Passkeys et FSA au Japon : Vers une MFA résistante au phishing (2026)

Cette page a été traduite automatiquement. Consultez la version originale en anglais ici.

Points clés

Le 16 avril 2026, la Financial Services Agency (FSA) du Japon a lancé une campagne de sensibilisation publique avec les banques, les associations de valeurs mobilières et la National Police Agency autour de la MFA résistante au phishing, en nommant explicitement les passkeys et la PKI comme des options plus robustes que les anciens flux par mot de passe.
La campagne s'accompagne de 5 dépliants officiels au format PDF couvrant la MFA résistante au phishing et la sensibilisation aux e-mails de phishing, ainsi que de 4 vidéos promotionnelles produites aux formats drame et manga, montrant que le message est destiné à être largement réutilisé auprès du grand public à travers l'écosystème financier, et pas seulement pour un public restreint de décideurs.
Le matériel de la campagne indique que les OTP par e-mail et SMS ne sont pas suffisamment efficaces contre le phishing en temps réel, les attaques de l'homme du milieu (man-in-the-middle) et les malwares, ce qui constitue une déclaration publique bien plus forte que le conseil générique "utilisez la MFA".
La page n'est ni une nouvelle loi autonome ni une nouvelle date limite, mais elle n'en reste pas moins un signal majeur : elle montre que le régulateur japonais présente désormais l'état cible comme étant une authentification résistante au phishing, et non pas simplement "davantage de MFA".
Fin 2025, les rapports de l'industrie décrivaient le FIDO Japan Working Group comme comptant 64 organisations avec plus de 50 fournisseurs de passkeys en production ou en projet, démontrant que la FSA amplifiait un marché déjà en accélération plutôt que d'introduire un concept purement théorique.
Le Japon s'oriente probablement vers un modèle à deux voies pour l'authentification financière à haut risque : d'un côté, des passkeys adaptés aux consommateurs et de l'autre, une authentification basée sur la PKI / les certificats, incluant l'utilisation potentielle des identifiants de la carte My Number.

1. Introduction : Pourquoi la page de la FSA du 16 avril 2026 est importante#

La page de la FSA japonaise du 16 avril 2026 est importante car elle déplace publiquement l'objectif, passant d'une MFA générique à une authentification résistante au phishing. La page cite les passkeys et la PKI comme exemples privilégiés, rejette les OTP par e-mail et SMS comme protection suffisante contre le phishing moderne et transforme une discussion de conformité réservée à l'industrie en un signal de marché orienté vers les consommateurs.

Rapport Passkeys pour la banque. Conseils pratiques, modèles de déploiement et KPIs pour les programmes passkeys.

Obtenir le rapport

L'annonce de la FSA du Japon du 16 avril 2026 semble modeste à première vue. Il ne s'agit pas d'une nouvelle loi. Il ne s'agit pas d'une mesure d'application directe. Elle ne publie pas de nouvelle date limite de mise en conformité. Au lieu de cela, elle introduit une campagne publique avec des dépliants et des affiches téléchargeables.

Ce que la Financial Services Agency (FSA) a fait ici, c'est déplacer la conversation d'un canal industriel/réglementaire vers le domaine public. Le régulateur ne se contente plus de dire aux banques, aux courtiers et aux associations professionnelles de renforcer l'authentification. Il dit désormais aux utilisateurs ordinaires que :

l'authentification par mot de passe seul est faible,
les OTP par e-mail et SMS ne suffisent plus,
les utilisateurs devraient privilégier la MFA résistante au phishing, et
les passkeys et l'authentification PKI constituent la bonne direction.

C'est un changement de ton majeur. Et dans des secteurs hautement réglementés comme le secteur bancaire, le ton se transforme souvent en pression de mise en œuvre bien avant l'apparition du prochain texte réglementaire officiel.

Cette campagne publique n'est pas non plus sortie de nulle part. Dans son propre document de synthèse en anglais de juin 2025 (PDF), la FSA avait déjà averti que l'authentification par ID/mot de passe seul est vulnérable et que les mots de passe à usage unique envoyés par e-mail ou SMS ne sont pas suffisamment efficaces contre le phishing. Pendant ce temps, la couverture de l'industrie fin 2025 décrivait le marché japonais avec 64 organisations au sein du FIDO Japan Working Group et plus de 50 fournisseurs de passkeys actifs ou en projet, indiquant que la dynamique de déploiement était déjà réelle avant la campagne publique d'avril 2026 (Couverture de CNET Japan). Pour une vue plus large de la façon dont les banques, les plateformes et les régulateurs japonais ont évolué vers le sans mot de passe, consultez notre aperçu des passkeys au Japon.

