SWAG, mon reverse proxy 🔒 Authelia 4.39: FIDO, Passkey & Passwordless (11/XX)

En bref

Prérequis	SWAG + Authelia 4.38 fonctionnel, SMTP configuré, Docker
Résultat	Connexion passwordless en un clic via passkey (empreinte, clé FIDO, Windows Hello)
Ressources	Notes de version Authelia 4.39 · Release 4.39.1 · WebAuthn (Wikipedia)

---

Cet épisode est le onzième de la série sur mon reverse proxy SWAG. Hasard du calendrier : la semaine dernière je sortais un épisode sur SWAG, et la semaine suivante Authelia publie sa version 4.39 avec des fonctionnalités que j’attendais depuis longtemps. Deux épisodes de suite sur la même thématique — tant pis.

Authelia, un rappel rapide

Authelia est la couche d’authentification qui se place devant SWAG. C’est un projet open source gratuit — je le précise d’autant plus dans cet épisode qui porte sur Authelia lui-même.

Son rôle : centraliser la gestion des utilisateurs et des accès. On définit quels utilisateurs ont accès à quels services, on configure l’authentification multifacteur, et on bénéficie du Single Sign-On (SSO) — on s’authentifie une fois, et on est reconnu par tous les services hébergés derrière SWAG.

Par exemple : j’ai Nextcloud, Jellyfin, Vaultwarden. Plutôt que de m’authentifier séparément sur chaque service, Authelia centralise l’authentification. Une fois connecté via Authelia, tous mes services me reconnaissent.

Les politiques d’accès sont granulaires : un service peut exiger un deuxième facteur, un autre peut être accessible avec un seul facteur, d’autres encore peuvent être accessibles sans aucune authentification selon qu’on vient du réseau local ou d’internet.

La grande nouveauté : WebAuthn et les passkeys

La version 4.39 apporte le support natif de WebAuthn — standard W3C — avec les passkeys et la connexion passwordless.

WebAuthn, c’est le standard derrière FIDO2, FIDO UAF (Universal Authentication Framework) et U2F (Universal Second Factor). Concrètement, plutôt qu’un mot de passe, l’authentification repose sur un élément de confiance local :

• L’empreinte digitale sur smartphone
• Une clé USB FIDO (comme la clé Kensington que j’ai montrée dans la vidéo, avec un capteur d’empreinte)
• Windows Hello (reconnaissance faciale ou empreinte)
• Un gestionnaire de mots de passe compatible (Proton Pass, Google Chrome, etc.)
• Le TPM (Trusted Platform Module) — c’est d’ailleurs ce dont tout le monde a entendu parler avec Windows 11

C’est nettement plus sécurisé qu’un mot de passe classique : pas de risque de phishing par vol du mot de passe, l’authentification est liée à l’appareil physique. Et c’est surtout beaucoup plus fluide en pratique.

Démonstration : sur mon Nextcloud, je clique “Se connecter avec Authelia”, j’arrive sur la page d’Authelia, je clique “Sign in with a passkey”, je choisis ma clé, je pose mon doigt sur le capteur d’empreinte de mon téléphone — et je suis connecté. Zéro mot de passe saisi, zéro code à usage unique à récupérer.

Avant de commencer : lire les notes de version

Grosse mise à jour = grosse prudence. Avant de toucher quoi que ce soit, je recommande de lire le blog post officiel Authelia 4.39 — il y a une personne chez Authelia qui a pris le temps de rédiger un article très complet sur tous les changements, les impacts, et la roadmap vers la version 5.

Les changements techniques à connaître :

OpenID Connect (OIDC) : la manière de fournir les claims dans les ID tokens a changé pour se conformer aux spécifications. Ça peut potentiellement casser certaines intégrations — en particulier l’intégration Nextcloud si vous avez oidc_login_use_id_token à true dans config.php (voir plus bas).

Base du conteneur : le conteneur n’est plus basé sur Alpine mais sur une image custom avec des ELS checks. La construction a changé, il peut y avoir de petits impacts à la marge.

