Comment fonctionnent les Passkeys ? Guide du flux d’authentification

Qu'est-ce qu'une passkey ?

Selon le Verizon DBIR 2024, le vol d'identifiants a permis l'accès dans 22 % des violations confirmées. Le vol d'identifiants, notamment via des malwares infostealers et des campagnes de phishing, reste le maillon faible de l'authentification traditionnelle basée sur les mots de passe. Ce schéma se retrouve dans des incidents réels :

• MGM Resorts (2023) : Les attaquants ont utilisé un appel d'ingénierie sociale pour obtenir des identifiants et ont finalement perturbé les opérations des hôtels et casinos ; MGM a déclaré un impact de 100 millions de dollars sur l'EBITDAR ajusté du trimestre et 10 millions de dollars de coûts ponctuels (dépôt MGM Resorts 8-K).
• Colonial Pipeline (2021) : Le DOJ a indiqué que l'incident provenait d'un compte compromis utilisé pour l'accès à distance, entraînant une perturbation majeure de l'approvisionnement en carburant sur la côte Est des États-Unis (communiqué de presse DOJ).
• Twilio (2022) : Une campagne de phishing a capturé les identifiants d'employés, permettant l'accès aux systèmes internes et un impact en aval sur les clients (rapport d'incident Twilio).

Les passkeys éliminent ce mode d'échec grâce à une authentification cryptographique liée à des domaines spécifiques, rendant le vol et la réutilisation d'identifiants structurellement impossibles.

Une passkey est un identifiant d'authentification cryptographique basé sur le protocole FIDO2. Au lieu d'un secret partagé comme un mot de passe stocké à la fois sur votre appareil et sur un serveur, une passkey utilise une paire de clés publique-privée asymétrique cryptographique. Votre appareil génère et stocke une clé privée dans un matériel sécurisé, tel qu'un Trusted Platform Module (TPM) ou une enclave sécurisée. La clé publique correspondante est envoyée au serveur. Lors de la connexion, le serveur émet un défi cryptographique, votre appareil le signe avec la clé privée, et le serveur vérifie la signature à l'aide de la clé publique.

La clé privée ne quitte jamais votre appareil. Le serveur ne détient jamais de secret réutilisable. Il n'y a rien à hameçonner, rien à injecter, et rien à voler dans une base de données compromise.

Cette conception a des implications directes sur la manière dont les organisations se défendent contre les vecteurs d'attaque les plus courants ciblant l'infrastructure d'identité.

Relation des passkeys avec la cybersécurité

Les passkeys répondent à la principale catégorie d'accès initial dans les violations d'entreprise : la compromission d'identifiants. Le Verizon DBIR a constaté que des identifiants compromis étaient impliqués dans 42 % des violations au total (Verizon 2024 DBIR). Les méthodes MFA traditionnelles comme les codes SMS et TOTP restent vulnérables au phishing en temps réel, où les attaquants relaient les codes vers les services légitimes avant leur expiration. Les passkeys utilisent une liaison cryptographique au domaine, ce qui signifie que l'identifiant ne fonctionne que sur le domaine d'origine légitime. Même si un utilisateur interagit avec une page de phishing, la passkey ne peut pas s'authentifier sur un domaine usurpé. Pour un rappel sur le fonctionnement de ces attaques, consultez le guide phishing de SentinelOne.

Pour les équipes de sécurité gérant l'infrastructure d'identité, les passkeys font passer la posture défensive de la réduction de la probabilité de vol d'identifiants à l'impossibilité structurelle de ce vol. L' aperçu de la sécurité des identités de SentinelOne peut vous aider à cartographier le renforcement de l'authentification au domaine plus large du risque d'identité.

Ce contexte permet une comparaison directe entre ce que remplacent les passkeys et ce qu'elles apportent.

Passkeys vs. mots de passe

Le tableau ci-dessous résume les principales différences entre passkey et mot de passe selon les dimensions de sécurité et d'exploitation les plus importantes pour les défenseurs.

Cette comparaison explique pourquoi l'industrie évolue rapidement. La section suivante détaille les éléments constitutifs de l'authentification par passkey.

Composants clés de l'authentification par passkey

L'authentification par passkey utilise une pile de protocoles, de matériel et de services de plateforme qui protège vos identifiants à chaque étape. Chaque composant joue un rôle spécifique pour garantir la résistance au phishing et la liaison cryptographique des identifiants.

