Passkey : une nouvelle ère pour l’authentification forte
Le 1er mai 2025 a marqué un tournant symbolique dans l’histoire de l’authentification. Historiquement dédiée au « World Password Day », cette journée a été renommée par l’Alliance FIDO en World Passkey Day, mettant en lumière une transition majeure dans les pratiques d’accès aux services numériques. Des entreprises telles que Microsoft, ainsi que plusieurs dizaines d’autres organisations, ont signé le Passkey Pledge pour soutenir et accélérer le déploiement massif des clés d’accès dans l’année à venir.
À cette occasion, il est pertinent de rappeler que notre solution de bastion PROVE IT, certifiée par l’ANSSI, est compatible avec les passkeys. Cela nous permet de proposer à nos clients une alternative robuste, moderne et interopérable pour sécuriser leurs accès.
1. Qu’est-ce qu’une passkey ?
Une passkey (ou clé d’accès) est un identifiant numérique unique permettant à un utilisateur de s’authentifier sans avoir besoin de saisir un mot de passe. À la différence des mots de passe, qui reposent sur un secret partagé et transmissible, les passkeys utilisent une paire de clés cryptographiques asymétriques :
- Une clé publique est enregistrée sur le service auquel on souhaite accéder,
- Une clé privée, elle, est conservée de manière sécurisée sur l’appareil de l’utilisateur, protégée par un système local (ex: biométrie/code)
L’utilisateur s’authentifie grâce à un dispositif qu’il possède (clé physique, smartphone, PC, …) ce qui déclenche une signature cryptographique validée par le service distant. Aucun secret n’est transmis, ce qui rend cette méthode inviolable à de nombreuses attaques (détaillées dans la partie 5).
2. Quelle technologie sous-jacente ?
Les passkeys reposent sur deux standards ouverts : FIDO2 et WebAuthn, co-développés par la FIDO Alliance (Fast Identity Online) et le W3C. Leur objectif commun est d’éliminer l’usage des mots de passe au profit d’une authentification forte, simple et interopérable pour le monde du web.
- FIDO2 permet l’authentification à l’aide d’un dispositif local (ex. smartphone, clé USB, carte à puce),
- WebAuthn est une API permettant aux navigateurs modernes de dialoguer avec ces dispositifs
Cette architecture repose sur des principes de Security by design : aucun élément d’authentification n’est accessible ni transmissible. Les données biométriques, lorsqu’elles sont utilisées, restent toujours sur l’appareil et ne quittent jamais l’environnement sécurisé (Secure Enclave, TPM, etc.).
3. Pourquoi remplacer les mots de passe ?
Malgré leur omniprésence, les mots de passe constituent l’un des maillons les plus faibles de la sécurité informatique. Selon le rapport Verizon DBIR 2024, 77 % des compromissions de comptes sont liées à des identifiants faibles ou volés. Phishing, réutilisation de mots de passe, mots de passe faibles… les menaces sont nombreuses.
Par ailleurs, la gestion des mots de passe est coûteuse : oublis fréquents, réinitialisations, complexité croissante… Les DSI et les équipes support en subissent les conséquences quotidiennes. En comparaison, les passkeys offrent une solution résistante, sans friction, alignée avec les exigences de l’authentification forte et facilement couplable avec de l’authentification à plusieurs facteurs (MFA).
4. Pourquoi adopter les passkeys ?
L’adoption des passkeys représente une avancée significative à plusieurs niveaux :
- Sécurité : insensibles au phishing, aux fuites de données sur les services et à l’interception. L’authentification repose sur une preuve de possession (appareil) et, souvent, un facteur biométrique.
- Simplicité : plus besoin de retenir ou même de saisir de mot de passe. L’expérience utilisateur est fluide et immédiate.
- Interopérabilité : les passkeys fonctionnent sur tous les systèmes compatibles FIDO2/WebAuthn, permettant une adoption large sans dépendance à un éditeur.
- Protection de la vie privée : aucune donnée biométrique n’est transmise ou stockée côté serveur. Elles restent sur l’appareil, isolées du système.
