Passkeys Visa : le Visa Payment Passkey Service

Le secteur des services financiers et l'industrie du paiement misent à fond sur les passkeys. Après le déploiement des passkeys dans les banques (par ex. Revolut), les fintechs (par ex. Finom) ou les fournisseurs de paiement (par ex. PayPal), et l'introduction par Mastercard de son Token Authentication Service il y a environ un mois, en avril 2024, Visa vient de présenter son propre service de passkeys, baptisé Visa Payment Passkey Service, lors de son Payments Forum annuel.

Nous avons déjà discuté des implications de ce changement dans le monde financier, notamment en ce qui concerne l'Authentification Client Forte (ACF), la DSP2 et le lien dynamique. Lisez nos articles de blog détaillés ici :

• Rapport 2025 sur les passkeys dans le secteur bancaire
• Passkeys liés à l'appareil ou synchronisés
• Analyse des exigences de la DSP2 et de l'ACF
• Ce que les exigences de l'ACF signifient pour les passkeys
• Implications de la DSP3 / du PSR pour les passkeys
• Passkeys et DSP2 : une AMF résistante au phishing et conforme à la DSP2
• Lien dynamique avec les passkeys : Secure Payment Confirmation (SPC)

Cet article de blog examine l'approche de Visa en matière de passkeys et ses implications pour l'avenir de la sécurité des paiements, y compris les innovations en matière de passkeys de paiement qui établissent de nouvelles normes dans l'industrie.

L'essor des passkeys dans le secteur des services financiers est en grande partie dû aux attentes des consommateurs. Des données récentes de Visa soulignent cette tendance, révélant que 62 % des consommateurs ont abandonné un achat en ligne à cause de problèmes d'authentification. De plus, la sécurité est une préoccupation : 26 % des consommateurs ont admis avoir déjà partagé leur code PIN, ce qui met en évidence les vulnérabilités des méthodes d'authentification traditionnelles. Fait alarmant, les taux de fraude aux paiements en ligne sont sept fois plus élevés que ceux de la fraude en personne, ce qui souligne davantage la nécessité de méthodes de transaction numérique plus sûres.

Le lancement par Visa de son Visa Payment Passkey Service marque une étape importante pour répondre à ces préoccupations. En remplaçant les mots de passe et les codes à usage unique par des passkeys, les passkeys de Visa simplifient les expériences d'achat en ligne, réduisant les frictions et renforçant la sécurité. Les institutions financières, en particulier celles qui intègrent un passkey pour les services financiers, reconnaissent que cette technologie non seulement renforce la confiance des consommateurs, mais améliore également l'efficacité opérationnelle globale. Les passkeys sont non seulement faciles à utiliser, mais aussi robustes contre les cyberattaques, comme le phishing.

Les passkeys représentent une solution convaincante pour les institutions financières qui cherchent à améliorer la sécurité tout en rendant l'expérience utilisateur plus agréable. Cette technologie s'aligne parfaitement avec la Directive sur les Services de Paiement 2 (DSP2) de l'Union européenne, qui impose une Authentification Client Forte (ACF). La DSP2 exige que les transactions soient authentifiées à l'aide d'au moins deux des éléments suivants : quelque chose que l'utilisateur connaît, possède ou est. Les passkeys répondent à ces critères en exploitant les données biométriques (quelque chose que l'utilisateur est) et des clés privées stockées de manière sécurisée (quelque chose que l'utilisateur possède), comme celles qui se trouvent dans une enclave sécurisée d'un appareil, un environnement d'exécution de confiance (TEE) ou un module de plateforme sécurisée (TPM).

Visa a joué un rôle important dans l'évolution des passkeys, notamment en rejoignant la FIDO Alliance en 2014, deux ans après Mastercard.

L'un des services précédents de Visa, qui pourrait être considéré comme un précurseur des passkeys, est l'application Visa Biometric Authenticator, un produit à accès restreint, dont la documentation et les ressources sont malheureusement limitées.