1. Pile de protocoles FIDO2 : FIDO2 est le cadre englobant deux spécifications principales. WebAuthn, défini par la spécification W3C Web Authentication, est l'API côté navigateur utilisée par les parties de confiance pour créer et vérifier des identifiants de clé publique via des appels JavaScript. CTAP (Client to Authenticator Protocol) gère la communication entre la plateforme cliente et le matériel d'authentification via USB, NFC ou Bluetooth Low Energy (BLE). Ensemble, WebAuthn et CTAP relient votre application, le navigateur et le matériel sécurisé protégeant votre clé privée.
2. Types d'authentificateurs : Les spécifications des authentificateurs FIDO Alliance définissent deux catégories. Les authentificateurs de plateforme (intégrés) sont directement intégrés au matériel de l'appareil et stockent les clés privées dans des enclaves sécurisées ou TPM. Les authentificateurs itinérants (cross-platform) sont des dispositifs matériels externes fonctionnant sur plusieurs systèmes via USB, NFC ou BLE et offrent la meilleure isolation car les clés privées restent dans un élément sécurisé dédié. Le choix de l'authentificateur détermine votre niveau d'assurance, votre plan de récupération et l'expérience utilisateur.
3. Couche matérielle sécurisée : La sécurité de chaque passkey dépend de l'authentificateur protégeant la clé privée. Les clés de sécurité matérielles offrent la meilleure protection grâce à des éléments sécurisés dédiés conçus pour résister aux attaques physiques et logiques.
4. Attestation : Lors de l'enregistrement de l'identifiant, l'attestation permet de vérifier qu'une passkey a été créée sur un modèle d'authentificateur approuvé (identifié par son AAGUID) répondant à vos exigences de sécurité, telles que le stockage matériel des clés ou la certification FIPS 140-2.

Ces quatre couches, la pile FIDO2, les types d'authentificateurs, le matériel sécurisé et l'attestation, fonctionnent ensemble à chaque interaction avec une passkey. La section suivante détaille leur combinaison lors de l'enregistrement et de la connexion.

Fonctionnement de l'authentification par passkey

Le cycle de vie d'une passkey comporte deux étapes : l'enregistrement (création de l'identifiant) et l'authentification (preuve de possession). Les deux suivent un modèle défi-réponse utilisant la cryptographie à clé publique.

Enregistrement : création d'une passkey

1. Le serveur génère un défi. Lorsque vous initiez la configuration d'une passkey, le serveur génère un défi aléatoire cryptographiquement sécurisé ainsi que les paramètres d'enregistrement : identifiant du RP, informations utilisateur, algorithmes pris en charge (généralement ES256) et exigences d'authentificateur.
2. Votre appareil crée une paire de clés. Le client appelle credentials.create(challenge). Votre authentificateur génère une nouvelle paire de clés publique-privée dans le matériel sécurisé. La clé privée ne quitte jamais cette zone protégée.
3. La réponse est renvoyée signée. Votre appareil envoie la clé publique, un identifiant d'identifiant et le défi signé au serveur. La spécification W3C garantit que l'origine complète est signée cryptographiquement dans l'objet d'attestation, liant l'identifiant au domaine légitime.
4. Le serveur vérifie et stocke. Le serveur confirme le défi signé, valide l'origine, vérifie l'attestation (pour les déploiements d'entreprise) et stocke la clé publique et l'identifiant d'identifiant associés à votre compte.

À ce stade, le serveur détient votre clé publique et l'identifiant d'identifiant mais n'a jamais vu votre clé privée. Cette asymétrie rend chaque connexion ultérieure résistante au phishing.

Authentification : connexion avec une passkey

1. Le serveur émet un nouveau défi. Chaque tentative de connexion génère un nouveau défi aléatoire cryptographiquement sécurisé, empêchant les attaques par rejeu.
2. Votre appareil signe le défi. Le client appelle credentials.get(challenge). Votre authentificateur demande une vérification utilisateur (scan biométrique ou code PIN), récupère la clé privée, incrémente le compteur de signature et signe les données d'authentificateur et le hachage des données client.
3. Le serveur vérifie la signature. À l'aide de votre clé publique stockée, le serveur vérifie la signature, prouvant cryptographiquement que vous possédez la clé privée sans qu'elle ne quitte jamais votre appareil.

