obOpen Banking Lab
GlossaireSTETBlogContact
Sécurité

WebAuthn / Passkeys

WebAuthn et Passkeys — authentification forte sans mot de passe

Standard W3C / FIDO2 d'authentification forte par cryptographie asymétrique, permettant de se connecter via biométrie ou clé physique sans mot de passe. Les passkeys sont l'évolution synchronisée multi-appareils, devenue standard sur iOS, Android, Windows.

Voir aussi :SCAOAuth2EUDI WalleteIDAS 2Flux SCAmTLS

Définition

WebAuthn (Web Authentication) est un standard W3C (2019), co-développé avec la FIDO Alliance sous le nom FIDO2, qui permet à un site de demander une authentification forte par cryptographie asymétrique.

L'utilisateur prouve son identité via un authenticator (clé physique, Touch ID, Windows Hello, Face ID), sans jamais saisir de mot de passe. Les passkeys en sont l'évolution (2022+) : des credentials WebAuthn synchronisés entre appareils via le cloud du fabricant (iCloud Keychain, Google Password Manager) ou cross-device par QR code — devenus le nouveau standard d'authentification grand public.

Comment ça fonctionne

À l'enregistrement, l'authenticator génère une paire de clés propre au site : la clé privée ne quitte jamais le secure element, la clé publique est stockée par le site. À la connexion, le site envoie un challenge que l'authenticator signe avec la clé privée (après déverrouillage biométrique), et le site vérifie la signature.

Le credential est lié au domaine (origin binding) : un faux examp1e.com n'a pas la clé, ce qui rend le phishing impossible.

Les 3 propriétés clés

  • Phishing-proof : le credential ne fonctionne que sur le bon domaine.
  • Pas de secret partagé : pas de mot de passe à voler, juste des clés publiques côté serveur.
  • UX fluide : un Touch ID suffit, sans SMS ni TOTP.

Authenticators

  • Platform (intégrés) : Touch ID/Face ID, Windows Hello, biométrie Android — gratuits, mais historiquement liés à un device.
  • Roaming (externes) : YubiKey, Titan Security Key, Feitian — portables et multi-device, mais à acheter et transporter.

Passkeys : l'évolution

Les passkeys synchronisent les credentials entre appareils (iCloud Keychain, Google Password Manager, compte Microsoft), permettent l'authentification cross-device par QR + Bluetooth, et sont gérés par les password managers (1Password, Dashlane, Bitwarden). Conséquence : plus de perte de credential au changement de téléphone.

Comparaison

MécanismePhishable ?ForceUX
Mot de passeOuiFaibleMoyenne
SMS OTPOui (SIM swap)MoyenneFaible
TOTPOui (saisie)MoyenneMoyenne
Push (app banque)PartiellementMoyenneBonne
WebAuthn / PasskeysNonForteExcellente

Niveau eIDAS et SCA

WebAuthn atteint facilement le niveau Substantiel (authenticator certifié + biométrie locale), et le niveau Élevé avec un hardware certifié (YubiKey FIPS) et un enrôlement face-à-face. Pour la SCA DSP2, il combine inhérence (biométrie) et possession (authenticator) — deux facteurs en un geste. Les banques EU l'adoptent progressivement.

Ce que WebAuthn / Passkeys ne résout pas

  • Pas l'identité : prouve la propriété du credential, pas qui vous êtes (un KYC initial reste requis).
  • Pas l'autorisation : juste l'authentification, pas les scopes OAuth.
  • Pas le vol de device déverrouillé : mitigé par la biométrie obligatoire.
  • Pas universel : les vieux navigateurs n'en disposent pas (fallback nécessaire).
  • Pas le KYC à distance : ouvrir un compte exige toujours de prouver son identité (CNIE, EUDI Wallet).

Ce que WebAuthn / Passkeys n'est pas

  • Pas un wallet d'identité : une clé d'authentification, pas un conteneur d'attributs (vs EUDI Wallet).
  • Pas un mot de passe haché : de la crypto asymétrique.
  • Pas une « clé biométrique » : la biométrie ne quitte pas le device, elle déverrouille la clé localement.
  • Pas FIDO U2F : U2F était un second facteur ; FIDO2/WebAuthn permet l'authentification sans mot de passe.

Dans l'écosystème PSD2 / Open Finance

C'est l'évolution naturelle de la SCA : adoption croissante par les banques (app et portail web), usage côté TPP pour le back-office, déverrouillage de l'EUDI Wallet, et intégration dans Click to Pay pour un checkout sans mot de passe carte.

Exemples concrets

  • Apple ID, Google Account : passkeys-first depuis 2022-2023.
  • GitHub : 2FA passkey largement adopté par les développeurs.
  • Boursobank, N26, Revolut : login app via passkeys / biométrie locale.
  • Click to Pay : standard EMVCo basé sur WebAuthn pour le checkout sans saisie de carte.
  • France Identité : utilise des credentials proches de FIDO2 pour l'authentification biométrique locale.
  • SIM swap : la fraude qui a tué la confiance dans l'OTP SMS — WebAuthn en est l'antidote.
  • YubiKey : après son déploiement interne en 2017, Google a éliminé le phishing sur ses comptes.

Sources

Retour au glossaire