Clés d'accès matérielles : le véritable enjeu est l'adoption

1. Introduction : qui gagnera la course grand public ?#

Les clés d'accès matérielles sont le moyen le plus sûr de se connecter, mais presque personne ne les utilise dans les applications grand public. Les fabricants de clés de sécurité et les fabricants de cartes à puce mettent ce format en avant depuis des années. Malgré cela, le FIDO Alliance Authentication Barometer 2024 montre que l'activation des clés d'accès matérielles dans les services bancaires grand public reste inférieure à 5 % en 2025.

La raison est simple. Apple et Google contrôlent plus de 99 % des parts de marché mobile, selon StatCounter, et ils décident du type de clé d'accès que l'utilisateur voit en premier. Ainsi, la course grand public ne sera pas remportée par l'entreprise disposant de la clé la plus forte. Elle sera gagnée par celle qui combinera matériel, logiciel, données et distribution.

1.1 Terminologie : clés d'accès matérielles vs synchronisées#

Les clés d'accès matérielles sont des identifiants FIDO2 dont la clé privée reste verrouillée à l'intérieur d'un élément sécurisé physique. La clé ne quitte jamais l'appareil. Les clés d'accès synchronisées utilisent la même cryptographie FIDO2, mais copient la clé sur vos appareils via iCloud Keychain, Google Password Manager ou un gestionnaire tiers. La spécification W3C WebAuthn Level 3 considère ces deux formats comme un même type d'identifiant avec une politique de stockage différente. L'industrie appelle également les clés d'accès matérielles des « clés d'accès liées à l'appareil » ou « identifiants WebAuthn liés au matériel ». Cet article utilise ces trois termes comme synonymes.

Une idée fausse répandue consiste à croire que toute clé d'accès adossée à un élément sécurisé sur un téléphone ou un ordinateur portable est liée au matériel. En pratique, l'Apple Secure Enclave et Android StrongBox hébergent par défaut des clés d'accès qui se synchronisent via iCloud Keychain ou Google Password Manager, rendant la clé privée récupérable depuis le cloud. Le seul élément sécurisé grand public qui conserve la clé strictement locale aujourd'hui est la puce TPM de Windows Hello, et même Microsoft s'oriente vers la synchronisation dans Edge. Étant donné que Windows Hello ne nécessite aucun achat de matériel supplémentaire et est intégré à l'ordinateur portable, cet article l'exclut de la course grand public du matériel et se concentre sur les clés de sécurité dédiées, les cartes à puce FIDO2 et les portefeuilles crypto.

Cette seule différence — si la clé peut ou non quitter le matériel — détermine presque toutes les propriétés en aval, du niveau d'assurance NIST au processus de récupération. Le NIST SP 800-63B place les clés d'accès matérielles au niveau AAL3, le plus élevé, tandis que les clés d'accès synchronisées sont limitées au niveau AAL2. Cet écart d'un niveau est crucial pour les régulateurs qui exigent une liaison au facteur de possession, notamment la DSP2, la DSP3, la directive NYDFS Part 500, la RBI 2024 et l'APRA CPS 234.

1.2 Pourquoi les clés d'accès synchronisées ont-elles pris la première place ?#

Les clés d'accès synchronisées ont pris la première place parce qu'Apple et Google les ont déployées en premier et contrôlent les invites. Apple a ajouté le support des clés d'accès iCloud Keychain en 2021, Google Password Manager a suivi en 2022, et tous deux ont utilisé WebAuthn Conditional UI pour afficher les identifiants synchronisés directement dans la barre de saisie automatique. Un authentificateur matériel se trouve à un ou trois clics de profondeur dans chaque flux par défaut.

Le FIDO Alliance Online Authentication Barometer 2024 rapporte que 64 % des consommateurs dans le monde ont remarqué l'existence des clés d'accès, et que 53 % ont activé des clés d'accès sur au moins un compte. Presque toutes ces activations sont synchronisées.

1.3 Où se joue réellement la course grand public ?#

Dans cet article, le terme « grand public » (consumer) désigne le CIAM (Customer Identity and Access Management). Nous parlons de clients externes se connectant à une banque, à une bourse d'échange crypto, à un portefeuille gouvernemental ou à une plateforme de créateurs. Nous ne parlons pas de la connexion des employés, où les clés d'accès matérielles dominent déjà. La question intéressante est de savoir quels parcours grand public s'ouvriront ensuite et quel acteur y parviendra le premier.

La course couvre deux formats que les consommateurs doivent réellement acquérir et trois voies de distribution.

• Formats : les clés de sécurité NFC ou USB et les cartes à puce FIDO2 intégrées aux cartes de paiement. Les portefeuilles crypto matériels se situent à côté des deux en tant que troisième catégorie de niche.
• Voies de distribution : les ventes directes aux consommateurs, les appareils expédiés par les banques ou les gouvernements à leurs utilisateurs, et les portefeuilles crypto achetés par les utilisateurs en auto-conservation.

1.4 Thèse de cet article#

Un bon matériel est nécessaire, mais ce n'est plus suffisant. Le fournisseur avec la puce la plus robuste ne remportera pas automatiquement l'adoption grand public. Les véritables goulots d'étranglement se situent au-dessus du silicium : les invites du navigateur, les piles NFC sur différents téléphones Android, la conception de la récupération et la distribution grand public. Le gagnant sera l'entreprise qui associera le matériel à l'ingénierie de l'adoption et à l'observabilité des clés d'accès.

Le reste de cet article parcourt l'historique, les acteurs, les points de blocage, les cas d'utilisation concrets et propose une feuille de route pratique pour toute entreprise souhaitant sortir du marché de l'entreprise pour conquérir le grand public.

