Comment passer au tout sans mot de passe

L'implémentation des passkeys représente un pas de géant pour la sécurité de l'authentification, mais ce n'est pas la fin du voyage. Si vous avez déjà déployé les passkeys, vous célébrez probablement l'amélioration de vos indicateurs de sécurité, mais comment passe-t-on concrètement de l'utilisation des passkeys à une authentification entièrement sans mot de passe ?

Les passkeys offrent des avantages de sécurité cruciaux grâce à leur conception résistante au phishing qui utilise la cryptographie à clé publique liée à des domaines spécifiques. Il est ainsi impossible pour les attaquants de tromper les utilisateurs pour qu'ils s'authentifient sur des sites frauduleux. Ils éliminent la réutilisation des identifiants, car chaque passkey est unique à un service spécifique, ce qui signifie que la compromission d'un service n'affecte pas les autres. De plus, ils offrent une immunité aux attaques par force brute en remplaçant les secrets mémorisés par des clés cryptographiques qui ne peuvent être ni devinées ni craquées.

Pourtant, ces puissants avantages s'évaporent dès qu'un utilisateur peut contourner l'authentification par passkey et se connecter avec un mot de passe. Cela soulève une question cruciale : Pourquoi les passkeys seuls ne suffisent-ils pas pour une sécurité complète ? La réponse réside dans le fait que tant que la porte des mots de passe reste ouverte, les attaquants essaieront de la franchir. Plus important encore, qu'est-ce qui fait de la récupération de compte la vulnérabilité cachée qui peut saper toute votre implémentation de passkeys ? De récentes failles de sécurité très médiatisées ont montré que les attaquants ciblent de plus en plus les flux de récupération plutôt que l'authentification principale.

Cet article vous guidera tout au long du parcours complet, de l'implémentation des passkeys à l'atteinte d'une véritable sécurité sans mot de passe, en répondant à chacune de ces questions critiques avec des solutions pratiques et des exemples concrets.

Une authentification véritablement sans mot de passe signifie éliminer complètement les mots de passe de votre architecture de sécurité. Dans un système sans mot de passe, les utilisateurs ne peuvent ni définir, ni réinitialiser, ni utiliser de mots de passe à aucun moment de leur parcours d'authentification. L'authentification repose entièrement sur des méthodes cryptographiques comme les passkeys.

De nombreuses organisations se prétendent « sans mot de passe » tout en conservant les mots de passe en arrière-plan comme option de secours. Ce n'est pas du véritable sans mot de passe, mais plutôt du mot de passe facultatif. La distinction est importante car tant que les mots de passe existent quelque part dans votre système, y compris dans les flux de récupération, ils restent une vulnérabilité exploitable que les attaquants cibleront.

Une véritable sécurité sans mot de passe nécessite à la fois d'éliminer les mots de passe de l'authentification principale ET de s'assurer que les processus de récupération sont tout aussi résistants au phishing.

Conserver les mots de passe comme option de secours préserve tous les vecteurs d'attaque que les passkeys sont conçus pour éliminer. Les attaquants n'ont qu'à réorienter leurs campagnes de phishing pour cibler la saisie de mots de passe, tandis que les attaques par credential stuffing et par pulvérisation de mots de passe continuent d'utiliser des identifiants volés lors d'autres failles. L'ingénierie sociale reste efficace, car les utilisateurs peuvent toujours être amenés à révéler leurs mots de passe à de faux agents de support.

Tant que les mots de passe existent, ils restent le maillon le plus faible, un point d'entrée unique qui contourne complètement la sécurité résistante au phishing des passkeys.

Il ne suffit pas non plus de se concentrer uniquement sur l'expérience de connexion. Un vecteur d'attaque critique mais souvent négligé est le flux de récupération de compte. Même les organisations qui ont implémenté les passkeys peuvent rester vulnérables si leur processus de récupération repose sur des méthodes vulnérables au phishing comme les OTP par SMS или les liens magiques par e-mail.

Pensez à la faille très médiatisée de MGM Resorts en 2023, où les attaquants n'ont pas ciblé le système d'authentification principal, mais ont exploité le processus de récupération de compte par ingénierie sociale, contournant toutes les mesures de sécurité primaires. De même, la faille du système de support d'Okta a démontré comment les flux de récupération peuvent devenir le maillon le plus faible, permettant aux attaquants de réinitialiser les identifiants et d'obtenir un accès non autorisé aux environnements des clients.