Intégration systemd : si vous utilisez Authelia avec systemd (pas le cas en Docker), il y a des changements à prendre en compte.

Tip : ne pas utiliser Google Translate pour lire la documentation — les termes techniques sont souvent mal traduits. Utiliser plutôt un LLM qui respecte le vocabulaire technique.

Faire une sauvegarde avant tout

C’est non-négociable pour une mise à jour majeure. Dans Duplicati (mon conteneur de sauvegarde), je vérifie que l’app data de Docker a bien été sauvegardé récemment. Dans mon cas, la sauvegarde datait de 10 minutes avant la mise à jour — je pouvais me lancer.

Si vous n’avez pas de solution de sauvegarde automatique en place, faites au minimum une copie manuelle du répertoire de configuration d’Authelia (authelia/config/).

Mise à jour des images

docker pull lscr.io/linuxserver/swag
docker pull authelia/authelia:latest
docker compose up -d

Après le démarrage, vérifier les logs Authelia — on doit voir Authelia 4.39 starting... avec un niveau info et aucun warning ni erreur.

Point d’attention : j’ai rencontré un problème avec SWAG au moment de cette mise à jour — pas lié à Authelia mais au docker mod CrowdSec qui avait un conflit avec la nouvelle image SWAG. Correction temporaire : désactiver CrowdSec dans les docker mods. Le problème était discuté sur le Discord LinuxServer.io, les logs indiquaient une dépendance non résolue. J’ai dû attendre la correction avant de remettre CrowdSec.

J’ai aussi attendu la sortie de la version 4.39.1 avant de continuer — elle corrigeait un bug WebAuthn que j’avais rencontré. Je recommande d’attendre quelques jours après une sortie majeure, surtout si votre configuration de production dépend de WebAuthn.

Activer WebAuthn dans la configuration

Après la mise à jour, il faut comparer votre fichier de configuration actuel avec le template par défaut. La bonne méthode :

1. Aller sur le dépôt GitHub d’Authelia, récupérer config.template.yaml
2. Créer ce fichier dans votre répertoire authelia/config/
3. Ouvrir les deux fichiers côte à côte dans VS Code (diff)
4. Identifier les nouvelles sections à intégrer

La section WebAuthn à ajouter dans votre configuration.yml : il faut ajouter un bloc webauthn: avec disable: false, activer enable_passkey_login: true (expérimental — c’est le bouton “Sign in with passkey” sur la page de connexion), définir un display_name, et configurer les sous-sections filtering, selection_criteria et metadata selon les recommandations de sécurité documentées dans le config.template.yaml sur GitHub d’Authelia.

Le paramètre enable_passkey_login: true est expérimental mais c’est celui qui active le bouton de connexion directe par passkey sur la page d’Authelia. C’est exactement ce qu’on cherche.

Attention : dans les versions suivantes (4.40, 4.41, vers la 5.0), ce paramètre expérimental changera probablement. Il faudra surveiller les notes de version.

Il y a aussi un paramètre enable_passkey_for_two_factors qui permet de bypasser le deuxième facteur quand on utilise une passkey. Normalement, même si WebAuthn est très sécurisé, Authelia peut encore demander un second facteur selon vos politiques. Ce paramètre permet de dire “une passkey compte comme authentification complète, pas besoin d’un OTP en plus”. C’est expérimental, mais très pratique en pratique.

Après modification, redémarrer le conteneur Authelia. Sur la page de connexion, le bouton “Sign in with a passkey” doit apparaître.

Correction nécessaire pour Nextcloud

Si vous avez Nextcloud intégré avec Authelia via OIDC, il y a un changement obligatoire dans config/www/nextcloud/config/config.php :

'oidc_login_use_id_token' => false,   // était true avant, doit passer à false

Si vous laissez cette valeur à true, vous aurez une erreur après l’authentification OIDC — Nextcloud n’arrivera pas à résoudre l’utilisateur correctement. Le reste de la configuration OIDC Nextcloud n’a pas besoin de changer.