2. Comment les authentificateurs matériels en sont-ils arrivés là ?#

Les identifiants liés au matériel n'ont rien de nouveau. Ils sont environ 30 ans plus anciens que FIDO. Les cartes à puce PKI sont arrivées dans le secteur public dans les années 1990, codifiées par la norme NIST FIPS 201 PIV. Les jetons RSA SecurID ont suivi dans les VPN d'entreprise. Les cartes à puce et code PIN EMV ont atteint les paiements en 2002. EMVCo signale plus de 12 milliards de cartes EMV en circulation aujourd'hui, ce qui fait de la puce sur une carte de paiement la plus grande plateforme de cryptographie matérielle déployée de l'histoire.

La même chaîne d'approvisionnement en éléments sécurisés, dirigée par IDEMIA, Thales et Infineon avec plus de 3 milliards de puces par an, produit désormais le silicium à l'intérieur des cartes à puce FIDO2. Les trois bouleversements industriels qui ont amené les authentificateurs matériels vers FIDO2 se sont produits en seulement quatre ans, entre 2014 et 2018.

2.1 De U2F à FIDO2 (2014 à 2018)#

La FIDO Alliance a lancé FIDO U2F en 2014, les premiers jetons matériels étant expédiés par plusieurs fournisseurs de clés de sécurité. Google a déployé des clés U2F auprès de plus de 89 000 employés en 2017 et a signalé zéro compromission de compte liée à l'hameçonnage l'année suivante, selon Krebs on Security. Mais U2F n'était qu'un second facteur. Les utilisateurs avaient toujours un mot de passe et l'appui sur le matériel n'était qu'une étape supplémentaire. Le format est resté limité à l'entreprise : une petite clé USB pour le personnel de Google, les agences gouvernementales et quelques bourses d'échange crypto.

FIDO2 et WebAuthn ont changé la donne en 2018 en transformant U2F en un cadre entièrement sans mot de passe. Le même élément sécurisé qui servait de second facteur pouvait désormais héberger l'identifiant de connexion principal.

2.2 Le tournant de la marque Passkey (2022)#

En mai 2022, Apple, Google, Microsoft et la FIDO Alliance ont lancé conjointement la marque « passkey » (clé d'accès) lors de la conférence Authenticate de la FIDO Alliance. L'idée était de proposer un mot unique et simple que les consommateurs pourraient comprendre, à la fois pour les identifiants FIDO2 synchronisés et liés à l'appareil.

Apple a déployé la synchronisation des clés d'accès iCloud Keychain dans iOS 16 en septembre 2022, selon les notes de mise à jour pour les développeurs d'Apple. Google a suivi en octobre 2022 sur Android 9 et versions ultérieures, d'après son blog Identity.

Microsoft a été le retardataire des trois. Windows Hello fournissait des identifiants liés à l'appareil et basés sur le TPM depuis 2015, selon la documentation de Windows Hello, mais les comptes grand public n'ont pas pu synchroniser les clés d'accès entre les appareils pendant des années. Microsoft n'a ajouté la prise en charge des clés d'accès pour les comptes Microsoft grand public qu'en mai 2024, et les clés d'accès synchronisées dans le Microsoft Edge Password Manager sont arrivées encore plus tard, en 2025. Ainsi, alors qu'Apple et Google avaient deux à trois ans d'avance sur les clés d'accès synchronisées grand public, Microsoft rattrape toujours son retard sur la synchronisation multi-appareils dans son propre navigateur.

Les fournisseurs de matériel s'attendaient à ce que cette grande campagne de refonte de la marque par quatre acteurs majeurs stimule la demande de clés de sécurité et de cartes à puce. Ce ne fut pas le cas. Les clés d'accès synchronisées ont absorbé la quasi-totalité des nouvelles activations grand public, selon le FIDO Alliance Barometer.

2.3 La séparation en deux voies#

En l'espace de 18 mois, l'écosystème s'est divisé en deux voies claires. La voie grand public a été dominée par les clés d'accès synchronisées, où Apple et Google ont construit le parcours par défaut autour de leurs propres gestionnaires. La voie entreprise a été dominée par les clés d'accès matérielles, où les départements informatiques achètent des clés de sécurité ou des cartes à puce FIDO2 pour l'identité des employés. La FIDO Alliance évalue ce marché des entreprises à plus d'un milliard de dollars en dépenses annuelles en authentificateur matériel.

Les fournisseurs de matériel n'ont jamais abandonné le marché grand public. La vraie question est de savoir s'ils ont encore une piste crédible ou si la couche du système d'exploitation les a définitivement écartés.

3. Qui participe à la course grand public ?#

Deux formats se disputent l'espace. Les clés de sécurité sont en tête des ventes directes aux passionnés et aux entreprises. Les cartes à puce disposent du plus grand canal de distribution via les banques : plus de 1,5 milliard de cartes EMV sont émises chaque année selon les statistiques EMVCo.

Les fournisseurs concurrents se divisent en deux camps. Les fabricants de clés de sécurité vendent des clés USB ou NFC directement aux utilisateurs finaux et aux entreprises. Les fabricants de cartes à puce et d'éléments sécurisés fabriquent les puces et les cartes émises par les banques. Chaque camp est confronté à un problème de coût unitaire différent, et aucun n'a résolu à lui seul le déficit de distribution grand public.

