Passkey
Qu'est-ce que Passkey ?
PasskeyIdentifiant FIDO2/WebAuthn résistant à l'hameçonnage : paire de clés asymétriques liée au matériel ou synchronisable, qui remplace le mot de passe par un défi-réponse cryptographique.
Une passkey est un identifiant à clé publique créé et stocké par un authentificateur (smartphone, clé de sécurité ou trousseau plateforme) et enregistré auprès de la partie de confiance. Elle repose sur deux normes : l'API WebAuthn du W3C (le Niveau 1 est devenu Recommandation le 4 mars 2019, le Niveau 2 le 8 avril 2021, le Niveau 3 étant en brouillon) et le protocole CTAP2 de la FIDO Alliance entre client et authentificateur — l'ensemble étant commercialisé sous le nom FIDO2. Pour se connecter, l'utilisateur déverrouille l'authentificateur par biométrie ou code PIN ; l'appareil signe avec sa clé privée un défi à usage unique envoyé par le serveur, lequel vérifie la signature avec la clé publique enregistrée.
Comme la clé privée ne quitte jamais l'élément sécurisé et que l'assertion est liée cryptographiquement à l'origine du service (le rpId), les passkeys déjouent la réutilisation de mots de passe, l'hameçonnage, le rejeu et la plupart des kits adversary-in-the-middle comme Evilginx : l'origine signée ne correspond pas au domaine de l'attaquant. Apple a introduit les passkeys grand public à la WWDC 2022 ; Google en a fait l'option par défaut en 2023 et Microsoft a suivi pour les comptes grand public en 2024. Les passkeys synchronisées (iCloud Keychain, Google Password Manager, 1Password) se récupèrent entre appareils, tandis que les passkeys liées à un matériel comme les YubiKey offrent le meilleur niveau d'assurance en entreprise. Le risque résiduel porte sur les mécanismes de récupération de compte et la confiance accordée aux fournisseurs de synchronisation cloud.
flowchart TD
subgraph R[Enregistrement]
A[Utilisateur] -->|deverrouillage biometrie/PIN| B[L'authentificateur genere la paire de cles]
B -->|cle publique + ID de credential| C[Le service stocke la cle publique]
end
subgraph V[Authentification]
D[Le serveur envoie un defi aleatoire] --> E[L'authentificateur signe le defi<br/>avec la cle privee, liee au rpId]
E -->|assertion signee| F{Signature valide<br/>et origine concorde?}
F -->|Oui| G[Acces accorde]
F -->|Non| H[Rejete - phishing/rejeu bloque]
end● Exemples
- 01
Se connecter à Google avec la passkey enregistrée dans iCloud Keychain sur un iPhone.
- 02
Une passkey d'entreprise sur une YubiKey utilisée pour s'authentifier à Microsoft Entra ID.
● Questions fréquentes
Qu'est-ce que Passkey ?
Identifiant FIDO2/WebAuthn résistant à l'hameçonnage : paire de clés asymétriques liée au matériel ou synchronisable, qui remplace le mot de passe par un défi-réponse cryptographique. Cette notion relève de la catégorie Identité et accès en cybersécurité.
Que signifie Passkey ?
Identifiant FIDO2/WebAuthn résistant à l'hameçonnage : paire de clés asymétriques liée au matériel ou synchronisable, qui remplace le mot de passe par un défi-réponse cryptographique.
Comment se défendre contre Passkey ?
Les défenses contre Passkey combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de Passkey ?
Noms alternatifs courants : Passkey FIDO, Identifiant synchronisé.