Skip to content
Vol. 1 · Ed. 2026
CyberGlossary
Français
Entry № 1365

WebAuthn

Vérifié parCybersecurity entrepreneur & security researcher

Qu'est-ce que WebAuthn ?

WebAuthnAPI JavaScript standard du W3C qui permet aux applications web d'enregistrer et d'authentifier les utilisateurs avec des identifiants à clé publique stockés sur des authentificateurs de plateforme ou itinérants.

Web Authentication (WebAuthn) est la moitié de FIDO2 exposée au navigateur. Elle propose deux méthodes, navigator.credentials.create() et navigator.credentials.get(), qui permettent à une partie de confiance de générer une nouvelle paire de clés dans l'authentificateur de l'utilisateur puis de demander une assertion (un défi signé) pour vérifier la possession. La norme prend en charge les authentificateurs de plateforme (Touch ID, Windows Hello, Android), itinérants (clés USB, NFC, Bluetooth) et les passkeys synchronisées. Comme la signature est liée à l'origine de la partie de confiance, WebAuthn résiste à l'hameçonnage, aux attaques MITM et à la réutilisation d'identifiants. Son adoption est large parmi les navigateurs et les fournisseurs d'identité, ce qui en fait le socle de la MFA sans mot de passe et résistante à l'hameçonnage sur le web.

Exemples

  1. 01

    La page de connexion d'une banque appelle navigator.credentials.get() pour authentifier un client avec sa passkey.

  2. 02

    Enregistrement d'une clé de sécurité sur la console d'un développeur via le flux d'inscription WebAuthn.

Questions fréquentes

Qu'est-ce que WebAuthn ?

API JavaScript standard du W3C qui permet aux applications web d'enregistrer et d'authentifier les utilisateurs avec des identifiants à clé publique stockés sur des authentificateurs de plateforme ou itinérants. Cette notion relève de la catégorie Identité et accès en cybersécurité.

Que signifie WebAuthn ?

API JavaScript standard du W3C qui permet aux applications web d'enregistrer et d'authentifier les utilisateurs avec des identifiants à clé publique stockés sur des authentificateurs de plateforme ou itinérants.

Comment se défendre contre WebAuthn ?

Les défenses contre WebAuthn combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.

Quels sont les autres noms de WebAuthn ?

Noms alternatifs courants : Web Authentication.

Termes liés

Voir aussi