Ces incidents soulignent une vérité cruciale : implémenter des passkeys sans sécuriser le flux de récupération, c'est comme installer une porte blindée en laissant les fenêtres ouvertes.

Atteindre une véritable authentification sans mot de passe n'est pas une étape unique ; c'est un parcours stratégique qui nécessite une planification minutieuse, une mise en œuvre progressive et une optimisation continue :

La première phase se concentre sur l'introduction des passkeys comme méthode d'authentification supplémentaire tout en maintenant les options existantes comme solutions de secours. Cette étape fondamentale donne aux utilisateurs le temps de comprendre et de faire confiance à la nouvelle technologie, tout en gardant des méthodes familières disponibles pour réduire les frictions.

Étapes clés de l'implémentation :

• Intégrer l'authentification par passkey dans votre flux d'authentification existant
• Permettre la création de passkeys pour les nouveaux utilisateurs et les utilisateurs existants
• Conserver les mots de passe et autres méthodes d'authentification comme alternatives
• Suivre les taux de création de passkeys et les modèles d'utilisation

Indicateurs de succès :

• Pourcentage d'utilisateurs ayant créé au moins un passkey supérieur à 50 %
• Taux de réussite de la création de passkeys supérieur à 95 %
• Utilisation initiale des passkeys pour l'authentification atteignant 20-30 %

Une fois les passkeys disponibles, l'accent est mis sur la stimulation de l'adoption et la promotion des passkeys comme méthode d'authentification préférée. Cette phase transforme les passkeys d'une option alternative au choix d'authentification principal grâce à un engagement stratégique de l'utilisateur et à une optimisation.

Étapes clés de l'implémentation :

• Faire de l'authentification par passkey l'option par défaut dans les flux de connexion
• Mettre en œuvre des invites intelligentes qui encouragent la création de passkeys après des connexions réussies par mot de passe
• Éduquer les utilisateurs sur les avantages en matière de sécurité et de commodité via des messages in-app
• Offrir des incitations pour l'adoption des passkeys (paiement plus rapide, fonctionnalités exclusives)
• Tester différentes approches de messagerie et d'interface utilisateur par A/B testing pour maximiser la conversion
• Mettre en œuvre des politiques d'accès conditionnel exigeant des passkeys pour les opérations sensibles

Indicateurs de succès :

• 60 % ou plus des utilisateurs actifs avec au moins un passkey
• 80 % ou plus des connexions utilisant des passkeys pour les comptes compatibles
• Moins de 2 % de taux d'échec de création de passkeys

C'est ici que la véritable transformation de la sécurité a lieu : supprimer entièrement les mots de passe pour les utilisateurs qui utilisent constamment les passkeys. Cette phase élimine le principal vecteur d'attaque en désactivant les mots de passe pour les utilisateurs qui ont démontré une adoption réussie des passkeys.

Étapes clés de l'implémentation :

• Analyser les modèles d'authentification des utilisateurs à l'aide de systèmes de surveillance intelligents
• Identifier les utilisateurs qui utilisent exclusivement des passkeys avec plusieurs appareils compatibles
• Proposer la désactivation du mot de passe avec un message clair sur les avantages en matière de sécurité
• Vérifier la disponibilité des passkeys de secours (synchronisés dans le cloud ou sur plusieurs appareils)

Indicateurs de succès :

• 30 % ou plus des utilisateurs éligibles suppriment volontairement leurs mots de passe
• Aucune augmentation des taux de verrouillage de compte
• Scores de satisfaction des utilisateurs maintenus ou améliorés

La phase finale s'attaque à la dernière vulnérabilité : transformer la récupération de compte en un processus résistant au phishing. Cette phase garantit que les flux de récupération atteignent le même niveau de sécurité que l'authentification principale, empêchant ainsi les attaques par porte dérobée.

Étapes clés de l'implémentation :

• Mettre en œuvre une authentification multifacteur avec au moins un facteur résistant au phishing
• Facteurs résistants au phishing disponibles :
  • Passkeys de secours : Des passkeys de récupération stockés sur des appareils secondaires ou des services cloud qui fournissent une preuve cryptographique de l'identité (l'option la plus répandue).
  • API Digital Credentials : Un standard du W3C pour les assertions d'identité vérifiées cryptographiquement par des fournisseurs de confiance (technologie émergente, pas encore très répandue).
  • Clés de sécurité matérielles : Des jetons physiques FIDO2 enregistrés comme facteurs de récupération qui ne peuvent être ni hameçonnés ni dupliqués (nécessite que les utilisateurs achètent et entretiennent des appareils physiques).
  • Vérification de documents d'identité avec détection du vivant : La numérisation d'une pièce d'identité gouvernementale combinée à des actions biométriques en temps réel pour prouver la présence physique.

