Comment passer à une authentification entièrement sans mot de passe

1. Introduction : Pourquoi la mise en œuvre des clés d'accès n'est pas la ligne d'arrivée#

La mise en œuvre de clés d'accès représente un bond en avant monumental dans la sécurité de l'authentification, mais ce n'est pas la fin du parcours. Si vous avez déjà déployé des clés d'accès, vous vous réjouissez probablement de l'amélioration de vos métriques de sécurité, mais comment passez-vous réellement de l'utilisation de clés d'accès à une authentification entièrement sans mot de passe ?

Les clés d'accès offrent des avantages de sécurité essentiels grâce à leur conception résistante au phishing qui utilise une cryptographie à clé publique liée à des domaines spécifiques, empêchant ainsi les attaquants de tromper les utilisateurs pour qu'ils s'authentifient sur des sites frauduleux. Elles éliminent la réutilisation des identifiants car chaque clé d'accès est unique à un service spécifique, ce qui signifie que la compromission d'un service n'affecte pas les autres. De plus, elles offrent une immunité aux attaques par force brute en remplaçant les secrets mémorisés par des clés cryptographiques qui ne peuvent être devinées ni piratées.

Pourtant, ces puissants avantages s'évaporent au moment où un utilisateur peut contourner l'authentification par clé d'accès pour se connecter avec un mot de passe à la place. Cela soulève une question cruciale : Pourquoi les clés d'accès seules ne suffisent-elles pas pour une sécurité totale ? La réponse réside dans le fait de comprendre que tant que la porte du mot de passe restera ouverte, les attaquants essaieront de la franchir. Encore plus importante est la question de savoir ce qui fait de la récupération de compte la vulnérabilité cachée capable de saper l'ensemble de votre mise en œuvre de clés d'accès ? Les récentes violations très médiatisées ont montré que les attaquants ciblent de plus en plus les flux de récupération plutôt que l'authentification principale.

Cet article vous guidera tout au long du parcours complet, de la mise en œuvre des clés d'accès à l'obtention d'une véritable sécurité sans mot de passe, en abordant chacune de ces questions critiques avec des solutions pratiques et des exemples concrets.

Que signifie réellement "sans mot de passe" ?#

Une véritable authentification sans mot de passe signifie l'élimination totale des mots de passe de votre architecture de sécurité. Dans un système sans mot de passe, les utilisateurs ne peuvent ni définir, ni réinitialiser, ni utiliser de mots de passe à aucun moment de leur parcours d'authentification. L'authentification repose entièrement sur des méthodes cryptographiques telles que les clés d'accès.

De nombreuses organisations prétendent être "sans mot de passe" tout en conservant les mots de passe en arrière-plan comme option de secours. Il ne s'agit pas d'un véritable système sans mot de passe, mais simplement d'un mot de passe facultatif. La distinction est importante car tant que des mots de passe existent quelque part dans votre système, y compris dans les flux de récupération, ils restent une vulnérabilité exploitable que les attaquants cibleront.

2. Les deux portes dérobées qui sapent la sécurité des clés d'accès#

Une véritable sécurité sans mot de passe nécessite à la fois d'éliminer les mots de passe de l'authentification principale ET de s'assurer que les processus de récupération sont tout aussi résistants au phishing.

2.1 Pourquoi les mots de passe en tant qu'option de secours posent un risque de sécurité important#

Maintenir les mots de passe comme option de secours préserve tous les vecteurs d'attaque que les clés d'accès sont censées éliminer. Les attaquants font simplement pivoter leurs campagnes de phishing pour cibler la saisie de mots de passe, tandis que le bourrage d'identifiants et les attaques par pulvérisation de mots de passe se poursuivent en utilisant des identifiants volés lors d'autres violations. L'ingénierie sociale reste efficace car les utilisateurs peuvent toujours être incités à révéler des mots de passe à de faux agents d'assistance.

Tant que les mots de passe existent, ils demeurent le maillon faible, un point d'entrée unique qui contourne totalement la sécurité des clés d'accès face au phishing.

2.2 La porte dérobée de la récupération de compte#

Ne regarder que l'expérience de connexion ne suffit pas non plus. Un vecteur d'attaque critique mais souvent négligé est le flux de récupération de compte. Même les organisations ayant implémenté des clés d'accès peuvent rester vulnérables si leur processus de récupération repose sur des méthodes susceptibles d'être victimes de phishing, telles que les OTP SMS ou les liens magiques par e-mail.