3.1 Qui est en tête sur le format clé de sécurité ?#

Plusieurs fabricants de clés de sécurité sont en concurrence sur ce segment. Les clés de sécurité modernes prennent généralement en charge FIDO2, FIDO U2F, la carte à puce PIV, OpenPGP et l'OTP via USB-A, USB-C, NFC et Lightning, et certaines intègrent un capteur d'empreintes digitales sur l'appareil. Le tableau ci-dessous donne un aperçu des fournisseurs les plus pertinents sur les marchés grand public et des entreprises.

Un seul appareil coûte entre 40 et 80 dollars américains selon les pages de tarification des fabricants, ce qui est gérable dans un contexte d'entreprise mais freine l'adoption à l'échelle grand public. Les problèmes liés au NFC, à la récupération et à la distribution associés à ce niveau de prix sont abordés en détail dans la section 4.

3.2 Qui est en tête sur le format carte à puce ?#

Les fabricants de cartes à puce sont en concurrence sur le segment FIDO2 émis par les banques. Le paysage des fournisseurs se divise entre les fabricants de cartes et les fournisseurs de puces. Les fabricants de cartes tels que CompoSecure (qui expédie son produit FIDO2 Arculus), IDEMIA, NagraID, Feitian et TrustSEC produisent les cartes FIDO2 elles-mêmes. Les fournisseurs de puces, à savoir les trois géants des éléments sécurisés IDEMIA, Thales et Infineon, fabriquent les éléments sécurisés intégrés à la plupart des cartes. IDEX Biometrics fournit le capteur d'empreintes digitales sur carte qui transforme une carte à puce en carte à puce biométrique.

La distribution auprès des émetteurs de cartes est déjà résolue grâce à la chaîne d'approvisionnement existante des cartes de paiement. Le défi consiste à convaincre les émetteurs d'absorber le surcoût unitaire et à s'assurer que le contact NFC fonctionne de manière fiable sur l'ensemble des appareils.

Une carte à puce FIDO2 ajoute de 2 à 5 dollars au coût de base de 5 à 15 dollars d'un corps de carte métallique ou biométrique. Selon Juniper Research 2024, les cartes de paiement biométriques dépasseront les 140 millions d'unités expédiées dans le monde d'ici 2027.

3.3 Qu'en est-il des approches hybrides et adjacentes ?#

Quelques autres produits sont en concurrence pour le même cas d'utilisation sans correspondre parfaitement à l'un ou l'autre format. Ledger a expédié plus de 7 millions de portefeuilles Nano, et Trezor plus de 2 millions. Tous deux exposent FIDO2 comme une fonctionnalité secondaire en plus du stockage crypto. Les éléments sécurisés des téléphones, comme l'Apple Secure Enclave et Android StrongBox, protègent techniquement la clé privée avec le matériel, mais Apple et Google synchronisent les clés d'accès par défaut via iCloud Keychain et Google Password Manager, de sorte que le comportement visible pour l'utilisateur est celui d'une clé d'accès synchronisée, et non d'une clé liée au matériel. Les authentificateurs portables tels que l'anneau Token Ring et les anneaux Mojo Vision sont restés en dessous de 100 000 unités expédiées, selon des déclarations publiques.

En d'autres termes, la course grand public est en réalité une compétition à deux entre les clés de sécurité et les cartes à puce, les portefeuilles crypto constituant un troisième créneau et les accessoires connectés portables une anecdote de moins de 1 %.

4. Qu'est-ce qui bloque l'adoption par le grand public ?#

Quatre freins structurels entravent l'adoption des clés d'accès liées au matériel sur les marchés grand public : la hiérarchie des invites de l'OS et du navigateur, la fragmentation NFC sur Android, la difficulté de récupération après la perte de l'appareil et le coût direct au consommateur. Aucun de ces freins ne peut être levé par un seul fournisseur de matériel.

4.1 La hiérarchie des systèmes d'exploitation et des navigateurs#

Le module AuthenticationServices d'Apple utilise par défaut iCloud Keychain. Même lorsqu'une partie utilisatrice définit authenticatorAttachment sur cross-platform, l'utilisateur doit toujours ignorer d'abord l'interface de la plateforme. Le Credential Manager de Google fait de même sur Android avec Google Password Manager. Safari et Chrome détiennent ensemble environ 84 % des parts de marché des navigateurs mobiles selon StatCounter, donc deux fournisseurs définissent effectivement l'expérience d'invite pour l'ensemble du web grand public.

Les navigateurs sous-investissent également dans l'UX des clés matérielles parce que plus de 99 % des consommateurs ne possèdent pas de clé de sécurité dédiée, selon les données agrégées d'expédition des clés de sécurité comparées à la part de marché mondiale mobile sur StatCounter. Cela crée un cercle vicieux. Une mauvaise UX entraîne une faible adoption. Une faible adoption signifie aucun investissement. L'absence d'investissement maintient une mauvaise UX.

4.2 La fragmentation du NFC sur Android#

Le comportement du NFC sur Android varie beaucoup d'un fabricant à l'autre. Samsung, Xiaomi, Oppo et Google Pixel livrent tous des piles NFC différentes par-dessus le code open source Android. Certaines versions d'Android 14 ont même cassé la prise en charge des fournisseurs de clés d'accès tiers pendant plusieurs mois en 2024, selon le tracker de problèmes d'Android. Une carte à puce FIDO2 qui fonctionne bien sur un Pixel 8 peut échouer sur un Galaxy S23 Ultra et se comporter encore différemment sur un Xiaomi 14. Et aucun programme de test centralisé du programme de compatibilité Google Android ne détecte ces régressions avant qu'elles n'atteignent les consommateurs.