Remarque sur les options de récupération : Bien que l'API Digital Credentials et les clés de sécurité matérielles offrent une sécurité renforcée, elles ne sont pas encore largement adoptées. La première est encore une technologie émergente et la seconde nécessite que les utilisateurs achètent des appareils physiques.

Lorsque les passkeys de secours ne sont pas disponibles, la vérification de documents d'identité avec détection du vivant devient une alternative viable. Malgré les solutions de contournement potentielles pour déjouer les vérifications du vivant sans possession physique d'une pièce d'identité, ces méthodes offrent une sécurité nettement supérieure aux OTP traditionnels, qui peuvent être facilement interceptés par phishing, SIM swapping ou attaques de l'homme du milieu.

Indicateurs de succès :

• 100 % des flux de récupération incluent des facteurs résistants au phishing
• Zéro prise de contrôle de compte réussie via les processus de récupération
• Taux de réussite de la récupération maintenus au-dessus de 90 %

Le mouvement vers le sans mot de passe gagne du terrain dans l'industrie technologique, avec des entreprises de premier plan qui s'éloignent des mots de passe.

Plusieurs entreprises ont déjà réussi à éliminer complètement les mots de passe pour leurs opérations internes. Okta, Yubico et Cloudflare ont atteint un usage interne de zéro mot de passe, et leurs flux de connexion n'acceptent plus du tout les mots de passe.

Les géants de la tech Google, Apple, Microsoft et X déprécient activement les mots de passe, mais ne les ont pas encore entièrement éliminés. Leur approche équilibre les améliorations de sécurité avec le choix de l'utilisateur pendant la période de transition.

Google a adopté une position agressive en activant par défaut l'option « Ignorer le mot de passe si possible » pour tous les comptes, faisant des passkeys la méthode d'authentification préférée tout en permettant aux utilisateurs de se désinscrire si nécessaire. Cette approche par option de retrait crée une forte dynamique vers le sans mot de passe tout en maintenant la flexibilité pour les utilisateurs qui ne sont pas encore prêts à faire la transition.

Microsoft va plus loin en permettant aux utilisateurs de supprimer complètement leurs mots de passe de leurs comptes dès aujourd'hui, avec des plans pour « supprimer à terme tout support des mots de passe ». Cette feuille de route claire signale aux utilisateurs que les jours des mots de passe sont comptés, encourageant une adoption précoce des méthodes sans mot de passe.

Apple a intégré les passkeys dans tout son écosystème et promeut activement leur utilisation, bien que les mots de passe Apple ID restent disponibles comme option de secours. Leur approche tire parti de la synchronisation transparente entre les appareils Apple pour rendre l'adoption des passkeys aussi fluide que possible.

Ces entreprises n'imposent pas de changement immédiat mais envoient un message clair : les mots de passe disparaîtront une fois que l'adoption aura atteint une masse critique. Leurs stratégies consistent à faire des passkeys le mode par défaut, à éduquer les utilisateurs sur leurs avantages et à réduire progressivement la fonctionnalité des mots de passe.

La décision de supprimer les mots de passe ne doit pas être précipitée ni appliquée universellement. Adoptez plutôt une approche progressive et basée sur les données qui prend en compte le comportement des utilisateurs, les capacités des appareils et les profils de risque.

Les secteurs à haut risque subissant de graves attaques de phishing aujourd'hui devraient commencer leur transition sans mot de passe immédiatement, mais en suivant un déploiement stratégique et progressif :

• Banques et institutions financières : Cibles privilégiées du vol d'identifiants. Pour les banques européennes, les passkeys sont également conformes aux exigences d'Authentification Forte du Client (SCA) de la DSP2, fournissant une MFA résistante au phishing qui respecte la conformité réglementaire tout en améliorant l'expérience utilisateur.
• Fournisseurs de paiement et Fintech : L'accès direct aux fonds des clients les rend attrayants pour le crime organisé.
• Plateformes d'échange de cryptomonnaies : Les transactions irréversibles signifient que des identifiants volés entraînent des pertes permanentes.
• Santé et assurance : Font face à la fois à des exigences de conformité et à des risques pour la sécurité des patients liés au vol d'identité médicale.
• Gouvernement et infrastructures critiques : Ciblés par des acteurs étatiques avec des campagnes de spear-phishing sophistiquées.

