Tarif
Commencez gratuitement
Contactez nous
Learn

Passkey : comment l'utiliser ?

William Pierre
3 mars 2025

Un monde sans mots de passe ?

 

Imaginez un monde où vous n'auriez plus jamais à mémoriser ou à saisir un mot de passe : finies les réinitialisations frustrantes, les politiques de mot de passe à mettre à jour et les failles de sécurité dues à des identifiants peu sûrs. 

Les géants technologiques tels qu'Apple, Google et Microsoft concrétisent cette vision grâce aux passkeys, une nouvelle méthode d'authentification conçue pour remplacer les mots de passe traditionnels par une expérience plus sûre et plus fluide.

Apple a récemment introduit l'authentification par passkey pour iCloud, permettant aux utilisateurs de se connecter à l'aide d'une vérification biométrique ou d'un appareil de confiance via iCloud Keychain.

Il ne s'agit pas seulement d'une innovation d'Apple : cela s'inscrit dans un mouvement plus large vers un avenir sans mot de passe, dans lequel WebAuthn (API d'authentification Web) joue un rôle clé. Et la bonne nouvelle ? Si vous utilisez Keycloak, vous bénéficiez déjà d'une prise en charge native des clés d'accès via WebAuthn.

Pic 1

Qu'est-ce que le Passkey ? L'évolution de l'authentification

Pour comprendre l'évolution vers le passkey, il est important de comprendre comment l'authentification a évolué. Traditionnellement, l'authentification repose sur trois facteurs principaux :

  • Quelque chose que vous connaissez : un mot de passe, un code PIN ou une réponse secrète.
  • Quelque chose que vous possédez : une clé de sécurité, un smartphone ou un jeton d'authentification.
  • Quelque chose que vous êtes : des données biométriques telles que les empreintes digitales, la reconnaissance faciale ou le scan de l'iris.

La plupart des méthodes de connexion utilisent un ou plusieurs de ces facteurs. Cependant, les mots de passe, qui constituent la méthode la plus courante, présentent des risques importants, notamment le phishing, les fuites d'identifiants et les attaques par force brute. L'authentification multifactorielle (MFA) améliore la sécurité, mais elle ajoute souvent des contraintes pour les utilisateurs.

Pic 2

Comment fonctionnent le passkey ?

Le passkey simplifient l'authentification en combinant quelque chose que vous possédez (votre appareil de confiance) et quelque chose que vous êtes (vos données biométriques). Au lieu de mémoriser un mot de passe, les utilisateurs s'authentifient à l'aide de leur empreinte digitale, d'un scan facial ou du code PIN de leur appareil. En arrière-plan, les clés d'accès utilisent la cryptographie à clé publique, garantissant que les identifiants ne peuvent être volés, interceptés ou piratés.

Les avantages des passkeys

 

Les passkeys offrent toute une série d'avantages par rapport aux méthodes d'authentification traditionnelles :

  • Résistance au phishing (ce que vous savez) : Cette méthode est supprimée avec les passkeys et tous leurs inconvénients tels que : le phishing, l'utilisation du même mot de passe, la suppression des règles relatives aux mots de passe, etc.
  • Authentification transparente (ce que vous êtes et ce que vous avez) : Les utilisateurs s'authentifient instantanément à l'aide de données biométriques ou de leur appareil, ce qui leur évite d'avoir à mémoriser ou à saisir des mots de passe.

Bien plus encore, cette méthode renforce la sécurité. Les passkeys utilisent des paires de clés cryptographiques, ce qui signifie qu'aucun mot de passe n'est stocké ou transmis, réduisant ainsi le risque de fuites d'identifiants et d'attaques par force brute.

 

Passkey vs Passkey WebAuthn

Les passkeys peuvent être mises en œuvre de différentes manières, et WebAuthn joue un rôle crucial dans l'authentification basée sur le Web.