Articles récents

2. Ce que la FSA a réellement publié le 16 avril 2026#

La page du 16 avril est un ensemble coordonné pour une campagne publique, et non un simple communiqué de presse. Elle regroupe 9 éléments réutilisables (5 dépliants PDF et 4 vidéos promotionnelles), aligne les banques, les groupes de valeurs mobilières et la police autour du même message et explique aux consommateurs que la MFA résistante au phishing doit remplacer le recours aux mots de passe plus OTP pour les parcours financiers à haut risque.

La page officielle propose des liens vers 5 dépliants PDF, organisés sous forme de vue d'ensemble et de versions détaillées sur deux thèmes (MFA résistante au phishing et sensibilisation aux e-mails de phishing) :

Parallèlement aux PDF, la page met en avant 4 vidéos promotionnelles sur ces deux mêmes thèmes, réalisées aux formats drame et manga afin que la campagne puisse toucher différents groupes d'âge et contextes de lecture, et pas seulement des lecteurs de politiques publiques.

La campagne est présentée comme un effort conjoint de la FSA avec :

des associations bancaires nationales,
des banques shinkin,
des coopératives de crédit,
des banques de travail,
des groupes de l'industrie des valeurs mobilières, et
la National Police Agency.

Cette ampleur est importante. Il ne s'agit pas d'un avertissement de niche réservé aux valeurs mobilières. Il s'agit d'un message coordonné à l'échelle de l'écosystème financier grand public du Japon.

2.1 Le message politique central#

Le terme clé utilisé dans la campagne est フィッシングに耐性のある多要素認証, ce qui signifie authentification multifacteur résistante au phishing.

Les dépliants expliquent que l'authentification héritée est obsolète face au modèle de menace actuel :

les mots de passe peuvent être hameçonnés ou réutilisés,
les OTP par e-mail / SMS peuvent être volés en temps réel,
les malwares peuvent observer ou manipuler la session de l'utilisateur, et
les faux sites peuvent imiter la vraie marque de manière suffisamment convaincante pour qu'une inspection visuelle ne soit pas une défense fiable.

La campagne présente ensuite deux exemples principaux d'authentification plus forte :

Passkeys
Authentification basée sur la PKI

Cette deuxième partie est importante. Le Japon ne présente pas cela uniquement comme « tout le monde doit utiliser des passkeys ». Le régulateur définit le résultat souhaité comme une authentification résistante au phishing, et les passkeys constituent l'une des voies les plus claires pour y parvenir au niveau du grand public.

Pour concrétiser cette distinction, le cadre de la FSA sépare implicitement les méthodes d'authentification comme suit :

Méthode	Résistante au phishing ?	L'utilisateur doit-il transmettre manuellement un secret ?	Adéquation stratégique au Japon
Mot de passe seul	Non	Oui	N'est plus défendable pour les flux à haut risque
OTP e-mail / OTP SMS	Non	Oui	Transitoire uniquement, faible contre les attaques par relais
Soft token d'application propriétaire	Partielle	Souvent oui ou basée sur l'approbation	Mieux que l'OTP, mais n'équivaut toujours pas aux passkeys
Passkeys	Oui	Non	Meilleure voie grand public pour le marché de masse
Authentification PKI / certificat	Oui	Non	Option forte pour les cas d'usage nécessitant une assurance plus élevée ou liés à l'identité

2.2 La campagne est également comportementale#

Les supports ne se concentrent pas uniquement sur la technologie d'authentification. Ils conseillent également aux utilisateurs de :

éviter de se connecter à partir de liens présents dans des e-mails ou des SMS,
utiliser des favoris ou des applications officielles,
se méfier des écrans inconnus et des invites inhabituelles,
privilégier les boutiques d'applications officielles, et
se méfier des instructions de navigateur étranges, comme des raccourcis clavier inattendus.

En d'autres termes, la FSA ne prétend pas que la technologie d'authentification résout à elle seule tout le problème. Elle associe des contre-mesures techniques à une hygiène comportementale.

Abonnez-vous à notre Substack passkeys pour les dernières actualités.

3. Ce qui est nouveau ici, et ce qui ne l'est pas#

La page du 16 avril est nouvelle car elle modifie le cadre public, et non parce qu'elle crée une nouvelle loi autonome. Le véritable développement est que le régulateur japonais explique désormais publiquement pourquoi les passkeys et la PKI sont meilleurs que les flux par mot de passe et OTP, offrant ainsi aux institutions financières une couverture plus solide pour repenser l'authentification autour de la résistance au phishing.

3.1 Ce qui est réellement nouveau#

La page du 16 avril est nouvelle à au moins quatre égards :

3.1.1 Les passkeys font désormais partie du vocabulaire public du régulateur#

De nombreux régulateurs parlent de MFA en termes abstraits. La FSA japonaise fait quelque chose de plus concret : elle explique au public que les passkeys constituent une défense plus robuste contre le phishing et l'usurpation d'identité que les anciens modèles de connexion.