En 2019, Visa a mené une étude sur la biométrie et les préférences des consommateurs, en interrogeant 1 000 titulaires de cartes de crédit en Allemagne. Les résultats ont révélé une forte préférence des consommateurs pour l'authentification biométrique par rapport aux mots de passe traditionnels. Un nombre impressionnant de 90 % des personnes interrogées considéraient les empreintes digitales comme une méthode sécurisée pour la vérification de l'identité, contre seulement 77 % pour les codes PIN et 73 % pour les mots de passe. De plus, des méthodes comme les scans de l'iris et du visage ont été jugées plus sûres que les codes PIN et les mots de passe. Cela a probablement montré à Visa la voie à suivre : promouvoir la biométrie, et par la suite les passkeys.

Lors du Payments Forum 2024, Visa a officiellement annoncé le Visa Payment Passkey Service. Jack Forestell, Chief Product and Strategy Officer de Visa, a déclaré :

Le choix d'une marque spécifique, le service Visa Payment Passkey, reflété par l'approche de Mastercard, est significatif. Il positionne délibérément la technologie dans le contexte des transactions financières. Contrairement aux passkeys de connexion généraux, l'authentification des paiements doit respecter des réglementations plus strictes, notamment l'ACF de la DSP2, y compris l'exigence de lien dynamique – liant cryptographiquement l'authentification aux détails spécifiques de la transaction. Cette image de marque signale que le Visa Payment Passkey Service est conçu non seulement pour la commodité, mais aussi pour répondre à ces exigences de sécurité et de conformité spécifiques aux paiements.

Le Visa Payment Passkey Service sera d'abord intégré à la plateforme Click to Pay de Visa, offrant une expérience de paiement fluide et sécurisée à grande échelle. De plus, ce service ouvre la voie à des innovations comme le paiement en un clic de Visa, réduisant encore davantage la nécessité de saisie manuelle et améliorant l'expérience du consommateur. Visa prévoit également de s'associer avec des émetteurs sur divers marchés pour activer Click to Pay et le Visa Payment Passkey Service sur les nouvelles cartes Visa. Cette intégration réduira la nécessité de saisir manuellement les détails de la carte et les mots de passe dès la réception de la carte, simplifiant encore plus l'expérience utilisateur.

Le lancement par Visa du Visa Payment Passkey Service est une avancée majeure pour les passkeys dans le domaine du paiement, car Visa est le deuxième des trois grands émetteurs de cartes de crédit à proposer un service de passkeys dédié.

Avec le Visa Payment Passkey Service, l'authentification traditionnelle par mot de passe peut être entièrement remplacée. Nous nous attendons (comme pour le Token Authentication Service / Mastercard Payment Passkeys de Mastercard) à ce que le Payment Passkey Service de Visa garantisse qu'une fois qu'un utilisateur a créé un passkey chez Visa, ce passkey puisse être utilisé pour authentifier des transactions sur le site de n'importe quel commerçant participant, sans avoir à créer de nouveaux passkeys à chaque visite sur un nouveau site de commerçant. De plus, cette technologie prend en charge les passkeys de paiement qui sont appelés à redéfinir les parcours de paiement numérique.

Un élément stratégique clé de l'approche de Visa est son infrastructure. Visa a construit et exploite son propre serveur FIDO pour alimenter le Visa Payment Passkey Service. Cela sous-tend ce que Visa appelle son « modèle fédéré ». Dans ce modèle, Visa assume la responsabilité d'authentifier et de vérifier directement l'identité des clients à l'aide de son serveur FIDO. C'est un changement significatif par rapport aux modèles où les commerçants ou les émetteurs pourraient avoir besoin de mettre en œuvre et de gérer eux-mêmes une partie du processus d'authentification FIDO. Pour les commerçants, cette approche fédérée simplifie considérablement l'intégration. Ils n'ont besoin de s'intégrer qu'une seule fois au Visa Payment Passkey Service. Visa gère la complexité de l'authentification FIDO sous-jacente, éliminant pour les commerçants le besoin de construire leurs propres serveurs, de gérer des intégrations techniques complexes ou d'intégrer individuellement les émetteurs à des fins d'authentification. Ce choix de conception délibéré abaisse la barrière à l'entrée et vise à accélérer l'adoption à travers le vaste réseau de commerçants de Visa.