Le trafic intercepté ne contient rien de réutilisable car chaque session utilise un défi unique. La clé privée reste verrouillée dans le matériel. Vos données biométriques n'atteignent jamais le serveur : la vérification se fait entièrement sur l'appareil.

Les deux étapes supposent que la passkey réside sur l'appareil utilisé à ce moment-là. En pratique, les utilisateurs travaillent sur plusieurs appareils, ce qui soulève la question du transfert des passkeys entre eux.

Synchronisation multiplateforme

Les passkeys peuvent être liées à l'appareil ou synchronisées dans votre écosystème d'appareils.

• Les passkeys synchronisées sont répliquées via les gestionnaires d'identifiants de la plateforme avec chiffrement de bout en bout. Selon la documentation iCloud Keychain d'Apple, Apple ne peut pas lire le contenu du trousseau même si le compte cloud est compromis. Cependant, NIST SP 800-63B exige des clés privées non exportables pour la conformité AAL3, ce que les passkeys synchronisées ne respectent pas car les clés privées doivent quitter l'appareil d'origine pour la synchronisation.
• Les passkeys liées à l'appareil ne quittent jamais le matériel d'authentification et répondent aux exigences les plus strictes, y compris NIST SP 800-63B AAL3. Les passkeys synchronisées restent qualifiées comme authentificateurs AAL2 pour l'authentification résistante au phishing selon les directives fédérales.

Une fois cette distinction comprise, vous pouvez évaluer où les passkeys sont déjà prises en charge et où l'adoption progresse.

Quels services et plateformes prennent en charge les passkeys

Plus de 15 milliards de comptes en ligne prennent désormais en charge l'authentification par passkey, et 48 % des 100 sites web les plus visités proposent les passkeys comme option de connexion (FIDO Alliance). L'adoption couvre les plateformes grand public, les outils d'entreprise et les services financiers.

• Systèmes d'exploitation et navigateurs : Apple (iOS, macOS, Safari), Google (Android, Chrome) et Microsoft (Windows, Edge) ont intégré la prise en charge complète des passkeys. Plus de 95 % des appareils iOS et Android sont compatibles passkey, et Windows étend la prise en charge des passkeys synchronisées via Windows Hello (Biometric Update). L'authentification inter-appareils fonctionne via CTAP sur Bluetooth Low Energy (BLE), permettant de s'authentifier sur un ordinateur portable avec une passkey stockée sur un téléphone à proximité.
• Plateformes grand public : Google a activé les passkeys pour plus de 800 millions de comptes et rapporte des connexions quatre fois plus réussies qu'avec les mots de passe. Amazon a dépassé 175 millions de clients avec les passkeys activées. TikTok a atteint un taux de réussite de 97 % avec les passkeys. D'autres services grand public majeurs prenant en charge les passkeys incluent PayPal, eBay, GitHub et Target (FIDO Alliance Passkey Index).
• Outils d'entreprise et de productivité : L'adoption en entreprise s'accélère. Les données de HID et FIDO Alliance indiquent qu'environ 87 % des entreprises ont déployé ou sont en cours de déploiement des passkeys. Des plateformes comme Okta, HubSpot et Cisco Duo ont lancé la prise en charge des passkeys, HubSpot signalant une amélioration de 25 % du taux de réussite de connexion et des connexions quatre fois plus rapides par rapport aux mots de passe et à l'authentification à deux facteurs (Dashlane Passkey Report).
• Services financiers et secteur public : Des banques telles qu'American Express, Bank of America et Wells Fargo ont commencé à déployer la prise en charge des passkeys. La plateforme d'échange de cryptomonnaies Gemini est devenue l'une des premières à imposer les passkeys à tous les utilisateurs. Dans le secteur public, le service MyGov australien a rendu les passkeys disponibles pour près de 30 millions de personnes, et l'Union européenne a lancé son portefeuille d'identité numérique avec les passkeys comme composant central.

La large prise en charge des plateformes permet à la plupart des organisations de commencer à tester les passkeys dès aujourd'hui. Cela ne signifie pas que le déploiement est sans friction, et la section suivante aborde les défis opérationnels à anticiper.

Défis de la mise en œuvre des passkeys

Les passkeys résolvent le problème du vol d'identifiants, mais introduisent des défis opérationnels à anticiper avant le déploiement.