C'est important car nommer publiquement une technologie modifie les décisions relatives aux produits. Une fois que le régulateur cite ouvertement les passkeys, les institutions financières peuvent justifier plus facilement l'investissement en interne :

les équipes de conformité peuvent citer le régulateur,
les équipes de risque peuvent lier directement les passkeys à la réduction des pertes liées au phishing,
les équipes produit peuvent positionner les passkeys comme alignés avec les directives officielles plutôt que comme un projet d'innovation facultatif.

3.1.2 La FSA déclasse publiquement l'OTP#

Il ne s'agit pas d'une implication subtile. Les supports affirment que l'OTP envoyé par e-mail ou SMS peut toujours être déjoué par :

le phishing en temps réel,
l'interception par l'homme du milieu (man-in-the-middle), et
le vol assisté par malware.

C'est plus fort qu'une note générique sur les bonnes pratiques indiquant que l'OTP est « moins sécurisé ». C'est le régulateur qui dit au public que la MFA basée sur l'OTP n'offre pas de résistance significative au phishing.

3.1.3 Le message est intersectoriel#

Le Japon ne limite pas cela à un seul secteur vertical. Les banques, les courtiers et les autres acteurs financiers font tous partie du même signal public. Cela augmente les chances d'une normalisation plus large de l'écosystème :

les banques peuvent habituer les utilisateurs à s'attendre à une connexion plus sécurisée,
les courtiers peuvent faire de l'authentification forte une valeur par défaut pour les actions à haut risque,
les utilisateurs rencontreront un langage similaire d'une institution à l'autre au lieu d'explications contradictoires.

3.1.4 La FSA éduque directement le consommateur#

C'est le point le plus important.

Il y a une énorme différence entre :

un régulateur qui dit aux institutions financières ce qu'elles devraient mettre en œuvre, et
un régulateur qui dit aux clients à quoi ressemble désormais une authentification sécurisée.

La deuxième approche réduit les risques politiques et d'UX liés au déploiement. Une banque ou un courtier peut désormais dire : « Ce n'est pas seulement notre idée ; c'est la direction que le régulateur lui-même promeut. »

3.2 Ce qui n'est pas nouveau#

La page ne crée pas en elle-même :

un nouveau mandat autonome,
une nouvelle date limite de mise en œuvre,
une spécification technique détaillée pour les passkeys,
une déclaration stipulant que les passkeys sont la seule technologie acceptable, ou
une liste de sanctions directement liées à cette campagne.

Cette distinction est importante car de nombreux lecteurs exagéreront l'annonce en disant « le Japon vient de rendre les passkeys obligatoires ». Ce n'est pas assez précis.

La meilleure lecture est :

Le régulateur japonais s'est désormais publiquement aligné sur un modèle d'authentification résistant au phishing, et les passkeys constituent l'un des exemples grand public approuvés par le régulateur.

C'est stratégiquement important même s'il ne s'agit pas d'une nouvelle règle en soi.

4. Pourquoi la FSA a raison de se concentrer sur la MFA résistante au phishing plutôt que sur une MFA générique#

La FSA a raison car la MFA générique laisse toujours intact le principal vecteur de fraude. Le mot de passe plus OTP ajoute un secret réutilisable de plus, tandis que la MFA résistante au phishing modifie le protocole afin que le faux site ne puisse pas terminer l'authentification même lorsque l'utilisateur est trompé et essaie de le faire.

4.1 L'OTP résout le problème d'hier#

Les OTP par SMS et e-mail ont été conçus pour rendre la relecture des identifiants (credential replay) plus difficile. Ils fonctionnent contre certains modèles d'attaque plus anciens, mais les attaquants modernes n'ont pas besoin de rejouer un code des heures plus tard. Ils le volent en temps réel. Cela est d'autant plus important dans un marché où la réutilisation des mots de passe au Japon est encore extrêmement élevée, ce qui signifie que le premier facteur est fréquemment compromis avant même que l'étape OTP ne commence.

C'est le problème central du phishing en temps réel :

Une victime atterrit sur un faux site.
La victime saisit son nom d'utilisateur et son mot de passe.
L'attaquant transmet ces identifiants au vrai site.
Le vrai site demande un OTP.
Le faux site demande l'OTP à la victime.
L'attaquant l'utilise immédiatement pour terminer la vraie connexion.

Dans ce flux de travail, l'OTP n'arrête pas l'attaquant. Il devient simplement un autre secret que la victime peut être trompée à révéler.

4.2 Les passkeys modifient le modèle de confiance#

Les passkeys fonctionnent différemment car ils sont liés à l'origine (origin-bound). L'identifiant ne peut être utilisé que sur le site légitime associé à la relying party du passkey. La base technique de ce comportement réside dans la spécification WebAuthn du W3C et dans la documentation sur les passkeys de la FIDO Alliance, qui décrivent toutes deux le modèle de défi-réponse lié au site qui empêche un faux domaine de réutiliser un identifiant créé pour le vrai.

