, bureau distant) afin d’éviter la perte simultanée.
• Documentez la procédure de réinitialisation dans votre outil ITSM pour qu’elle puisse être déclenchée même en votre absence.

Étude de cas : résolution complète en entreprise

Une société de conseil (900 postes Windows 11) a vu son taux d’échec FIDO2 bondir de 1 % à 18 % début 2025. Le rétablissement s’est fait en quatre jours :

1. Déploiement pilote du firmware 5.7.0 sur 30 clés → 0 % d’échec.
2. Correction GPO pour forcer USB selective suspend = Disabled.
3. Distribution du correctif KB5040973 via WSUS.
4. Campagne interne : réenregistrement Passkey + second facteur de secours.

Poste‑prod, le taux d’échec est à nouveau < 0,5 % et considéré comme bruit statistique normal (déconnexion physique inopinée, clé mal insérée).

Récapitulatif rapide des actions clés

• Mettre Windows à jour (version et pilote USB) ;
• Mettre la YubiKey à jour (firmware ≥ 5.7.0) ;
• Désactiver USB selective suspend si la carte‑mère est instable ;
• Mettre à jour le navigateur (Edge ≥ 125) ;
• Désactiver/contourner l’antivirus le temps du diagnostic ;
• Réinitialiser la clé et réenregistrer en Passkey ;
• Capturer les événements WebAuthN Operational pour un support avancé.

Conclusion

Dans la grande majorité des cas, un trio — firmware YubiKey trop ancien, pilote USB obsolète et correctif cumulatif manquant — explique les déconnexions sporadiques sous Windows 11. En appliquant la méthode de diagnostic ci‑dessus, vous retrouverez un parcours d’authentification FIDO2 stable, sécurisé et conforme aux exigences Zero Trust. N’oubliez pas de documenter chaque correctif dans votre référentiel IT pour accélérer toute future intervention.