Passkey en général

Les Passkeys, en tant que concept, remplacent les mots de passe par des identifiants cryptographiques stockés sur l'appareil fiable d'un utilisateur.

Par exemple, lorsqu'ils se connectent à une application bancaire mobile, les utilisateurs s'authentifient à l'aide de Face ID ou d'une empreinte digitale, et l'application vérifie leur identité sans exiger de mot de passe.

 

Passkey WebAuthn

WebAuthn active les passkeys pour les applications Web, permettant aux utilisateurs de se connecter à des sites Web en toute sécurité. Un processus de connexion type se déroule comme suit :

  1. L'utilisateur accède à un service Web et sélectionne « Se connecter avec Passkey ».
  2. Le navigateur demande une vérification biométrique directement sur l'appareil ou via un appareil externe tel qu'un téléphone ou une clé de sécurité.
  3. L'utilisateur est authentifié sans avoir à saisir de mot de passe.

Pour les organisations utilisant Keycloak, WebAuthN fournit une prise en charge intégrée des clés d'accès, ce qui facilite la mise en œuvre d'une authentification sécurisée sans mot de passe dans les applications d'entreprise.

Pic 3

Défis et considérations liés aux passkeys

Si les passkeys constituent une alternative prometteuse aux mots de passe, elles présentent toutefois certains défis à prendre en compte :

• Problèmes liés à la dépendance aux appareils et à la récupération : les passkeys sont généralement stockées sur un appareil spécifique. En cas de perte ou de remplacement de l'appareil, les utilisateurs ont besoin d'un mécanisme de sauvegarde, tel que la synchronisation dans le cloud ou une méthode d'authentification secondaire.

• Limitations en matière de compatibilité et d'interopérabilité :  bien que les grandes entreprises technologiques prennent en charge les passkeys, certaines applications, certains navigateurs ou certains systèmes hérités peuvent ne pas encore être compatibles, ce qui pose des problèmes d'utilisation.

• Complexité de la mise en œuvre pour les organisations : les organisations doivent mettre à jour leur infrastructure d'authentification, former les utilisateurs et fournir des méthodes de secours afin d'assurer une transition en douceur vers les clés d'accès.

• Adoption par les utilisateurs et changements de comportement : de nombreux utilisateurs sont habitués aux mots de passe et peuvent être réticents à passer aux clés d'accès. Des stratégies de formation et d'adoption progressive peuvent faciliter la transition.

 

Conclusion : vers un avenir sans mot de passe

Les passkeys représentent une avancée majeure en matière de sécurité et de convivialité de l'authentification. En éliminant les mots de passe, elles réduisent les risques d'hameçonnage, améliorent l'expérience utilisateur et offrent un modèle de sécurité plus robuste.

Grâce à la prise en charge native de WebAuthn par Keycloak, les entreprises peuvent facilement intégrer les clés d'accès dans leurs flux d'authentification, ouvrant ainsi la voie à un avenir sécurisé et sans friction. Bien que des défis subsistent, le passage aux clés d'accès est inévitable, et il est temps de commencer à s'y préparer.

Êtes-vous prêt à mettre en œuvre l'authentification par clé d'accès ? Consultez notre documentation officielle Cloud-IAM pour savoir comment configurer Passkey sur Keycloak.

All for predictable pricing, without surprise

Transparent pricing you can trust, no hidden fees. Easily plan your budget with our clear cost calculator and predictability.

View all pricing plans

Other articles

Subscribe to our newsletter

The latest Cloud-IAM and Keycloak news delivered straight to your inbox.

Concentrez-vous sur votre activité, nous nous chargeons de Keycloak

Keycloak managé et simplifié par Cloud-IAM

Depuis 2019, Cloud-IAM a simplifié la gestion de Keycloak pour +20M d'utilisateurs. Faites simple et confiez votre Keycloak à Cloud-IAM.

Déployez dès maintenant
À propos de Cloud-IAM
Cloud-IAM logo without name