4.3 Récupération et perte#

Les clés d'accès synchronisées se récupèrent automatiquement lorsqu'un utilisateur se connecte sur un nouvel appareil. Ce n'est pas le cas des identifiants matériels. Un utilisateur qui perd une clé de sécurité ou casse une carte à puce doit passer par la récupération de compte ou des méthodes souvent moins sûres. Le rapport d'enquête sur les violations de données de Verizon 2024 révèle que 68 % des violations impliquent un élément humain non malveillant, y compris l'abus de la récupération d'identifiants. Le supplément NIST SP 800-63B avertit également explicitement que la récupération de compte est une voie courante vers la compromission de l'authentification. Le lien matériel n'est donc aussi solide que ne l'est le canal de récupération, ce qui signifie que la partie utilisatrice porte autant la charge de la sécurité que le fournisseur de puces.

4.4 Distribution et coûts#

Une clé de sécurité grand public se vend au détail entre 40 et 80 dollars américains selon les grilles tarifaires des fabricants. Un consommateur qui ne pense pas que son compte est à risque ne paiera tout simplement pas. Les banques et les bourses d'échange crypto qui absorbent ce coût peuvent distribuer des appareils gratuitement, mais elles assument alors la charge du support client. Les cartes à puce couplées à une carte de crédit ajoutent de 2 à 5 dollars au-dessus du coût de base de 5 à 15 dollars par carte, d'après les divulgations publiques des vendeurs de cartes à puce, y compris les documents à l'attention des investisseurs de CompoSecure.

Ces quatre obstacles expliquent pourquoi les clés d'accès synchronisées représentent plus de 95 % des enrôlements grand public dans les services financiers selon le FIDO Alliance Barometer, même lorsque le matériel est proposé en option.

5. Où les clés d'accès matérielles s'imposent-elles vraiment ?#

Trois catégories grand public donnent aux utilisateurs une véritable raison de porter du matériel dédié : les services bancaires et les paiements, l'auto-conservation crypto, et les comptes à forte valeur. Chacune combine un motif fort, un canal de distribution crédible et des conséquences suffisamment graves pour justifier la friction. En dehors de ces trois segments, les clés d'accès synchronisées l'emportent généralement pour des questions de confort.

5.1 Services bancaires et paiements#

Les banques constituent le canal de distribution le plus naturel. Elles expédient déjà des cartes physiques à leurs clients. Elles opèrent également sous le coup de la DSP2, de la DSP3, de l'avis de l'EBA sur l'authentification forte, du 2FA de la RBI, de la directive NYDFS Part 500 et de l'APRA CPS 234. Un grand nombre de ces règles exigent un facteur de possession cryptographique que les clés d'accès synchronisées ne satisfont pas clairement.

La thèse de la « carte à puce en tant que carte de crédit » fonctionne car la carte existe déjà. Une banque émettant une carte métallique paie entre 5 et 15 dollars par carte, d'après le formulaire 10-K de CompoSecure. L'ajout de FIDO2 porte ce coût de 7 à 20 dollars, selon l'analyse de Juniper Research sur les coûts des cartes biométriques. Cette même carte gère ensuite la puce et le code PIN, le paiement sans contact NFC, les retraits aux guichets automatiques, la connexion bancaire en ligne et la confirmation de transactions 3DS de grande valeur. On ne demande jamais au consommateur « voulez-vous un authentificateur matériel ? ». La carte arrive tout simplement par la poste.

5.2 Crypto et auto-conservation#

Les utilisateurs de cryptomonnaies acceptent déjà l'idée de porter du matériel. Ledger a expédié plus de 7 millions d'appareils Nano et a déclaré plus de 4 milliards de dollars de revenus matériels cumulés, selon sa page d'entreprise. Trezor a expédié plus de 2 millions d'unités. Les clés de sécurité occupent également une position de longue date dans le MFA des bourses d'échange crypto, Coinbase, Kraken et Binance prenant tous en charge les clés FIDO2.

L'ajout de FIDO2 à un portefeuille matériel représente un effort d'ingénierie supplémentaire mineur. Un appareil à 100 dollars qui protège un portefeuille de 50 000 dollars vaut manifestement la peine d'être conservé sur soi. La crypto reste la seule catégorie grand public où les utilisateurs achètent de leur propre initiative du matériel.

5.3 Comptes grand public de grande valeur#

Un groupe plus restreint de consommateurs protège des comptes dont la compromission est irréversible. Les exemples typiques sont la messagerie électronique principale, les portefeuilles d'identité gouvernementale, les comptes de créateurs sur YouTube ou Twitch et les identifiants de journalistes. Le programme de protection avancée de Google décrit cette cohorte comme « des utilisateurs à haut risque tels que des journalistes, des défenseurs des droits de l'homme et du personnel de campagnes électorales ».

OpenAI a suivi la même approche en avril 2026 avec son programme Advanced Account Security pour ChatGPT, en s'associant à Yubico pour proposer un lot de deux clés co-marquées (une YubiKey C NFC et une YubiKey C Nano) à environ 68 dollars. Le programme désactive complètement la connexion par mot de passe et e-mail ou SMS, exigeant des clés d'accès ou des clés de sécurité physiques, en ciblant les journalistes, les élus, les dissidents et d'autres utilisateurs de ChatGPT à haut risque. Il est trop tôt pour savoir combien d'utilisateurs paieront 68 dollars pour cette couche de sécurité supplémentaire, mais c'est le test le plus clair à ce jour pour déterminer si les comptes grand public de grande valeur peuvent stimuler une adoption volontaire du matériel en dehors de la crypto et de la banque.

