Les passkeys promettent un monde sans mots de passe, mais toutes ne se valent pas. Entre cloud, terminaux personnels et clés matérielles, le vrai défi consiste à rendre les utilisateurs durablement résistants au phishing.
L’abandon des mots de passe s’est nettement accéléré ces dernières années, porté en grande partie par l’essor des passkeys. Conçues pour simplifier et renforcer l’authentification, elles sont désormais prises en charge par l’ensemble des principaux systèmes d’exploitation et navigateurs web, rendant le sans mot de passe de plus en plus concret, tant pour les particuliers que pour les entreprises. Selon le Passkey Index de la FIDO Alliance et de Liminal, près des deux tiers (63 %) des professionnels IT les placent en tête de leurs priorités d’investissement pour l’année à venir. Toutefois, un défi subsiste, comprendre pleinement comment ces nouveaux identifiants s’intègrent dans les stratégies globales de sécurité des identités en entreprise.
Les passkeys restent un terme récent, mais pas un concept nouveau. Elles existent depuis 2018 sous la forme d’identifiants FIDO2/WebAuthn dits « découvrables ». L’une des principales confusions tient à la distinction entre la passkey elle-même et le support qui l’héberge. Une passkey, ou identifiant FIDO2/WebAuthn, peut être stockée sur un smartphone, un ordinateur portable ou une tablette, mais aussi sur un authentificateur dédié, conçu spécifiquement pour la sécurité, comme une clé de sécurité matérielle. On parle alors de passkeys matérielles (« hardware-backed »), par opposition aux passkeys synchronisées, hébergées dans le cloud par un fournisseur de plateforme ou de service.
Si cette nuance peut sembler subtile, elle implique en réalité des compromis de sécurité majeurs, en particulier dans un environnement sans mot de passe et pour les utilisateurs exposés à des risques élevés. Car une fois les mots de passe éliminés, l’enjeu se déplace. Il ne s’agit plus seulement de protéger l’accès, mais de sécuriser l’ensemble du cycle de vie des identifiants.
Choisir la bonne passkey
Les passkeys matérielles offrent généralement un meilleur niveau de contrôle aux organisations que les passkeys synchronisées, dans la mesure où l’identifiant reste lié à un appareil spécifique, plutôt que d’être répliqué sur plusieurs plateformes. Mais toutes les passkeys matérielles ne se valent pas.
Certaines reposent sur des appareils polyvalents comme les smartphones ou les ordinateurs portables. D’autres sont stockées dans des authentificateurs matériels dédiés, conçus exclusivement pour protéger les identifiants. Les clés de sécurité matérielles, par exemple, offrent un niveau de garantie particulièrement élevé grâce à des mécanismes d’attestation permettant de vérifier l’origine et l’intégrité des identifiants.
Ce niveau d’assurance est essentiel pour les entreprises évoluant dans des environnements fortement réglementés. Plus largement, ces authentificateurs dédiés peuvent servir d’identifiants portables résistants au phishing, permettant aux utilisateurs d’effectuer en toute sécurité des actions critiques : enregistrer un nouvel appareil, s’authentifier pour la première fois sur un nouveau système ou encore ajouter de nouvelles méthodes d’authentification. Disposer d’un identifiant de confiance à ces moments de transition permet de poser les bases d’interactions sécurisées entre utilisateurs et systèmes.
Vers des utilisateurs résistants au phishing
À mesure que les passkeys accélèrent la transition vers le sans mot de passe, l’objectif des entreprises doit évoluer. Il ne s’agit plus seulement de déployer une méthode de connexion plus robuste, mais de faire émerger des utilisateurs résistants au phishing. Ce changement de perspective est structurant. Il implique de ne plus se concentrer uniquement sur la sécurisation du moment de connexion, mais de garantir que chaque interaction liée à l’identité repose sur des mécanismes résistants au phishing.
Dans cette logique, les utilisateurs peuvent réaliser de manière autonome et sécurisée des actions auparavant dépendantes du support IT, telles que l’enregistrement de nouveaux appareils, la récupération de l’accès à leurs comptes ou le travail à distance sans créer de nouvelles vulnérabilités. Sécurité et expérience utilisateur cessent alors d’être opposées. L’authentification forte ne se limite plus à un point de passage unique, mais s’intègre de manière fluide à l’ensemble du parcours utilisateur.
Repenser la sécurité des identités
Avec l’abandon progressif des mots de passe et des méthodes MFA traditionnelles, comme les codes SMS ou les mots de passe à usage unique (OTP), les utilisateurs s’appuient désormais sur une multiplicité d’identifiants, de passkeys et de fournisseurs. Dans ce contexte, la sécurité des identités ne peut plus se limiter à des mécanismes d’authentification ponctuels, elle repose sur la gestion complète du cycle de vie des identifiants.
Les organisations doivent ainsi concevoir des processus sécurisés à chaque étape de l’expérience numérique des collaborateurs. Cela commence dès la première authentification sur un nouvel appareil qui doit être intégré de manière fiable aux systèmes de gestion. Cela se poursuit lors de la création de nouveaux identifiants, qu’ils soient stockés localement ou synchronisés entre plusieurs environnements.
Les mêmes exigences s’appliquent lors de l’accès à un fournisseur de passkeys sur un nouvel appareil, de l’utilisation de passkeys dans un environnement web ou encore de la gestion d’identifiants existants. À cela s’ajoutent des situations courantes mais critiques, telles que la perte d’un appareil, le renouvellement de matériel, la récupération d’accès ou la révocation d’identifiants. Chacune de ces étapes constitue un point de vulnérabilité potentiel si elle n’est pas rigoureusement encadrée.
Vers un avenir sans mot de passe
La maîtrise de ces processus est essentielle pour que la transition vers le sans mot de passe renforce réellement la sécurité, sans introduire de nouveaux risques opérationnels. Bien mise en œuvre, cette approche permet aux organisations de réduire leur dépendance à des méthodes d’authentification fragiles tout en offrant davantage de flexibilité aux utilisateurs.
L’ère du passwordless marque un changement de paradigme. Les organisations ne s’appuient plus sur des secrets mémorisés ou des codes temporaires interceptables, mais sur des identifiants de confiance, capables de sécuriser durablement les interactions numériques.
Les passkeys constituent une avancée majeure dans cette direction. Mais pour en exploiter pleinement le potentiel, il est nécessaire d’aller au-delà de la technologie elle-même et de repenser en profondeur la relation entre les utilisateurs et les systèmes d’identité. Les entreprises qui tireront leur épingle du jeu seront celles qui ne se contenteront pas de déployer une authentification résistante au phishing, mais qui construiront des utilisateurs eux-mêmes résistants au phishing.
____________________________
Par Fabrice de Vésian, Sales Director South EMEA et France chez Yubico
____________________________
puis