Prenons l'exemple de la violation très médiatisée de MGM Resorts en 2023, où les attaquants n'ont pas ciblé le système d'authentification principal, mais ont exploité le processus de récupération de compte via l'ingénierie sociale, contournant ainsi toutes les mesures de sécurité principales. De la même manière, la violation du système d'assistance d'Okta a démontré comment les flux de récupération peuvent devenir le maillon faible, permettant aux attaquants de réinitialiser des identifiants et d'obtenir un accès non autorisé aux environnements des clients.

Ces incidents soulignent une vérité fondamentale : implémenter des clés d'accès sans sécuriser le flux de récupération revient à installer une porte en acier tout en laissant les fenêtres ouvertes.

3. Le parcours vers le sans mot de passe#

Parvenir à une véritable authentification sans mot de passe n'est pas une étape isolée, c'est un parcours stratégique qui nécessite une planification minutieuse, une conception et une stratégie produit réfléchies, une implémentation progressive et une optimisation continue :

3.1 Phase 1 : Ajouter des clés d'accès#

La première phase se concentre sur l'introduction des clés d'accès comme méthode d'authentification supplémentaire tout en conservant les options existantes comme solutions de repli. Cette étape fondamentale donne aux utilisateurs le temps de comprendre la nouvelle technologie et d'y faire confiance, tout en gardant des méthodes familières disponibles pour réduire les frictions.

Étapes d'implémentation clés :

• Intégrer l'authentification par clé d'accès dans votre flux d'authentification existant
• Permettre la création de clés d'accès pour les nouveaux utilisateurs et ceux existants
• Maintenir les mots de passe et les autres méthodes d'authentification comme alternatives
• Suivre les taux de création des clés d'accès et les modèles d'utilisation

Métriques de succès :

• Pourcentage d'utilisateurs ayant créé au moins une clé d'accès supérieur à 50 %
• Taux de réussite de la création de clés d'accès supérieur à 95 %
• Utilisation initiale des clés d'accès pour l'authentification atteignant 20 à 30 %

3.2 Phase 2 : Augmenter l'adoption des clés d'accès#

Une fois les clés d'accès disponibles, l'attention se porte sur la stimulation de l'adoption et la transformation des clés d'accès en méthode d'authentification privilégiée. Cette phase transforme les clés d'accès, d'une option alternative à un choix d'authentification principal, grâce à un engagement utilisateur et une optimisation stratégiques.

Étapes d'implémentation clés :

• Faire de l'authentification par clé d'accès l'option par défaut dans les flux de connexion
• Implémenter des invites intelligentes qui encouragent la création de clés d'accès après des connexions réussies par mot de passe
• Éduquer les utilisateurs sur les avantages en matière de sécurité et de commodité par le biais de messages dans l'application
• Offrir des incitations pour l'adoption des clés d'accès (paiement plus rapide, fonctionnalités exclusives)
• Effectuer des tests A/B sur différentes approches de messagerie et d'interface utilisateur pour maximiser la conversion
• Implémenter des politiques d'accès conditionnel nécessitant des clés d'accès pour des opérations sensibles

Métriques de succès :

• Plus de 60 % des utilisateurs actifs possèdent au moins une clé d'accès
• Plus de 80 % des connexions utilisent des clés d'accès pour les comptes compatibles
• Taux d'échec de la création de clés d'accès inférieur à 2 %

3.3 Phase 3 : Passer au sans mot de passe#

C'est ici que s'opère la véritable transformation de la sécurité : la suppression totale des mots de passe pour les utilisateurs qui utilisent régulièrement des clés d'accès. Cette phase élimine le principal vecteur d'attaque en désactivant les mots de passe pour les utilisateurs ayant démontré une adoption réussie des clés d'accès.

Étapes d'implémentation clés :

• Analyser les modèles d'authentification des utilisateurs en utilisant des systèmes de surveillance intelligents
• Identifier les utilisateurs qui utilisent exclusivement des clés d'accès avec plusieurs appareils compatibles avec les clés d'accès
• Proposer la désactivation du mot de passe avec des messages clairs sur les avantages en matière de sécurité
• Vérifier la disponibilité des clés d'accès de secours (synchronisées dans le cloud ou sur plusieurs appareils)

Métriques de succès :

• Plus de 30 % des utilisateurs éligibles suppriment volontairement leurs mots de passe
• Aucune augmentation des taux de verrouillage de compte
• Maintien ou amélioration des scores de satisfaction des utilisateurs

3.4 Phase 4 : Récupération résistante au phishing#

La phase finale traite de la dernière vulnérabilité : la transformation de la récupération de compte en un processus résistant au phishing. Cette phase garantit que les flux de récupération atteignent le même niveau de sécurité que l'authentification principale, empêchant ainsi les attaques par porte dérobée.