Cela signifie qu'un faux domaine ne peut pas simplement demander à l'utilisateur de « taper le passkey » comme il demande un mot de passe ou un OTP. Il n'y a rien de réutilisable à taper, et le navigateur / le système d'exploitation vérifie le contexte du site avant que l'authentification ne puisse se poursuivre.

C'est pourquoi les passkeys sont au cœur de l'authentification résistante au phishing :

il n'y a aucun secret partagé à ressaisir,
il n'est pas demandé à l'utilisateur de transmettre manuellement un code réutilisable,
la clé privée ne quitte jamais l'appareil de l'utilisateur, et
l'authenticator est lié à l'origine légitime.

C'est aussi la raison pour laquelle la campagne du 16 avril est importante. La FSA ne se contente pas de dire « utilisez une meilleure MFA ». Elle s'oriente vers des méthodes d'authentification où le site de phishing échoue au niveau de la couche protocolaire au lieu de demander à l'utilisateur de détecter la fraude manuellement.

4.3 La PKI compte aussi#

La campagne japonaise met également en avant la PKI et mentionne explicitement que les identifiants de la carte My Number peuvent être utilisés dans des contextes d'authentification.

Ce n'est pas un hasard. Le Japon possède une histoire institutionnelle plus profonde avec les modèles d'identité orientés certificats que de nombreux marchés de consommation occidentaux. L'état final probable au Japon n'est donc pas « uniquement des passkeys ». Il se rapproche plutôt de :

passkeys pour la connexion grand public et les flux d'élévation de privilèges (step-up),
authentification PKI / par certificat pour une assurance plus forte ou des cas d'identité similaires au secteur public,
et une préférence réglementaire plus large pour des résultats résistants au phishing.

Pour les équipes produit, cela signifie que la bonne comparaison stratégique n'est pas « passkeys vs mots de passe ». Il s'agit plutôt de :

passkeys vs OTP par e-mail/SMS pour la connexion grand public,
passkeys vs soft tokens in-app pour l'UX bancaire,
passkeys vs PKI pour les couches d'assurance et de vérification d'identité.

5. Pourquoi le 16 avril compte encore plus dans le contexte de l'orientation réglementaire antérieure du Japon#

Le 16 avril est important car il convertit une tendance de supervision en une norme publique. Après que la FSA a passé l'année 2025 à avertir que l'authentification par mot de passe seul et celle reposant massivement sur l'OTP étaient trop faibles, la campagne d'avril 2026 indique directement aux consommateurs à quoi devrait ressembler le remplacement : une MFA résistante au phishing utilisant des passkeys, la PKI ou les deux.

Fin 2025 et début 2026, le secteur financier japonais s'orientait déjà vers des contrôles plus stricts après des incidents de compromission de comptes liés au phishing dans le secteur des valeurs mobilières et d'autres services financiers en ligne. La toile de fond est une série de violations de données très médiatisées au Japon qui ont maintenu les prises de contrôle de comptes (account takeover) et le vol d'identifiants à l'ordre du jour réglementaire. Dans des documents connexes de la FSA et des commentaires ultérieurs autour des modifications des directives, le régulateur a fait une distinction plus nette entre :

« une certaine MFA », et
une MFA résistante au phishing.

Cette différence est fondamentale.

Une MFA générique peut toujours laisser les utilisateurs vulnérables :

au vol d'OTP,
à la redirection vers de faux sites,
à la fatigue des notifications push (push fatigue) / abus d'approbation,
aux terminaux compromis,
aux flux de récupération faibles.

En revanche, la MFA résistante au phishing tente explicitement de bloquer le chemin de fraude principal plutôt que de simplement ajouter un obstacle supplémentaire. La campagne du 16 avril est donc mieux perçue comme la mise en œuvre publique d'une direction plus large qui se dessine déjà au Japon :

les services financiers ne devraient pas se contenter d'ajouter plus de friction,
ils devraient passer à des méthodes d'authentification qui brisent l'économie du phishing.

En un coup d'œil, la progression s'étend sur quatre étapes clés en moins d'un an :

Chronologie horizontale de la voie du Japon vers la MFA résistante au phishing montrant quatre jalons de juin 2025 au 16 avril 2026

Avec les sources, la même progression se lit comme suit :

Juin 2025 : le résumé de la FSA (en anglais) indique que l'authentification par mot de passe seul est faible et que les OTP par e-mail / SMS ne sont pas suffisamment efficaces contre le phishing.
15 juillet 2025 : le projet de directive JSDA pousse la MFA résistante au phishing pour les actions sensibles sur les valeurs mobilières telles que la connexion, les retraits et les modifications de compte bancaire.
Fin 2025 : les rapports de marché décrivent plus de 50 fournisseurs de passkeys et 64 organisations au sein du FIDO Japan Working Group au Japon (CNET Japan).
16 avril 2026 : la campagne publique de la FSA porte le même message sur la résistance au phishing directement auprès des consommateurs.