L'Indice de préparation à la cybersécurité 2024 de Cisco indique également que seules 3 % des organisations ont une posture de sécurité mature. Le rapport 2024 sur la cybersécurité du GAO souligne la prise de contrôle des comptes comme l'un des cinq principaux risques informatiques fédéraux, ce qui élargit considérablement le bassin de consommateurs ayant besoin de cette protection bien au-delà de la niche initiale du journalisme.

6. Pourquoi le matériel seul ne l'emportera pas#

Posséder le meilleur matériel ne garantit pas des parts de marché auprès des consommateurs. Il existe cinq écarts entre un fournisseur de matériel et un produit grand public complet : la distribution, l'intégration, la récupération, les parcours multi-appareils et la mesure. Chaque écart nécessite des compétences qui se situent en dehors de la conception de puces.

1. Distribution : les fabricants de matériel n'ont pas de véritable relation directe avec les consommateurs. En théorie, tout le monde peut commander une YubiKey sur yubico.com, mais en pratique, les acheteurs sont des professionnels de la sécurité, des administrateurs informatiques et une petite cohorte de passionnés. Ce canal ne se transpose pas aux consommateurs grand public, qui n'ont jamais entendu parler de la marque et ne chercheront pas d'eux-mêmes un authentificateur à 50 dollars. Les banques, les opérateurs télécoms, les détaillants et les fournisseurs d'OS sont les parties qui possèdent la relation avec le consommateur ; un fabricant de matériel à l'échelle grand public a donc besoin d'un partenaire ou d'un accord en marque blanche.
2. Intégration : chaque étape que le consommateur doit franchir pour configurer une clé d'accès vous coûte des utilisateurs. Les déploiements réels dans le secteur bancaire signalent des taux d'abandon de 30 à 60 % tout au long de l'entonnoir d'enrôlement, conformément aux référentiels d'abandon de panier du Baymard Institute.
3. Récupération : un produit grand public dépourvu d'une procédure de récupération est défaillant. La récupération nécessite des signaux au niveau du compte, la vérification d'identité et l'évaluation des risques, qui relèvent tous de la partie utilisatrice.
4. Parcours multi-appareils : un utilisateur se connecte sur un téléphone, un ordinateur portable, une smart TV et une voiture. L'identifiant lié au matériel ne réside que sur un seul appareil. Vous avez donc besoin d'un routage intelligent entre le matériel et les identifiants synchronisés pour éviter les impasses.
5. Mesure : les fournisseurs de matériel ont généralement pour politique d'expédier et d'oublier. Ils comptent les unités vendues et les licences activées. Ils ne voient pas la cérémonie WebAuthn échouer ou l'utilisateur abandonner l'opération sans contact. Sans mesure, aucun des quatre autres écarts ne peut être comblé.

Les fournisseurs qui comblent ces cinq lacunes au sein de leur propre produit deviennent des plateformes d'authentification de bout en bout. Ceux qui ne le font pas restent dans le secteur des composants et vendent à la plateforme d'un tiers.

7. Quel est le véritable levier ? L'ingénierie de l'adoption#

L'ingénierie de l'adoption consiste à associer les clés d'accès matérielles à des logiciels qui stimulent l'enrôlement, mesurent chaque cérémonie et contournent les parcours défectueux. Aucune de ces activités ne concerne le matériel lui-même. Toutes les quatre sont nécessaires pour s'imposer sur les marchés grand public et ne fonctionnent que sous forme de boucle fermée. Le diagramme ci-dessous illustre comment les quatre activités s'alimentent mutuellement.

Le FIDO Alliance Authentication Barometer 2024 rapporte que 53 % des consommateurs ont activé des clés d'accès sur au moins un compte, mais l'activation liée au matériel dans les parcours réglementés reste inférieure à 5 %. Il s'agit d'un écart de l'ordre de 10x, que l'ingénierie de l'adoption permet de combler. Le groupe de travail W3C WebAuthn traite cet écart comme un problème de déploiement et non comme un problème de spécification.

7.1 Télémétrie de l'entonnoir#

Au niveau de l'entonnoir, l'observabilité des clés d'accès mesure chaque étape, depuis « l'utilisateur clique sur se connecter » jusqu'à « jeton de session émis ». Sans cette instrumentation, une équipe ne peut pas faire la différence entre « l'utilisateur n'a pas vu l'option matérielle », « l'utilisateur l'a vue, a présenté sa carte mais le NFC a échoué » et « l'utilisateur a terminé la cérémonie mais la partie utilisatrice a rejeté le résultat ».

La télémétrie de l'entonnoir vous donne les mesures qui comptent vraiment : le taux d'activation des clés matérielles, le taux de succès par appareil, le temps de réalisation et l'abandon par étape. La spécification W3C WebAuthn Level 3 définit 14 codes d'erreur distincts qu'une cérémonie peut renvoyer, mais la plupart des déploiements en production en mesurent moins de cinq, selon les présentations de déploiement lors de la conférence FIDO Alliance Authenticate 2024.

7.2 Diagnostics de session#

Lorsqu'une seule authentification échoue, les équipes de support doivent voir exactement ce qui s'est passé. Les diagnostics au niveau de la session capturent le transport (NFC, USB ou BLE), le code d'erreur CTAP, le navigateur, la version de l'OS, le fabricant de l'appareil et le timing de chaque étape de la cérémonie. La spécification FIDO CTAP 2.1 définit plus de 20 codes d'erreur que les authentificateurs peuvent renvoyer, et ceux-ci sont mappés à des actions spécifiques de récupération utilisateur dans la spécification W3C WebAuthn Level 3.

Sans cette télémétrie, l'agent du support ne voit que « échec de connexion » et risque de déclencher la récupération du compte.