Étapes d'implémentation clés :

• Implémenter une authentification multifacteur avec au moins un facteur résistant au phishing
• Facteurs résistants au phishing disponibles :
  • Clés d'accès de secours : clés d'accès de récupération stockées sur des appareils secondaires ou des services cloud fournissant une preuve d'identité cryptographique (l'option la plus largement disponible)
  • API Digital Credentials : standard du W3C pour des assertions d'identité vérifiées cryptographiquement auprès de fournisseurs de confiance (technologie émergente, pas encore très répandue)
  • Clés de sécurité matérielles : jetons FIDO2 physiques enregistrés comme facteurs de récupération qui ne peuvent être ni piratés par phishing ni dupliqués (nécessite que les utilisateurs achètent et entretiennent des appareils physiques)
  • Vérification de documents d'identité avec détection du vivant : numérisation d'identifiants gouvernementaux associée à des actions biométriques en temps réel pour prouver une présence physique

Remarque sur les options de récupération : Bien que l'API Digital Credentials et les clés de sécurité matérielles offrent une forte sécurité, elles ne sont pas encore largement adoptées, la première étant encore une technologie émergente et la seconde nécessitant l'achat d'appareils physiques par les utilisateurs.

Lorsque les clés d'accès de secours ne sont pas disponibles, la vérification des documents d'identité avec détection du vivant devient une alternative viable. Malgré d'éventuels contournements des contrôles du vivant sans posséder physiquement la pièce d'identité, ces méthodes fournissent tout de même une sécurité nettement plus forte que les OTP traditionnels, qui peuvent être facilement interceptés par phishing, échange de carte SIM ou attaques de l'homme du milieu.

Métriques de succès :

• 100 % des flux de récupération incluent des facteurs résistants au phishing
• Zéro prise de contrôle réussie de comptes par le biais de processus de récupération
• Taux d'achèvement de la récupération maintenus au-dessus de 90 %

4. Exemples d'entreprises qui ont commencé à supprimer les mots de passe#

Le mouvement sans mot de passe gagne du terrain dans l'ensemble de l'industrie technologique, avec des entreprises de premier plan s'éloignant des mots de passe.

4.1 Organisations entièrement sans mot de passe#

Plusieurs entreprises ont déjà accompli l'élimination totale des mots de passe pour leurs opérations internes. Okta, Yubico et Cloudflare ont effectivement atteint le zéro mot de passe en interne et leurs flux de connexion n'accepteront plus du tout de mots de passe.

4.2 Entreprises en transition active#

Les géants de la technologie Google, Apple, Microsoft et X déprécient activement les mots de passe sans les avoir totalement éliminés. Leur approche équilibre les améliorations de la sécurité avec le choix de l'utilisateur durant la période de transition.

Google a adopté une position offensive en activant l'option "Ignorer le mot de passe si possible" par défaut pour tous les comptes, faisant ainsi des clés d'accès la méthode d'authentification privilégiée tout en permettant aux utilisateurs de s'en désengager si nécessaire. Cette approche par désengagement (opt-out) crée une forte dynamique vers le sans mot de passe tout en maintenant de la flexibilité pour les utilisateurs qui ne sont pas encore prêts à opérer la transition.

Microsoft va plus loin en permettant aux utilisateurs de supprimer complètement aujourd'hui leurs mots de passe de leurs comptes, avec l'intention de "supprimer à terme toute prise en charge des mots de passe" dans le futur. Cette feuille de route claire indique aux utilisateurs que les jours des mots de passe sont comptés, encourageant une adoption anticipée des méthodes sans mot de passe.

Apple a intégré les clés d'accès dans l'ensemble de son écosystème et promeut activement leur utilisation, bien que les mots de passe de l'identifiant Apple restent disponibles en tant qu'option de secours. Leur approche s'appuie sur la synchronisation fluide entre les appareils Apple pour rendre l'adoption des clés d'accès aussi exempte de friction que possible.

Ces entreprises n'imposent pas de changement immédiat mais envoient un message clair : les mots de passe disparaîtront une fois que l'adoption aura atteint une masse critique. Leurs stratégies consistent à faire des clés d'accès le choix par défaut, à éduquer les utilisateurs sur leurs avantages et à réduire progressivement les fonctionnalités des mots de passe.