En ce sens, la page s'apparente moins à du « marketing de sensibilisation » qu'elle n'y paraît. C'est le visage public d'un changement réglementaire et écosystémique plus profond.

6. Ce que cela signifie pour les banques, les courtiers et les fintechs japonais#

Les institutions financières japonaises devraient considérer la campagne du 16 avril comme une attente minimale revue à la hausse pour la connexion, la récupération et les actions de compte à haut risque. Dès lors que le régulateur déclare publiquement que les OTP par e-mail et SMS ne sont pas suffisamment efficaces, une MFA faible et riche en solutions de repli (fallbacks) devient plus difficile à défendre du point de vue de la fraude, du produit et de la supervision.

6.1 « MFA disponible » ne suffit plus#

Proposer l'OTP par SMS comme solution de repli tout en commercialisant l'expérience comme une « MFA sécurisée » devient plus difficile à défendre. Le message public du régulateur établit désormais une distinction plus exigeante : la MFA résistante au phishing devrait être la destination. Les travaux plus larges de l'industrie sur la MFA obligatoire avec des passkeys vont dans le même sens.

Cela signifie que les organisations devraient évaluer :

où les OTP SMS/e-mail existent encore,
quels parcours sont à haut risque,
si les passkeys sont facultatifs ou véritablement encouragés,
dans quelle mesure on dépend encore de méthodes de repli vulnérables au phishing.

6.2 Les parcours à haut risque nécessitent un traitement spécial#

Les parcours les plus sensibles ne se limitent pas à la connexion. En pratique, les institutions devraient passer en revue chaque surface vulnérable au phishing :

connexion,
paiement / retrait,
changement de compte de destination,
récupération et ré-association d'appareil,
modifications de profil et de coordonnées,
accès aux API ou à l'agrégation.

De nombreuses institutions protègent encore la page de connexion plus fortement que le parcours de récupération de compte. C'est fonctionner à l'envers. Les attaquants utiliseront la voie la plus faible disponible.

6.3 La récupération devient un problème produit stratégique#

Une fois que l'authentification résistante au phishing devient la référence, la récupération devient la partie la plus difficile de la conception.

Un déploiement de passkeys peut toujours échouer sur le plan opérationnel si la récupération se rabat sur des flux de messagerie faibles, de l'ingénierie sociale ou des procédures de support qui réintroduisent des étapes vulnérables au phishing. La campagne de la FSA japonaise ne résout pas ce défi de conception, mais elle rend impossible de l'ignorer.

6.4 L'UX de l'« accès officiel » devrait faire partie de la conception produit#

Un détail sous-estimé des dépliants est l'incitation à utiliser des favoris et des applications officielles. Cela suggère une leçon produit plus large :

l'image de marque seule ne suffit pas,
les points d'entrée de connexion sont importants,
un routage sécurisé est important,
l'UX anti-phishing fait partie de la pile d'authentification.

Pour les institutions financières, cela signifie :

mettre en évidence les chemins de connexion basés sur des applications,
réduire la dépendance aux liens dans les e-mails,
expliquer clairement où commence la connexion officielle,
traiter l'hygiène des liens entrants comme une partie intégrante de la prévention de la fraude.

6.5 Les soft tokens ne sont pas la même chose que les passkeys#

Certaines institutions répondront en renforçant l'approbation basée sur une application et considéreront le problème comme résolu. Cela peut améliorer la sécurité, mais ce n'est pas équivalent aux passkeys.

Pourquoi ?

De nombreux flux de soft tokens propriétaires dépendent toujours de la capacité de l'utilisateur à distinguer un vrai site d'un faux.
Certains flux peuvent toujours être exploités via un relais en temps réel ou une manipulation de l'approbation.
Le changement d'application et la manipulation de codes ajoutent de la friction et de la confusion.

Les passkeys sont importants car ils réduisent à la fois l'exposition au phishing et l'effort de l'utilisateur.

6.6 La barre pour les concurrents vient de bouger#

Une fois que la FSA commence à éduquer directement les consommateurs, les retardataires deviennent plus visibles. Une entreprise qui s'appuie encore sur le couple mot de passe + OTP peut bientôt paraître dépassée par rapport à ses pairs qui proposent :

des passkeys,
une authentification plus forte liée à l'appareil,
ou des expériences de connexion clairement identifiées et résistantes au phishing.