7.3 Routage intelligent des appareils#

Certaines combinaisons d'appareils et de systèmes d'exploitation échouent de façon systématique. Les données du monde réel issues de grands déploiements montrent des taux d'échec de 40 à 90 % sur des binômes spécifiques défectueux, avec des schémas récurrents documentés dans le tracker de problèmes d'Android et les interventions au FIDO Alliance Authenticate 2024.

Une logique de routage qui masque l'option matérielle sur les combinaisons connues pour être défectueuses et bascule sur la meilleure voie alternative empêche les utilisateurs de se retrouver dans une impasse. Mais vous ne pouvez prendre ces décisions de routage qu'après que les données d'observabilité aient identifié les binômes défectueux parmi les quelque 24 000 modèles d'appareils Android distincts suivis par la base de données d'appareils OpenSignal.

7.4 Itération continue avec les émetteurs#

Les banques et les entreprises de la FinTech exécutent généralement des pilotes et des déploiements complets sur des cycles de 6 à 12 mois, selon les recherches de Gartner sur les programmes d'identité. La plateforme gagnante est celle qui transforme les données d'observabilité en notes de mise à jour hebdomadaires, en corrections de bugs et en une amélioration constante des taux de succès. Un déploiement statique avec des révisions trimestrielles perd face à l'itération continue.

8. Alors, qui gagne vraiment la course grand public ?#

Aucun fabricant de matériel « pur » ne gagne seul la course grand public. Trois archétypes se disputent le rôle de plateforme d'authentification pour les consommateurs : les banques et les émetteurs, les fabricants de matériel qui développent des couches logicielles, et les plateformes OS. Les banques sont en tête aujourd'hui parce qu'elles détiennent la distribution physique et bénéficient de la couverture réglementaire de la DSP2 et de la directive NYDFS Part 500. Les plateformes OS disposent déjà du silicium intégré à chaque téléphone et ordinateur portable, mais tant qu'Apple et Google synchronisent les clés d'accès par défaut, ils se positionnent sur le marché des clés d'accès synchronisées, et non sur celui des clés liées au matériel.

8.1 Pourquoi les banques sont-elles en tête aujourd'hui ?#

Les banques sont aujourd'hui en tête sur le marché des clés d'accès matérielles pour le grand public. Quatre atouts penchent en leur faveur. Elles émettent déjà des cartes physiques. Elles bénéficient de la couverture réglementaire de la DSP2, de la DSP3, de la directive NYDFS Part 500, de la RBI et de l'APRA CPS 234. Elles ont la confiance des consommateurs. Et elles peuvent absorber le surcoût unitaire de 2 à 5 dollars sur l'ensemble de leur portefeuille, d'après les annonces publiques des vendeurs de cartes à puce.

Les banques qui associent ces quatre avantages à l'ingénierie de l'adoption sécurisent une fidélisation pluriannuelle de la part des clients utilisant des clés d'accès. Celles qui achètent un produit matériel en pensant que le travail s'arrête là se retrouvent avec les mêmes taux d'activation à un chiffre que l'industrie signale depuis deux ans.

8.2 Qu'en est-il des fournisseurs de matériel qui créent des logiciels ?#

Le deuxième archétype est le fournisseur de matériel qui conçoit également une couche logicielle. Plusieurs fabricants de clés de sécurité et de cartes à puce ont entamé cette transition, mais il convient de préciser quel type de logiciel ils proposent. La plupart de ces produits sont des plateformes d'IAM, de gestion de flotte ou d'authentification adaptative, et non une observabilité des clés d'accès au niveau de l'entonnoir capable de combler le déficit d'adoption grand public.

• Yubico a développé la plateforme la plus complète parmi les fournisseurs de clés de sécurité. Son abonnement YubiKey as a Service associe des licences par utilisateur, un portail client pour la gestion de la flotte et des expéditions, le pré-enrôlement FIDO, une application et un SDK d'enrôlement ainsi qu'une livraison mondiale, avec intégration à Okta, Microsoft Entra ID et Ping Identity. Il s'agit principalement d'une couche de distribution d'entreprise et de gestion du cycle de vie, et non d'outils d'analyse pour l'adoption grand public.
• Thales associe son matériel SafeNet eToken et ses cartes à puce à SafeNet Trusted Access, une plateforme Identity-as-a-Service dans le cloud proposant du SSO et de l'authentification adaptative.
• OneSpan intègre son matériel DIGIPASS avec la plateforme OneSpan Cloud Authentication et l'authentification adaptative intelligente, axée sur les banques et les FinTechs.
• HID Global livre ses cartes à puce Crescendo en tandem avec le HID Authentication Service et l'authentificateur mobile HID Approve.
• CompoSecure étend sa carte à puce FIDO2 Arculus avec une application de portefeuille compagnon et un SDK de développement pour les émetteurs.

Jusqu'à présent, la plupart de ces fournisseurs tirent encore la majorité de leurs revenus de la vente de matériel. Ceux qui font évoluer leur suite logicielle au-delà de la livraison d'appareils et de l'IAM pour offrir une véritable observabilité des clés d'accès au niveau des cérémonies parviendront à piloter l'adoption de bout en bout. Les autres resteront cantonnés au secteur des entreprises en tant que fournisseurs de composants.