• Dilemme de la sécurité de récupération : Si un utilisateur perd son seul appareil avec une passkey liée à l'appareil et n'a pas de sauvegarde enregistrée, le compte devient effectivement irrécupérable sans mécanismes de secours. Les processus de récupération traditionnels par e-mail ou SMS réintroduisent les vulnérabilités mêmes que les passkeys visent à éliminer.
• Compatibilité avec les systèmes existants : Les applications plus anciennes manquent souvent de prise en charge FIDO2/WebAuthn. Selon le livre blanc passkeys entreprise de la FIDO Alliance, les environnements fédérés peuvent implémenter les passkeys au niveau de l'IdP, permettant une prise en charge en aval sans modifications individuelles. Les environnements non fédérés doivent implémenter FIDO sur chaque application individuellement ou migrer d'abord vers un modèle fédéré.
• Barrières organisationnelles et multiplateformes : Même avec de solides avantages en matière de sécurité, le déploiement des passkeys peut être freiné par les ressources, la gouvernance et les changements de processus. Le comportement des passkeys varie également selon les plateformes et navigateurs, avec des flux d'enregistrement et de synchronisation différents, compliquant la formation et augmentant la charge du support lors du déploiement.

Aucun de ces défis n'est bloquant, mais chacun nécessite une décision réfléchie lors de la planification plutôt qu'une correction après le lancement. Les bonnes pratiques suivantes traitent directement la récupération, la compatibilité et la friction de déploiement.

Bonnes pratiques pour le déploiement des passkeys en entreprise

Un déploiement réussi des passkeys nécessite une planification architecturale, des politiques différenciées et une exécution par étapes.

• Établir une stratégie d'identifiants à deux niveaux : Séparez votre base d'utilisateurs selon le profil de risque et les exigences de niveau d'assurance. Les comptes privilégiés (administrateurs, finance, accès réglementé) nécessitant la conformité AAL3 doivent utiliser des passkeys liées à l'appareil ou des clés de sécurité matérielles avec clés privées non exportables. Les utilisateurs du personnel général peuvent utiliser des passkeys synchronisées (conformes AAL2) pour une meilleure expérience et une récupération facilitée via les gestionnaires d'identifiants de leur appareil.
• Déployer en trois phases : Adoptez un déploiement structuré : commencez par un pilote de 50 à 100 utilisateurs sur des applications à forte valeur (messagerie, VPN, RH) pour établir les processus de cycle de vie et de récupération. Étendez à d'autres applications et segments d'utilisateurs tout en formalisant les workflows de provisionnement, révocation et audit. Enfin, faites des passkeys la méthode d'authentification par défaut et limitez le recours au mot de passe aux situations d'urgence.
• Fédérez avant de déployer : Si votre architecture d'authentification n'est pas centralisée via un fournisseur d'identité, commencez par cela. Les environnements fédérés implémentant les passkeys au niveau de l'IdP peuvent prendre en charge les applications en aval sans modifications individuelles. Les environnements non fédérés devront ajouter la prise en charge des passkeys sur chaque application individuellement.
• Concevez une récupération résistante au phishing : Éliminez progressivement la récupération par SMS et e-mail au profit de mécanismes de récupération temporisés et de passkeys de secours. Les jetons de récupération doivent avoir une durée de validité de 5 à 15 minutes, être liés à la session d'origine et être à usage unique. Les passkeys de secours enregistrées sur des appareils secondaires offrent la meilleure solution de secours car elles conservent les propriétés de sécurité cryptographique de l'authentification principale.
• Exigez l'attestation pour les enregistrements en entreprise : Mettez en place un filtrage par AAGUID pour garantir que seuls les modèles d'authentificateurs approuvés peuvent enregistrer des identifiants. Cela empêche les utilisateurs d'enregistrer des passkeys sur des authentificateurs ne répondant pas à vos exigences matérielles.
• Investissez dans une formation ciblée : Les programmes de formation doivent couvrir l'enregistrement des passkeys sur différents types d'appareils, les procédures de récupération en cas de perte d'appareil, l'utilisation des méthodes de secours et la justification sécuritaire des changements de politique. Les incohérences multiplateformes rendent la formation pratique plus efficace que la documentation seule.
• Mettez en place l'audit dès le premier jour : Tracez chaque événement d'enregistrement, tentative d'authentification, action de récupération et révocation d'identifiant dans votre SIEM. Intégrez les événements du cycle de vie des passkeys pour maintenir des pistes d'audit conformes aux objectifs de contrôle ISO 27001 et aux exigences SOC 2 CC6 sur l'accès logique. Les guides SIEM et XDR de SentinelOne peuvent vous aider à aligner la télémétrie d'identité avec les signaux endpoint et cloud.