Cela modifie le paysage concurrentiel, et pas seulement le paysage de la conformité.

La plupart de tout ceci n'est pas un territoire nouveau. Le Guide des passkeys pour les entreprises (Enterprise Passkeys Guide) détaille étape par étape l'évaluation, l'alignement des parties prenantes (stakeholders), l'intégration et les tests pour les déploiements grand public à grande échelle, et 10 erreurs de déploiement de passkeys commises par les banques compile les modes d'échec récurrents que les déploiements bancaires précipités continuent de répéter. Ce que la campagne de la FSA ajoute, c'est de l'urgence et un soutien public, et non un nouveau mode d'emploi.

7. Ce que cela signifie spécifiquement pour les passkeys#

La campagne japonaise du 16 avril aide les passkeys de trois manières concrètes : elle présente les passkeys comme des contrôles contre la fraude plutôt que comme des fonctionnalités de confort, elle élargit l'argumentaire interne auprès des parties prenantes en faveur du déploiement, et elle apprend aux consommateurs que les passkeys font partie du modèle de connexion financière sécurisé que le régulateur préfère désormais.

7.1 Elle recadre les passkeys comme un contrôle de la fraude, et non comme un confort#

De nombreux déploiements de passkeys grand public sont commercialisés comme :

une connexion plus facile,
pas de mots de passe à retenir,
une connexion plus rapide.

Le cadrage de la FSA est beaucoup plus précis :

les passkeys constituent une défense contre l'usurpation d'identité,
les passkeys aident à bloquer le phishing,
les passkeys réduisent la dépendance aux secrets réutilisables.

C'est exactement le cadre dont les banques et les courtiers ont besoin en interne. Les budgets de sécurité sont plus facilement approuvés pour la réduction de la fraude que pour la seule commodité.

7.2 Elle élargit le public cible des passkeys au sein des institutions financières#

Un projet d'authentification doit généralement obtenir le soutien de :

l'équipe produit,
la fraude,
la sécurité,
la conformité,
le département juridique,
les opérations,
et le support.

La page de la FSA donne à chacun de ces groupes une raison de s'y intéresser :

la fraude voit une réduction du phishing,
la sécurité voit une cryptographie liée à l'origine,
la conformité voit un alignement avec le régulateur,
les opérations voient moins de frictions liées aux OTP,
l'équipe produit voit une histoire grand public plus forte.

7.3 Elle contribue à normaliser les passkeys pour les utilisateurs ordinaires#

C'est peut-être l'effet le plus durable.

Lorsqu'un régulateur national, des associations financières et la police présentent tous les passkeys comme une défense recommandée, la perception des utilisateurs change. L'équipe produit n'a plus à présenter les passkeys comme une nouvelle fonctionnalité étrange. Elle peut les introduire comme la méthode de sécurité vers laquelle l'écosystème converge.

C'est important car le succès du déploiement dépend souvent moins de la cryptographie que de la question de savoir si les utilisateurs font suffisamment confiance au nouveau flux pour l'adopter.

7.4 Elle étend le public des passkeys au-delà des segments technophiles#

La campagne de la FSA ne se limite pas aux applications bancaires utilisées par des consommateurs technophiles. Elle couvre les comptes de valeurs mobilières, les banques de travail, les banques shinkin et les coopératives de crédit, soit les parties du système financier japonais sur lesquelles s'appuient au quotidien les clients plus âgés et moins portés sur la technologie. C'est stratégiquement important pour les passkeys. Une fois que ces clients découvrent les passkeys par l'intermédiaire de leur courtier, de leur banque de travail ou de leur coopérative locale, la familiarité avec les passkeys s'étend bien au-delà du segment des adopteurs précoces (early adopters) et commence à se normaliser sur l'ensemble de la clientèle. Pour l'adoption des passkeys par les consommateurs au Japon, c'est le genre de vent favorable qu'aucun budget marketing ne peut acheter.

Mais c'est à double tranchant. Une base démographique plus large signifie également une variété beaucoup plus grande d'appareils, de versions d'OS, de navigateurs in-app et de comportements des gestionnaires d'identifiants qu'un déploiement axé sur la technologie ne toucherait. C'est exactement là que les erreurs de passkeys dans les applications natives (native app passkey errors) deviennent une préoccupation de niveau production, et non un cas marginal (edge case). Les banques et les courtiers qui répondent au signal de la FSA doivent planifier la diversité des appareils et des environnements d'application dès le premier jour, et ne pas la découvrir lors des pics de demandes d'assistance consécutifs à l'obligation.

8. Ce que l'approche du Japon enseigne aux autres pays#

Le Japon devient une étude de cas utile car il combine la supervision, l'éducation du public et le déploiement dans l'écosystème, de manière séquentielle. D'autres marchés révisent souvent leurs directives sans expliquer le nouveau modèle de sécurité aux utilisateurs, ce qui ralentit l'adoption et fait apparaître l'authentification forte comme une friction de produit isolée au lieu d'une mise à niveau à l'échelle du système.