8.3 Qu'en est-il des plateformes OS ?#

Les plateformes de systèmes d'exploitation constituent un cas à part. Le matériel existe — l'Apple Secure Enclave, Android StrongBox et la puce Pluton dans Windows 11 se trouvent à l'intérieur de chaque appareil qu'ils vendent — mais la politique de clés d'accès par défaut chez Apple et Google consiste à synchroniser, ce qui fait que les consommateurs n'obtiennent jamais, dès l'installation, un identifiant réellement lié au matériel. iCloud Keychain et Google Password Manager copient la clé sur différents appareils, ce qui rend l'expérience visible pour l'utilisateur identique à celle d'une clé d'accès synchronisée. La technologie Windows Hello de Microsoft, liée au TPM, est le seul élément sécurisé grand public qui conserve encore les clés localement, mais Edge s'oriente également vers la synchronisation, et nous excluons Windows Hello de la course grand public au matériel car il ne nécessite pas d'achat séparé de matériel.

En théorie, Apple, Google ou Microsoft pourraient redéfinir la catégorie en exposant des clés d'accès liées à la plateforme, sans synchronisation, avec la même interface soignée que les clés synchronisées. Aucun signe public ne montre qu'ils aient cette intention. Tant que la synchronisation restera le choix par défaut, les plateformes OS seront des concurrents sur le marché des clés d'accès synchronisées, et non matérielles. Les clés de sécurité dédiées et les cartes à puce FIDO2 demeurent ainsi la seule véritable piste matérielle grand public.

8.4 À quoi ressemble la véritable course ?#

La vraie course n'est pas « clé de sécurité contre carte à puce ». La vraie question est de savoir qui construira la plateforme d'authentification grand public capable d'associer le matériel là où c'est nécessaire, avec les logiciels, les données et l'ingénierie de l'adoption partout ailleurs. Sur la base du discours d'ouverture du FIDO Alliance Authenticate 2024, les vainqueurs probables des trois à cinq prochaines années sont :

• Trois à cinq grandes banques et réseaux de paiement qui feront des cartes à puce FIDO2 l'expérience grand public par défaut.
• Un ou deux fabricants de matériel qui réussiront leur transition pour devenir des plateformes d'authentification avec de véritables analyses au niveau des cérémonies, au lieu de proposer seulement de l'IAM et de la gestion de flotte.
• Les programmes liés aux comptes de grande valeur comme la Protection avancée de Google et la Sécurité avancée de compte d'OpenAI, s'ils parviennent à prouver que 5 à 10 % des utilisateurs sont prêts à payer pour du matériel en échange d'une protection accrue de leur compte.

Les entreprises axées uniquement sur le matériel et qui y restent ont peu de chances de remporter la course grand public. Elles finiront par devenir des fournisseurs de puces pour la plateforme de quelqu'un d'autre. C'est un modèle sain et une véritable barrière à l'entrée dans le monde de l'entreprise, mais ce n'est pas une domination du marché grand public.

9. Que devraient faire ensuite les banques, les émetteurs et les équipes produit ?#

Trois actions sont cruciales pour toute équipe produit évaluant les clés d'accès liées au matériel dans les 12 prochains mois, d'après la marche à suivre pour le déploiement de la FIDO Alliance et les recommandations de Gartner sur l'identité. Choisissez le cas d'utilisation où le matériel gagne vraiment. Associez chaque déploiement matériel à l'ingénierie de l'adoption. Et intégrez la boucle de retour d'information des données dès le premier jour.

1. Choisissez le bon cas d'utilisation : confirmation de transactions de grande valeur, l'authentification renforcée sur des parcours réglementés, et la récupération de comptes pour des segments à haut risque. Ne forcez pas l'usage du matériel pour la connexion grand public générale.
2. Associez le matériel à l'ingénierie de l'adoption : instrumentation, gestion des erreurs d'application native, routage intelligent des appareils et mesures explicites comparées à une base de référence utilisant une clé d'accès synchronisée.
3. Mettez en place la boucle de données tôt : intégrez la télémétrie de l'entonnoir dès le premier projet pilote, et non après le déploiement. Les équipes qui repèrent quel fabricant Android, quelle version iOS et quelle combinaison de navigateur fait échouer les contacts sans contact peuvent itérer en quelques semaines. Celles qui ne le font pas en sont réduites aux anecdotes et doivent attendre les tickets du support.

Pour les fabricants de matériel, le message est encore plus tranché. Décidez si l'entreprise reste un fournisseur de composants ou si elle construit une plateforme. Les deux sont viables. Tenter de faire les deux sans s'engager pleinement se traduira par un sous-financement de la plateforme et une dispersion de la feuille de route pour les puces.

10. Conclusion#

Les clés d'accès matérielles restent le seul type d'identifiant grand public qui atteint le NIST AAL3, survit à la compromission d'un compte cloud, et satisfait clairement à l'interprétation la plus stricte de la DSP2, de la DSP3 et des réglementations similaires. La technologie est solide. Le silicium est robuste. Les standards sont matures.

Ce que la technologie ne peut pas faire toute seule, c'est s'imposer auprès des consommateurs. Apple et Google contrôlent la couche des systèmes d'exploitation et des navigateurs. Les banques et les émetteurs contrôlent la distribution grand public. Les fournisseurs de matériel contrôlent le silicium. La course grand public sera remportée par l'acteur qui saura réunir ces trois éléments grâce à une plateforme logicielle qui stimule l'adoption, mesure chaque cérémonie et contourne les obstacles.

La recette gagnante est le matériel associé à l'observabilité des clés d'accès, combinée à une ingénierie de l'adoption continue. Le fournisseur ou l'émetteur qui déploiera ces trois piliers définira les règles du jeu pour le grand public pour la prochaine décennie. Les autres se contenteront de vendre des composants pour alimenter la plateforme de quelqu'un d'autre.

