Qu’est-ce qu’une clé d’accès ? Définition et fonctionnement
Qu’est-ce qu’une clé d’accès (Passkey) ? Une clé d’accès est une clé cryptographique d’authentification basée sur les normes FIDO2, qui remplace le mot de passe traditionnel. Elle repose sur un couple de clés : la clé publique est stockée par le service, tandis que la clé privée reste sur l’appareil de l’utilisateur et n’est jamais transmise. Comme la clé d’accès est strictement liée au domaine du service, les attaques par hameçonnage (phishing) deviennent techniquement impossibles.
Points clés
- Principe : Cryptographie asymétrique (clé publique/clé privée) avec mécanisme de défi-réponse. La clé privée ne quitte jamais l’appareil et est déverrouillée localement via biométrie ou code PIN.
- Résistance à l’hameçonnage : La clé d’accès est liée à un domaine précis. Il n’existe aucun secret que l’utilisateur pourrait saisir sur une page frauduleuse.
- Normes : Les clés d’accès reposent sur FIDO2, qui combine la spécification W3C WebAuthn et le protocole FIDO CTAP.
Fonctionnement d’une clé d’accès (Passkey)
Lors de l’inscription, l’appareil génère une paire de clés unique pour chaque service. Le service ne conserve que la clé publique. À chaque connexion, il envoie un défi (challenge) que l’appareil signe avec la clé privée. Le service vérifie ensuite cette signature. L’authentification n’est validée qu’après une vérification locale, via empreinte digitale, reconnaissance faciale ou code PIN. Les données biométriques, tout comme la clé privée, restent stockées uniquement sur l’appareil.
En pratique, les entreprises sont confrontées à deux variantes de clés d’accès. Les clés synchronisées sont stockées dans un gestionnaire d’identifiants, comme le trousseau Apple ou Google, et sont disponibles de manière chiffrée de bout en bout sur tous les appareils de l’utilisateur. Les clés liées à un appareil restent quant à elles définitivement sur un seul authentificateur, généralement une clé de sécurité FIDO. Elles ne peuvent pas être copiées.
WebAuthn (W3C) plus CTAP (FIDO Alliance) : les deux normes à la base de chaque clé d’accès
Source : FIDO Alliance
Pourquoi le phishing échoue face aux Passkeys
La résistance au phishing n’est pas un argument marketing. Elle découle de l’architecture même des Passkeys. Lors de leur création, un Passkey est lié à l’origine du service, c’est-à-dire à son domaine exact. Les navigateurs et les systèmes d’exploitation ne valident le Passkey que pour ce domaine précis. Une copie quasi parfaite de la page de connexion hébergée sur un autre domaine ne peut tout simplement pas obtenir de signature.
Autre avantage : il n’existe aucun secret partagé. Les mots de passe et les codes à usage unique peuvent être interceptés en temps réel par un attaquant via un proxy de phishing et transmis à la victime. Avec un Passkey, il n’y a rien à saisir ou à transmettre. C’est pourquoi l’BSI (l’autorité allemande de cybersécurité) considère les Passkeys comme une alternative sûre aux mots de passe et a publié la directive technique TR-03188 pour leur implémentation côté serveur.
Ce que les entreprises doivent vérifier dès maintenant
La migration commence par un inventaire : quelles applications dépendent encore des mots de passe et où les attaques par credential stuffing et le phishing causent-elles les plus grands dégâts ? Ensuite, il faut déterminer quels services basculer en premier vers WebAuthn et comment organiser la récupération en cas de perte d’un appareil.
À vérifier dès maintenant
- ✓Inventorier les méthodes de connexion et évaluer les risques de phishing pour chaque application
- ✓Mettre en place un serveur de clés d’accès (Passkey) compatible WebAuthn ou choisir un prestataire, en s’appuyant sur la recommandation BSI TR-03188
- ✓Lancer un pilote avec des groupes d’utilisateurs sélectionnés, en maintenant temporairement la connexion par mot de passe en parallèle
- ✓Définir une procédure de récupération : synchronisée ou liée à un appareil, avec des clés de secours pour les comptes critiques
- ✓Supprimer les mécanismes de secours peu sécurisés, sans quoi la réinitialisation de mot de passe annulerait la sécurité apportée par les clés d’accès
Différenciation avec des concepts apparentés
FIDO2 est le terme générique désignant deux composants. WebAuthn est la spécification du W3C qui permet aux navigateurs et aux services de créer et de vérifier des identifiants (credentials). CTAP régit la communication entre le client et l’authentificateur, par exemple une clé de sécurité. Un Passkey est l’identifiant ainsi généré.
Le Passkey se distingue fondamentalement du deuxième facteur classique. Les codes à usage unique envoyés par SMS ou via une application d’authentification restent vulnérables au phishing, car ils peuvent être interceptés et transmis en temps réel. Une clé matérielle comme un YubiKey n’est pas pour autant opposée au Passkey : elle constitue un stockage pour les Passkeys liés à un appareil et offre en plus une attestation du fabricant pour répondre à des exigences de sécurité élevées.
Foire aux questions
Chaque question est verrouillée. Un clic déverrouille la réponse.
Que se passe-t-il en cas de perte d’un appareil ?
Les Passkeys synchronisées peuvent être restaurées via le gestionnaire d’identifiants sur un nouvel appareil. Pour les Passkeys liées à un appareil, il faut soit une clé de sauvegarde, soit un processus de récupération auprès du service concerné.
Les clés d’accès (Passkeys) sont-elles plus sûres que les mots de passe combinés à l’authentification multifactorielle (MFA) ?
Oui contre le phishing. Les codes à usage unique et les confirmations par notification push peuvent être interceptés via des relais en temps réel, tandis qu’une clé d’accès ne produira tout simplement aucune signature sur un domaine tiers. C’est pourquoi l’Alliance FIDO classe une clé d’accès comme plus sécurisée qu’un mot de passe associé à un second facteur classique.
Les passkeys fonctionnent-elles partout ?
Tous les systèmes d’exploitation et navigateurs courants la prennent en charge. La connexion via un deuxième appareil s’effectue par code QR et vérification de proximité Bluetooth. Toutefois, chaque service doit proposer lui-même la fonction WebAuthn, ce qui n’est pas encore le cas partout.
En quoi un Passkey diffère-t-il d’un YubiKey ?
Le Passkey est l’identifiant, tandis que le YubiKey en est un support physique. Les clés matérielles maintiennent les Passkeys liées à un appareil et offrent une attestation, ce qui les rend adaptées aux environnements où une seule copie de la clé est autorisée.
Peut-on transférer des clés d’accès (Passkeys) vers un autre fournisseur ?
Au sein d’un écosystème comme iCloud ou Google Password Manager, les Passkeys synchronisés se déplacent automatiquement avec l’utilisateur. À ce jour, un export direct entre fournisseurs différents n’est possible que de manière limitée, et les Passkeys liés à un appareil ne peuvent tout simplement pas être copiés.
Les choix de la rédaction
À lirePasskeys en entreprise : La fin du mot de passeÀ lireMFA adaptatif dans l’audit NIS2 : Quand la politique est-elle valable comme preuve ?À lireConscience de la sécurité : le taux de clics mesure l’erreur
Plus du réseau MBF Media
cloudmagazinHuit minutes jusqu’à l’administration d’AWS : comment un bucket S3 ouvert et une Lambda admin ontMyBusinessFutureMois de l’IA : analyses cyber pour les PME sans équipe ITDigital ChiefsServices de sécurité managés : le RSSI n’est pas seul responsable