8.1 Les campagnes publiques peuvent accélérer la migration technique#

De nombreux régulateurs révisent leurs directives mais s'arrêtent avant l'éducation du public. Le Japon montre un schéma différent :

la pression de la fraude augmente,
la direction de la supervision se durcit,
le régulateur commence à nommer publiquement des méthodes résistantes au phishing,
les acteurs de l'écosystème obtiennent une couverture pour les déployer plus rapidement.

Cette séquence peut réduire la friction de déploiement d'une manière que le seul texte politique ne permet souvent pas.

8.2 La cible devrait être la résistance au phishing, et pas seulement le remplacement de l'OTP#

Certains pays se concentrent trop étroitement sur le fait de « remplacer les OTP par SMS ». Cela aide, mais c'est incomplet.

La campagne du Japon est mieux cadrée car elle pose la question fondamentale :

Cette méthode peut-elle toujours être contournée lorsque l'utilisateur regarde un faux site ou une session compromise ?

C'est le bon test.

8.3 L'authentification des consommateurs pourrait finir par être hybride#

L'accent mis simultanément par le Japon sur les passkeys et la PKI suggère une vérité plus large que de nombreux marchés redécouvriront :

les passkeys sont excellents pour l'adoption massive par les consommateurs,
la PKI reste importante pour les identités nécessitant une assurance élevée,
les écosystèmes les plus solides combineront les deux au lieu d'obliger une seule technologie à tout faire.

Cela est particulièrement pertinent dans les secteurs réglementés dotés de programmes nationaux d'identité numérique.

9. La feuille de route pratique pour les équipes répondant à ce signal#

La bonne réponse au signal du 16 avril est une migration par étapes, et non un programme de remplacement précipité. Les équipes doivent d'abord cartographier les parcours vulnérables au phishing, puis décider où les passkeys s'intègrent immédiatement, où la PKI ou une liaison d'identité plus forte est encore requise et comment la récupération peut être repensée sans recréer des exceptions faibles et favorables au phishing.

9.1 Étape 1 : cartographier toutes les surfaces d'authentification vulnérables au phishing#

Commencez par :

la connexion,
la récupération,
les modifications de compte,
la confirmation de transaction,
les modifications de comptes liés,
les points d'entrée par lien e-mail,
les processus de contournement du centre d'appels.

9.2 Étape 2 : identifier où les passkeys s'intègrent immédiatement#

Les passkeys constituent souvent le gain le plus clair pour :

la connexion grand public (retail),
la réauthentification fréquente,
les parcours web/app internes (first-party),
les sessions sur le navigateur du consommateur.

9.3 Étape 3 : décider où la PKI ou une liaison d'identité plus forte est encore nécessaire#

Certains flux peuvent nécessiter :

une preuve d'identité adossée à un certificat,
une liaison à une pièce d'identité nationale,
une assurance plus forte autour des modifications sensibles,
des contrôles matériels ou organisationnels au-delà des passkeys grand public.

9.4 Étape 4 : repenser la récupération avant de forcer l'adoption#

Ne lancez pas d'authentification forte sans concevoir de récupération forte. Sinon, l'organisation ne fera que recréer des solutions de contournement vulnérables au phishing par le biais du support et des exceptions.

9.5 Étape 5 : apprendre aux utilisateurs comment fonctionne l'accès officiel#

Le message de la FSA « utiliser des favoris / utiliser des applications officielles » doit faire partie de l'intégration (onboarding) et du support :

montrer le chemin sûr,
expliquer pourquoi les liens de connexion sont risqués,
rendre le chemin d'accès officiel facile à mémoriser,
réduire la dépendance aux raccourcis de commodité non sécurisés.

10. Conclusion#

Le 16 avril 2026 n'a pas été le jour où le Japon a légalement rendu les passkeys obligatoires. Ce fut le jour où la FSA a fait de l'authentification résistante au phishing une attente du public, a publiquement déclassé la sécurité basée sur les OTP et a donné aux banques, aux courtiers et aux fintechs un signal beaucoup plus clair que la destination à long terme correspond aux passkeys, à la PKI et à d'autres modèles de connexion non vulnérables au phishing.

La page de la FSA japonaise du 16 avril 2026 ne doit pas être interprétée à tort comme « Le Japon a légalement rendu les passkeys obligatoires aujourd'hui ». Ce n'est pas ce qui s'est passé.

Mais il serait tout aussi faux de la rejeter comme une simple page de sensibilisation légère.