5. Quand devriez-vous commencer à supprimer les mots de passe ?#

La décision de supprimer les mots de passe ne doit être ni précipitée ni appliquée de manière universelle. Adoptez plutôt une approche progressive et basée sur les données qui tient compte du comportement des utilisateurs, des capacités des appareils et des profils de risque.

5.1 Qui devrait entamer son parcours sans mot de passe immédiatement#

Les secteurs à haut risque subissant de graves attaques de phishing aujourd'hui devraient commencer immédiatement leur transition vers le sans mot de passe, tout en suivant un déploiement progressif et stratégique :

• Banques & Institutions Financières : Cibles de choix pour le vol d'identifiants. Pour les banques européennes, les clés d'accès s'alignent également avec les exigences de la DSP2 pour l'authentification forte du client (SCA), en fournissant une MFA résistante au phishing qui répond à la conformité réglementaire tout en améliorant l'expérience utilisateur
• Fournisseurs de Paiement & Fintech : L'accès direct aux fonds des clients les rend attrayants pour le crime organisé
• Plateformes d'échange de Cryptomonnaies : Des transactions irréversibles signifient que les identifiants volés conduisent à des pertes permanentes
• Santé & Assurance : Font face à la fois à des exigences de conformité et à des risques pour la sécurité des patients liés au vol d'identité médicale
• Gouvernement & Infrastructures Critiques : Ciblés par des acteurs étatiques menant des campagnes de harponnage sophistiquées

Pour ces organisations, une action immédiate est cruciale, mais le succès passe par une approche de déploiement méthodique et progressive. Commencez dès aujourd'hui, mais déployez de manière stratégique pour garantir une forte adoption et éviter de bloquer des utilisateurs.

5.2 Stratégie de déploiement progressif#

Commencez par un petit sous-groupe : Amorcez votre transition sans mot de passe avec des utilisateurs démontrant une utilisation régulière des clés d'accès. Ces précurseurs (early adopters) vous aideront à identifier d'éventuels problèmes avant un déploiement plus étendu.

Analysez les modèles de comportement des utilisateurs :

• Fréquence de connexion et méthodes utilisées
• Types d'appareils et compatibilité avec les clés d'accès
• Tentatives d'authentification échouées
• Utilisation des flux de récupération
• Modèles d'authentification multi-appareils

Utilisateurs éligibles à la désactivation du mot de passe en fonction de ces modèles :

• S'authentifient régulièrement via des clés d'accès - démontrant qu'ils sont à l'aise avec la technologie
• Utilisent des clés d'accès sur plusieurs appareils - indiquant qu'ils disposent de méthodes d'accès de secours
• N'ont pas utilisé de mots de passe ni de flux de récupération au cours des 30 à 60 derniers jours - démontrant qu'ils ne dépendent pas de l'authentification par mot de passe

6. Comment Corbado peut vous aider#

Corbado propose une plateforme complète pour accompagner les organisations à travers les quatre phases du parcours sans mot de passe décrit ci-dessus. De la première mise en œuvre des clés d'accès jusqu'à l'élimination totale des mots de passe, la solution de Corbado gère la complexité technique tout en fournissant les outils nécessaires au succès de l'adoption par les utilisateurs.

Assistance pour les phases 1 & 2 : Corbado offre une intégration transparente des clés d'accès aux piles d'authentification existantes, des invites intelligentes qui maximisent les taux d'adoption et des analyses détaillées pour suivre la création des clés d'accès et les modèles d'utilisation. La fonctionnalité Passkey Intelligence de la plateforme optimise automatiquement l'expérience utilisateur en fonction des capacités des appareils et du comportement des utilisateurs, assurant une intégration fluide.

Implémentation pour les phases 3 & 4 : Pour les organisations prêtes à supprimer entièrement les mots de passe, Corbado permet une désactivation progressive des mots de passe en fonction du niveau de préparation des utilisateurs, tout en maintenant des flux de récupération sécurisés et résistants au phishing.

En gérant la compatibilité multiplateforme, les mécanismes de repli et l'optimisation de l'expérience utilisateur, Corbado accélère la transformation vers le sans mot de passe, de plusieurs années à quelques mois, permettant aux organisations de se concentrer sur leur cœur de métier tout en réalisant une authentification résistante au phishing.

Conclusion#

Le parcours vers une véritable authentification sans mot de passe répond aux deux questions critiques que nous avons soulevées au début :

Pourquoi les clés d'accès seules ne suffisent-elles pas pour une sécurité totale ? Parce que la sécurité n'est aussi forte que son maillon le plus faible. Tant que les mots de passe restent disponibles, même en tant qu'option de secours, les attaquants n'auront qu'à pivoter pour les cibler via le phishing, le bourrage d'identifiants ou des attaques de rétrogradation. Chaque mot de passe dans votre système sape les avantages de résistance au phishing des clés d'accès.