Ces fondations opérationnelles vous préparent à transformer les passkeys en contrôles prêts pour l'audit, là où les attentes réglementaires entrent en jeu.

Conformité et exigences réglementaires pour l'authentification par passkey

La pression réglementaire accélère l'adoption des passkeys. La CISA recommande à chaque entreprise de mettre en œuvre une MFA résistante au phishing pour la messagerie, les VPN et les systèmes critiques. La CISA et le NIST ont également publié un rapport inter-agences sur la protection des jetons d'authentification contre la falsification, le vol et les attaques par rejeu. NIST SP 800-63B établit que l'AAL2 exige une option résistante au phishing, tandis que l'AAL3 requiert un authentificateur résistant au phishing avec une clé privée non exportable.

Pour aligner les passkeys sur les audits, il faut généralement démontrer trois éléments :

• Cartographie des contrôles : Documentez comment les passkeys répondent ou dépassent les objectifs de contrôle d'accès existants (par exemple, exigences de contrôle d'accès de l'annexe A d'ISO 27001).
• Évaluation des risques : Identifiez les risques introduits (perte d'appareil, dépendance fournisseur, complexité de récupération, attaques de rétrogradation) et vos mesures compensatoires.
• Preuves et application : Maintenez la documentation de mise en œuvre, prouvez l'application des politiques et conservez des pistes d'audit pour les événements d'authentification et de récupération.

Assembler ces éléments vous permet de positionner les passkeys comme une amélioration de la sécurité et un ensemble de contrôles adaptés à l'audit. L'authentification n'est qu'une couche de la surface d'attaque d'identité, et les outils que vous associez aux passkeys déterminent la rapidité de détection et de réponse lorsque les menaces dépassent l'étape de connexion.

Renforcez l'authentification par passkey avec SentinelOne

Les passkeys éliminent les attaques basées sur les identifiants au niveau de l'authentification, mais la sécurité des identités va au-delà de la connexion. Le vol de jetons de session, les mouvements latéraux et la persistance basée sur l'identité opèrent tous en aval de l'authentification. Singularity Identity corrèle l'activité endpoint et identité pour une détection contextuelle et un triage plus rapide lorsque les passkeys ne sont qu'une partie de la solution. Il renforce Active Directory et les fournisseurs d'identité cloud, dont SecureAuth, Ping, Duo, Entra ID et Okta, déploie des techniques de déception pour piéger les intrus tôt, et détecte le vol d'identifiants et l'escalade de privilèges en temps réel.

Purple AI accélère l'investigation des alertes liées à l'identité en traduisant les requêtes en langage naturel en recherches inter-domaines. Les organisations utilisant Purple AI signalent jusqu'à 55 % de remédiation des menaces plus rapide et une réduction de 40 à 50 % du temps d'investigation (recherche IDC).

SentinelOne a généré 88 % d'alertes en moins que la médiane de tous les fournisseurs lors des évaluations indépendantes MITRE ATT&CK 2024 (MITRE ATT&CK Evaluations results), permettant à votre équipe de se concentrer sur les incidents réels plutôt que sur le volume d'alertes.

En centralisant la télémétrie passkey, endpoint et identité, Singularity AI SIEM vous offre un point unique pour stocker les événements de sécurité normalisés pour une chasse et une analyse forensique plus rapides. Le hub cybersécurité 101 de SentinelOne fournit des concepts de support pour vos runbooks internes. Demandez une démo SentinelOne pour voir comment la télémétrie identité, endpoint et cloud converge sur une seule plateforme.

Points clés à retenir

Au fond, qu'est-ce qu'une passkey ? C'est un identifiant cryptographique qui remplace les secrets partagés par la cryptographie asymétrique, éliminant le risque de vol d'identifiants à l'origine de 22 % des violations (Verizon 2024 DBIR). Le déploiement en entreprise nécessite une stratégie d'identifiants à deux niveaux : passkeys liées à l'appareil pour les comptes privilégiés conformes AAL3 et passkeys synchronisées pour le personnel général. 

Mettez en place des workflows de récupération résistants au phishing, fédérez votre architecture d'authentification et déployez par étapes. Les exigences réglementaires de la CISA et du NIST accélèrent l'adoption.