5. Une réponse efficace aux attaques les plus courantes
En éliminant le mot de passe, les passkeys neutralisent de nombreuses menaces bien connues des RSSI, comme le phishing, le vol d’identité ou les attaques par force brute. Voici les principales attaques qu’elles permettent d’éviter :
| Type d’attaque | Description de l’attaque | Comment les passkeys protègent |
|---|---|---|
| Phishing | L’utilisateur est trompé pour saisir ses identifiants sur un faux site. | Les passkeys sont liées au domaine d’origine grâce à WebAuthn. Si l’utilisateur interagit avec un faux site, la clé ne fonctionne pas. |
| Attaque par force brute | Tentative d’essayer toutes les combinaisons possibles pour deviner un mot de passe. | Les passkeys utilisent des clés cryptographiques résistantes à la force brute avec les technologies de 2025. |
| Fuite de bases de données | Les mots de passe sont volés dans une base de données compromise sur le serveur. | Seule la clé publique est stockée sur le serveur, elle est par essence non-confidentielle puisque publique. |
| Attaque de type replay | Réutilisation d’un ancien challenge ou d’une signature interceptée. | Les passkeys intègrent un challenge unique pour chaque session. Les anciennes signatures sont invalides. |
| Keylogging | Enregistrement des frappes clavier pour voler les identifiants de connexion. | Les passkeys n’impliquent pas la saisie de la clé privée. La clé privée est inaccessible et reste dans son dispositif d’authentification. |
| Vol d’identité par social engineering | L’utilisateur est manipulé pour divulguer ses identifiants ou clés. | Les passkeys ne peuvent pas être divulguées par erreur : la clé privée est inaccessible à l’utilisateur et reste dans son dispositif d’authentification. |
| Attaque par interception (Man-in-the-Middle) | Un attaquant intercepte les communications entre l’utilisateur et le serveur pour voler les identifiants. | Les passkeys signent chaque challenge avec la clé privée locale. La clé privée ne peut pas être déduite depuis la signature transmise. |
| Attaques par malware | Un logiciel malveillant tente d’extraire la clé privée de l’appareil. | La clé privée est stockée dans un élément sécurisé (ex. TPM, Secure Enclave) inaccessible aux applications tierces ou malware. |
| Reuse Attack (réutilisation de mot de passe) | Réutilisation de mots de passe compromis sur plusieurs services. | Les passkeys sont uniques à chaque utilisateur et service. Une clé privée compromise pour un service ne peut être utilisée ailleurs. |
| Attaque sur les communications (MITM sur challenge) | Modification du challenge ou interception avant qu’il ne soit signé. | Le challenge est lié au domaine d’origine et signé par le dispositif d’authentification, empêchant toute modification ou falsification. |
6. Qui propose des passkeys ?
De nombreux acteurs proposent déjà des solutions matérielles ou logicielles compatibles avec les passkeys :
- Clés physiques : Keopass (Français), Neowave (Français), Nitrokey (Allemand), Yubico (YubiKey – Américain)…
- Gestionnaires de mots de passe : 1Password, Bitwarden, KeepassXC…
- Écosystèmes natifs : Apple (iCloud Keychain), Google (Password Manager), Microsoft (Windows Hello)
La FIDO Alliance garantit une compatibilité et une interopérabilité entre ces solutions.
7. Qui les a déjà adoptées ?
L’adoption des passkeys connaît une croissance rapide. Microsoft affirme que sur ses services, près d’un million de passkeys sont créées chaque jour. Les systèmes d’exploitation modernes et les principaux navigateurs les supportent déjà nativement :
OS :
- iOS 16+, macOS Ventura+
- Android 9+
- Windows 10/11 avec Windows Hello
Navigateurs :
- Google Chrome (v109+)
- Apple Safari (v16+)
- Microsoft Edge (v109+)
- Mozilla Firefox (avec un support partiel)
Services compatibles :
- Développement : GitHub, GitLab, Bitbucket
- Finances : Stripe, PayPal, Coinbase
- E-commerce : Amazon, Shopify, Walmart
- Réseaux sociaux : LinkedIn, TikTok, X, Discord
- Cloud & collaboration : Dropbox, Adobe, Zoom
La liste s’allonge chaque mois, rendant l’usage des passkeys de plus en plus commun pour les utilisateurs.
En conclusion
L’abandon progressif des mots de passe au profit des passkeys n’est plus une utopie, mais une transition déjà amorcée par les leaders technologiques et les entreprises en avance de phase.
Pour les DSI et RSSI, c’est une opportunité concrète d’élever le niveau de sécurité, réduire la surface d’attaque, simplifier la vie des utilisateurs… tout en restant conformes aux référentiels (FIDO2, NIS2, SecNumCloud, etc.).
PROVE IT, compatible avec les passkeys, vous permet de passer à l’action dès aujourd’hui.