Qu'est-ce qui fait de la récupération de compte la vulnérabilité cachée ? Les flux de récupération sont souvent la porte dérobée oubliée. Comme les violations de MGM Resorts et d'Okta l'ont démontré, les attaquants contournent de plus en plus des implémentations robustes de clés d'accès en exploitant des méthodes de récupération plus faibles telles que les OTP SMS ou les liens magiques par e-mail. C'est comme installer une porte en acier tout en laissant les fenêtres ouvertes.

Une véritable sécurité sans mot de passe exige d'accomplir le parcours dans son ensemble : implémenter des clés d'accès, stimuler l'adoption, supprimer totalement les mots de passe et sécuriser les flux de récupération avec des méthodes résistantes au phishing. Ce n'est qu'en fermant toutes les portes de mots de passe, y compris celles dissimulées dans les processus de récupération, que les organisations peuvent parvenir à une authentification réellement sécurisée.

À propos de Corbado

Corbado est la Passkey Intelligence Platform pour les équipes CIAM qui gèrent l'authentification client à grande échelle. Nous vous montrons ce que les logs IDP et les outils d'analytics génériques ne voient pas : quels appareils, versions d'OS, navigateurs et gestionnaires de credentials prennent en charge les passkeys, pourquoi les enrôlements ne deviennent pas des connexions, où le flux WebAuthn échoue et quand une mise à jour OS ou navigateur casse silencieusement la connexion — le tout sans remplacer Okta, Auth0, Ping, Cognito ni votre IDP interne. Deux produits : Corbado Observe ajoute l'observabilité pour les passkeys et toute autre méthode de connexion. Corbado Connect apporte des passkeys managés avec analytics intégrés (aux côtés de votre IDP). VicRoads gère les passkeys pour plus de 5M d'utilisateurs avec Corbado (+80 % d'activation passkey). Parler à un expert Passkey →

Foire aux questions#

Quels signaux indiquent qu'un utilisateur est prêt pour la désactivation du mot de passe dans un déploiement sans mot de passe ?#

Les utilisateurs sont éligibles à la désactivation du mot de passe lorsqu'ils s'authentifient régulièrement via des clés d'accès sur plusieurs appareils et n'ont pas utilisé de mots de passe ou de flux de récupération au cours des 30 à 60 derniers jours. Commencer la désactivation avec cette cohorte réduit les risques et aide à faire remonter les problèmes avant un déploiement plus large. La phase 3 vise 30 % ou plus des utilisateurs éligibles supprimant volontairement leurs mots de passe.

Quelles options résistantes au phishing existent pour la récupération de compte lorsque les clés d'accès de secours sont indisponibles ?#

Il existe quatre facteurs de récupération résistants au phishing : les clés d'accès de secours sur des appareils secondaires, les clés de sécurité matérielles (jetons FIDO2 physiques), l'API Digital Credentials (un standard du W3C encore émergent) et la vérification de documents d'identité avec détection du vivant. Les OTP SMS traditionnels et les liens magiques par e-mail restent vulnérables au phishing, à l'échange de carte SIM et aux attaques de l'homme du milieu, ce qui les rend insuffisants pour des flux de récupération sécurisés.

Pourquoi la violation de MGM Resorts a-t-elle réussi malgré une authentification principale robuste en place ?#

La violation de MGM Resorts de 2023 a réussi en ciblant le processus de récupération de compte par le biais de l'ingénierie sociale plutôt que le système de connexion principal, contournant ainsi totalement toutes les mesures de sécurité principales. Cela démontre que la mise en œuvre de clés d'accès sans sécuriser les flux de récupération laisse une porte dérobée critique ouverte, ce qui équivaut à installer une porte en acier tout en laissant les fenêtres ouvertes.

Quelles métriques d'adoption les équipes doivent-elles atteindre avant de passer des clés d'accès facultatives à la suppression totale des mots de passe ?#

Avant d'entrer dans la phase 3, les équipes doivent atteindre 60 % ou plus d'utilisateurs actifs avec au moins une clé d'accès, 80 % ou plus de connexions utilisant des clés d'accès pour les comptes compatibles avec celles-ci et un taux d'échec de création de clé d'accès inférieur à 2 %. Le succès de la phase 3 est mesuré par 30 % ou plus d'utilisateurs éligibles supprimant volontairement leurs mots de passe sans aucune augmentation des taux de verrouillage de compte.