Pour ces organisations, une action immédiate est essentielle, mais le succès nécessite toujours une approche de déploiement méthodique et progressive. Commencez dès aujourd'hui, mais déployez de manière stratégique pour garantir une forte adoption et éviter les verrouillages de comptes.

Commencez avec un sous-groupe plus petit : Entamez votre transition sans mot de passe avec les utilisateurs qui démontrent une utilisation constante des passkeys. Ces premiers adeptes vous aideront à identifier les problèmes potentiels avant un déploiement plus large.

Analysez les modèles de comportement des utilisateurs :

• Fréquence et méthodes de connexion utilisées
• Types d'appareils et compatibilité des passkeys
• Tentatives d'authentification échouées
• Utilisation du flux de récupération
• Modèles d'authentification entre appareils

Utilisateurs éligibles à la désactivation du mot de passe sur la base de ces modèles :

• S'authentifient systématiquement via des passkeys - montrant qu'ils sont à l'aise avec la technologie.
• Utilisent des passkeys sur plusieurs appareils - indiquant qu'ils ont des méthodes d'accès de secours.
• N'ont pas utilisé de mots de passe ou de flux de récupération au cours des 30 à 60 derniers jours - démontrant qu'ils ne dépendent pas de l'authentification basée sur un mot de passe.

Corbado fournit une plateforme complète pour guider les organisations à travers les quatre phases du parcours sans mot de passe décrites ci-dessus. De l'implémentation initiale des passkeys à l'élimination complète des mots de passe, la solution de Corbado gère la complexité technique tout en fournissant les outils nécessaires à une adoption réussie par les utilisateurs.

Support pour les phases 1 et 2 : Corbado offre une intégration transparente des passkeys avec les piles d'authentification existantes, des invites intelligentes qui maximisent les taux d'adoption et des analyses détaillées pour suivre la création et l'utilisation des passkeys. La fonctionnalité Passkey Intelligence de la plateforme optimise automatiquement l'expérience utilisateur en fonction des capacités de l'appareil et du comportement de l'utilisateur, garantissant un onboarding fluide.

Implémentation des phases 3 et 4 : Pour les organisations prêtes à supprimer complètement les mots de passe, Corbado permet une désactivation progressive des mots de passe en fonction de la maturité de l'utilisateur, tout en maintenant des flux de récupération sécurisés et résistants au phishing.

En gérant la compatibilité multiplateforme, les mécanismes de secours et l'optimisation de l'expérience utilisateur, Corbado accélère la transformation vers le sans mot de passe de plusieurs années à quelques mois, permettant aux organisations de se concentrer sur leur cœur de métier tout en atteignant une authentification résistante au phishing.

Le voyage vers une véritable authentification sans mot de passe répond aux deux questions cruciales que nous avons soulevées au début :

Pourquoi les passkeys seuls ne suffisent-ils pas pour une sécurité complète ? Parce que la sécurité n'est aussi forte que son maillon le plus faible. Tant que les mots de passe restent disponibles, même en tant que solution de secours, les attaquants se contenteront de les cibler par le biais du phishing, du credential stuffing ou des attaques par repli. Chaque mot de passe dans votre système sape les avantages des passkeys en matière de résistance au phishing.

Qu'est-ce qui fait de la récupération de compte la vulnérabilité cachée ? Les flux de récupération sont souvent la porte dérobée oubliée. Comme l'ont démontré les failles de MGM Resorts et d'Okta, les attaquants contournent de plus en plus les implémentations robustes de passkeys en exploitant des méthodes de récupération plus faibles comme les OTP par SMS ou les liens magiques par e-mail. C'est comme installer une porte blindée en laissant les fenêtres ouvertes.

Une véritable sécurité sans mot de passe nécessite de parcourir l'ensemble du chemin : implémenter les passkeys, stimuler l'adoption, supprimer complètement les mots de passe et sécuriser les flux de récupération avec des méthodes résistantes au phishing. Ce n'est qu'en fermant toutes les portes des mots de passe, y compris celles cachées dans les processus de récupération, que les organisations peuvent atteindre une authentification véritablement sécurisée.