À propos de Corbado

Corbado est la Passkey Intelligence Platform pour les équipes CIAM qui gèrent l'authentification client à grande échelle. Nous vous montrons ce que les logs IDP et les outils d'analytics génériques ne voient pas : quels appareils, versions d'OS, navigateurs et gestionnaires de credentials prennent en charge les passkeys, pourquoi les enrôlements ne deviennent pas des connexions, où le flux WebAuthn échoue et quand une mise à jour OS ou navigateur casse silencieusement la connexion — le tout sans remplacer Okta, Auth0, Ping, Cognito ni votre IDP interne. Deux produits : Corbado Observe ajoute l'observabilité pour les passkeys et toute autre méthode de connexion. Corbado Connect apporte des passkeys managés avec analytics intégrés (aux côtés de votre IDP). VicRoads gère les passkeys pour plus de 5M d'utilisateurs avec Corbado (+80 % d'activation passkey). Parler à un expert Passkey →

Foire aux questions#

Quelle est la différence entre les clés d'accès matérielles et les clés d'accès synchronisées pour les consommateurs ?#

Les clés d'accès matérielles conservent la clé privée à l'intérieur d'un élément sécurisé physique, tel qu'une clé de sécurité, une carte à puce FIDO2 ou une puce TPM intégrée. La clé ne quitte jamais ce matériel. Les clés d'accès synchronisées sont hébergées dans iCloud Keychain, Google Password Manager ou un gestionnaire tiers, et se copient sur vos appareils via le cloud. Les clés d'accès matérielles atteignent le niveau NIST AAL3 car la clé privée ne peut pas être exportée. Les clés d'accès synchronisées sont limitées au niveau AAL2, car le chemin de synchronisation dans le cloud rend la clé récupérable. Cet écart d'un niveau d'assurance est très important pour les régulateurs de la banque, des gouvernements et de la santé.

Pourquoi les clés de sécurité matérielles ne se sont-elles pas démocratisées auprès du grand public malgré l'adoption des clés d'accès ?#

Apple et Google contrôlent les OS et les navigateurs utilisés par plus de 99 % des consommateurs, selon StatCounter. Tous deux privilégient leurs propres gestionnaires d'identifiants synchronisés dans les invites WebAuthn. Les authentificateurs matériels se trouvent à un ou trois clics de profondeur dans chaque parcours par défaut, d'après les documentations de l'AuthenticationServices d'Apple et du Credential Manager d'Android. Le comportement NFC sur Android est fragmenté entre les fabricants de téléphones, et l'interface Conditional UI favorise par défaut les identifiants synchronisés. De plus, la plupart des consommateurs refuseront de payer 40 à 80 dollars pour un authentificateur distinct à moins qu'un service ne les y oblige.

Quels cas d'utilisation justifient une clé d'accès matérielle pour les consommateurs ?#

Trois catégories offrent aux consommateurs une motivation suffisante. La première concerne les services bancaires et les paiements, où la DSP2, la DSP3, la RBI en Inde et l'APRA CPS 234 en Australie exigent tous une authentification forte des clients. La deuxième est la crypto et l'auto-conservation, où perdre une clé signifie perdre ses fonds, et où Ledger et Trezor ont déjà expédié plus de 9 millions d'appareils. La troisième regroupe les comptes de grande valeur, incluant la messagerie principale, les portefeuilles d'identité gouvernementale et les comptes de créateurs, dont la prise de contrôle est irréversible. Le Programme de protection avancée de Google et la Sécurité avancée de compte d'OpenAI pour ChatGPT (lancé en avril 2026 avec un pack co-marqué de deux YubiKeys pour environ 68 dollars) ciblent cette cohorte. En dehors de ces trois catégories, ce sont généralement les clés d'accès synchronisées qui l'emportent.

Comment les cartes à puce FIDO2 s'intègrent-elles dans la course aux clés d'accès matérielles grand public ?#

Les fabricants de cartes à puce comme CompoSecure (qui expédie plus de 100 millions de cartes de paiement métalliques par an selon son dépôt 10-K, et propose Arculus comme produit FIDO2) et IDEMIA construident des cartes à puce NFC avec des éléments sécurisés pouvant héberger des identifiants FIDO2. Les consommateurs portent déjà une carte de crédit sur eux, de sorte que l'ajout d'une clé d'accès matérielle à cette carte supprime la nécessité d'un appareil supplémentaire. Les banques, les néobanques et les dépositaires crypto peuvent ainsi regrouper l'authentification, le paiement et la montée en sécurité au sein d'un format unique. Les plus grandes difficultés consistent à fiabiliser le contact NFC sur les navigateurs iOS et Android, et à convaincre les émetteurs d'absorber le surcoût de 2 à 5 dollars par carte.

Que faut-il pour vraiment gagner le marché des clés d'accès matérielles grand public ?#

Un bon matériel est nécessaire, mais insuffisant. Le gagnant sera celui qui associera un format matériel crédible à une plateforme d'intelligence mesurant chaque étape de l'enrôlement et de l'authentification, contournant les combinaisons d'appareils et d'OS défectueuses, et prouvant aux émetteurs que la fraude et les coûts de support diminuent. Sans une observabilité des clés d'accès au niveau de l'entonnoir, les fournisseurs et les banques ne peuvent pas voir que 60 % des utilisateurs abandonnent l'étape du contact NFC (un schéma documenté lors de présentations au FIDO Alliance Authenticate 2024), ou que Conditional UI a silencieusement escamoté l'invite (selon la spécification W3C WebAuthn Level 3). La course sera décidée par les données et les logiciels, et non par la clé dotée de la coque en titane la plus solide.