Ce qui s'est passé est stratégiquement plus important :

le régulateur a déclaré publiquement aux consommateurs que les flux basés uniquement sur des mots de passe ou des OTP ne suffisent plus,
il a cité les passkeys et la PKI comme exemples d'authentification plus forte,
il a aligné ce message au sein des associations financières et de la police,
et il a poussé la conversation du marché de la MFA générique vers une authentification résistante au phishing.

C'est exactement le genre de signal qui modifie les priorités des feuilles de route dans les services financiers.

Pour le Japon, cela renforce les arguments en faveur d'un déploiement plus large des passkeys dans les banques, les sociétés de courtage et les fintechs. Pour le reste du monde, c'est un exemple clair de la façon dont un régulateur peut faire plus que fixer des règles : il peut remodeler le discours même de l'authentification.

S'il n'y a qu'une chose à retenir, c'est celle-ci :

L'état futur n'est pas « plus de MFA ». L'état futur est une authentification résistante au phishing. La FSA du Japon le dit désormais à voix haute.

À propos de Corbado#

La FSA du Japon a publiquement déclassé la combinaison mot de passe et OTP, mais le fait que les régulateurs nomment les passkeys ne représente que la moitié du travail. Les banques et les courtiers doivent encore retirer les solutions de repli vulnérables au phishing sur des parcs d'appareils fragmentés sans bloquer les utilisateurs.

Corbado est la plateforme d'analyse des passkeys pour les équipes CIAM d'entreprise. Elle ajoute des analyses de passkeys et des contrôles de déploiement par-dessus votre IDP existant, de sorte que les institutions respectant la barre de MFA résistante au phishing de la FSA puissent éliminer progressivement les OTP par SMS et e-mail avec une visibilité de niveau audit et des kill switches au niveau de l'appareil, et non par le biais de mandats à l'aveugle.

Découvrez comment les institutions financières japonaises peuvent déployer une MFA résistante au phishing sans verrouillage définitif (terminal lockouts). → Parlez à un expert en passkeys

À propos de Corbado

Corbado est la Passkey Intelligence Platform pour les équipes CIAM qui gèrent l'authentification client à grande échelle. Nous vous montrons ce que les logs IDP et les outils d'analytics génériques ne voient pas : quels appareils, versions d'OS, navigateurs et gestionnaires de credentials prennent en charge les passkeys, pourquoi les enrôlements ne deviennent pas des connexions, où le flux WebAuthn échoue et quand une mise à jour OS ou navigateur casse silencieusement la connexion — le tout sans remplacer Okta, Auth0, Ping, Cognito ni votre IDP interne. Deux produits : Corbado Observe ajoute l'observabilité pour les passkeys et toute autre méthode de connexion. Corbado Connect apporte des passkeys managés avec analytics intégrés (aux côtés de votre IDP). VicRoads gère les passkeys pour plus de 5M d'utilisateurs avec Corbado (+80 % d'activation passkey). Parler à un expert Passkey →

FAQ#

La FSA du Japon a-t-elle rendu les passkeys obligatoires le 16 avril 2026 ?#

Non. La page du 16 avril 2026 est une campagne de sensibilisation publique, et non un texte réglementaire autonome. Ce qui la rend importante, c'est que la Financial Services Agency a promu publiquement et explicitement l'authentification multifacteur résistante au phishing, a mis en avant les passkeys et la PKI comme exemples, et a aligné ce message avec les banques, les sociétés de valeurs mobilières et la National Police Agency.

Pourquoi la FSA affirme-t-elle que les OTP par e-mail et SMS ne suffisent plus ?#

Le matériel de la campagne explique que les OTP envoyés par e-mail ou SMS peuvent toujours être contournés par le biais de phishing en temps réel, d'attaques de l'homme du milieu (man-in-the-middle) et de malwares. En d'autres termes, ajouter un code ne suffit pas si l'attaquant peut piéger l'utilisateur pour qu'il le saisisse sur un faux site ou le voler depuis le terminal.

Les passkeys sont-ils la seule option résistante au phishing acceptée dans le secteur financier japonais ?#

Non. Le matériel de campagne de la FSA présente les passkeys et l'authentification basée sur la PKI comme les deux principaux exemples de MFA résistante au phishing. Cela signifie que les passkeys sont fortement privilégiés, mais l'orientation réglementaire plus large vise des résultats d'authentification résistante au phishing, et non une technologie grand public obligatoire unique.

Pourquoi le 16 avril 2026 est-il important si l'orientation de la supervision avait changé plus tôt ?#

Parce qu'il marque le passage d'une communication du régulateur vers le secteur à une communication du régulateur vers le public. Une fois que la FSA commence à dire directement aux consommateurs que les passkeys et la PKI les protègent mieux que les mots de passe et les OTP, les banques et courtiers japonais bénéficient d'une couverture plus solide pour repenser l'authentification de leurs clients autour de méthodes résistantes au phishing.