Enregistrer une passkey

L’enregistrement ne peut pas se faire à la volée lors de la première connexion. Il faut le faire manuellement, une fois, depuis les paramètres du compte Authelia.

Procédure :

1. Se connecter normalement à un service (identifiant + mot de passe + OTP si nécessaire)
2. Aller directement sur l’URL de votre instance Authelia
3. Authelia affiche “Vous êtes actuellement connecté” avec votre nom d’utilisateur
4. Cliquer sur l’icône de paramètres en haut à droite → Settings
5. Dans la section “Security” → “Authentification à deux facteurs”
6. Cliquer “Ajouter”
7. Une popup s’ouvre avec un code OTP à usage unique — reçu par email à l’adresse associée au compte
8. Saisir ce code, donner un libellé à la clé (ex: “Proton Pass PC”, “Chrome Android”)
9. Le gestionnaire de mots de passe / navigateur vous demande de créer la clé — confirmer

Prérequis indispensable : SMTP doit être configuré dans Authelia pour que l’envoi du code OTP par email fonctionne. Sans SMTP, l’enregistrement est impossible.

J’ai enregistré deux clés :

• “PC” — gérée par Proton Pass sur mon ordinateur portable
• “S23 Plus” — gérée par Google Chrome sur mon téléphone (Proton Pass Android ne gère pas encore bien WebAuthn dans ce contexte)

Le libellé est trompeur : ce n’est pas l’appareil qui compte, c’est le gestionnaire de mots de passe ou le navigateur qui stocke la clé. Proton Pass sur PC, Chrome sur Android — voilà ce que j’aurais dû écrire.

Test du fonctionnement complet

Pour tester proprement, il faut d’abord supprimer tous les cookies d’authentification (ou passer en navigation privée). Dans Chrome : cliquer sur l’icône de paramètres cookies → “Gérer les données des sites” → supprimer les cookies des trois domaines concernés (Authelia + les services).

Ensuite :

• Aller sur Nextcloud → “Se connecter avec Authelia”
• Page Authelia : cliquer “Sign in with a passkey”
• Le gestionnaire de mots de passe / navigateur propose les clés disponibles
• Je choisis ma clé Proton Pass → empreinte → connecté directement sur Nextcloud

Zéro mot de passe tapé. Zéro code OTP récupéré. Un clic + une empreinte.

C’est précisément ça que j’attendais depuis un moment. C’est à la fois plus sécurisé (pas de mot de passe à voler) et plus fluide (moins d’étapes). L’expérience au quotidien est nettement améliorée.

Ce qui reste à explorer

Je n’ai pas encore testé Windows Hello avec cette configuration. Ça devrait fonctionner de la même manière — Windows Hello implémente WebAuthn, il devrait pouvoir stocker et utiliser les clés. Ce sera peut-être l’objet d’une future vidéo.

Un mot sur la qualité du projet Authelia

J’auto-héberge Authelia depuis un moment, et ce projet tient vraiment la route. Il y a une roadmap claire et précise, les mises à jour respectent les standards (OIDC, WebAuthn, les normes de sécurité), les changements sont toujours bien documentés avec des articles de blog. La mise à jour 4.38 l’année dernière était complexe à migrer — la 4.39, on met à jour l’image et ça repart tel quel.

La 5.0 va probablement amener d’autres changements importants. Il faudra suivre l’actualité, mais avec ce projet, j’ai confiance que ça sera bien documenté.

Si vous auto-hébergez des services exposés sur internet, vous ne pouvez pas faire l’économie d’une couche d’authentification centralisée. Authelia + SWAG + CrowdSec, c’est l’ensemble que j’utilise et que je recommande. Une fois configuré, ajouter un nouveau service derrière ce reverse proxy prend littéralement 10 secondes — copier un fichier de config, l’adapter, le sauvegarder, et le service est disponible en ligne avec toute la sécurité déjà en place.