Pour les commerçants, l'adoption du Payment Passkey Service de Visa offre plusieurs avantages clés :

• Réduction de la fraude et des rétrofacturations : Le processus d'authentification exploite les données biométriques de l'utilisateur, ce qui réduit considérablement le risque de fraude et de rétrofacturations.
• Friction minimisée lors du paiement : Un processus de transaction plus fluide se traduit par des taux d'approbation et de conversion plus élevés.

Pour les acheteurs, ce service offre :

• Expérience de paiement fluide : Un processus de paiement simplifié sur divers appareils et dans les boutiques de différents commerçants.
• Sécurité renforcée : L'authentification multifacteur (AMF) résistante au phishing renforce la défense contre les escroqueries à la carte de crédit et les attaques de phishing. Dans certains cas, le service répond même à des critères similaires à ceux d'un service d'authentification des consommateurs Visa, garantissant la plus grande sécurité pour les transactions en ligne.

Pour les émetteurs, les avantages sont :

• Réduction des pertes liées à la fraude : Des taux de fraude globalement plus bas profitent directement aux émetteurs en réduisant les pertes financières associées aux transactions non autorisées.
• Coûts d'authentification réduits : L'abandon des OTP par SMS pourrait potentiellement réduire les coûts opérationnels liés à l'envoi de messages et à la gestion de cette infrastructure.
• Expérience client améliorée : Une expérience de paiement fluide et sécurisée conduit à une plus grande satisfaction et fidélité des titulaires de carte.
• Support d'authentification géré par Visa : Les émetteurs peuvent bénéficier du fait que Visa gère l'infrastructure d'authentification de base et le support, ce qui pourrait réduire leur propre charge de maintenance.

Nous rédigerons une analyse technique plus détaillée sur la manière d'intégrer le Token Authentication Service de Mastercard dans les systèmes existants une fois que Mastercard aura publié plus d'informations. Pour rester à jour, abonnez-vous à notre Substack Passkeys ou rejoignez notre communauté Passkey sur Slack pour ne manquer aucune mise à jour.

En attendant, nous vous recommandons de jeter un œil à la vidéo d'annonce de Visa qui explique le concept plus en détail.

Il est important de distinguer le nouveau Visa Payment Passkey Service du service existant Visa Consumer Authentication Service (VCAS).

• VCAS est la solution de serveur de contrôle d'accès (ACS) hébergé établie de Visa, fournie aux émetteurs pour soutenir leurs programmes EMV 3-D Secure.
• VCAS repose principalement sur l'Authentification basée sur le risque (RBA). Il analyse des données de transaction étendues (jusqu'à 150 points de données, selon les rapports) à l'aide de moteurs de notation de risque propriétaires pour déterminer si une transaction est à faible risque (permettant un flux sans friction) ou à haut risque (nécessitant un challenge d'authentification).
• Lorsque VCAS requiert un challenge, il peut prendre en charge diverses méthodes, y compris les OTP (envoyés par SMS ou e-mail) ou potentiellement la biométrie si l'émetteur utilise l'application d'authentificateur biométrique compagnon de Visa.
• Le Visa Payment Passkey Service, en revanche, est le nouveau service dédié de Visa, fondamentalement construit sur la technologie FIDO / passkey. Il exploite directement les capacités FIDO natives de l'appareil pour l'authentification, en utilisant des clés cryptographiques et la biométrie locale ou un code PIN.

Bien que les deux services visent à améliorer la sécurité et à réduire les frictions dans l'authentification du commerce électronique, le Visa Payment Passkey Service représente un virage technologique vers des normes sans mot de passe, résistantes au phishing et basées sur FIDO comme méthode d'authentification principale, plutôt que de s'appuyer principalement sur la RBA avec les OTP comme solution de repli courante pour les challenges.

L'adoption des passkeys dans le paysage des fournisseurs de paiement par le Payment Passkey Service de Visa marque une autre étape majeure pour l'ensemble de l'industrie. Cette approche innovante améliore non seulement la sécurité des transactions grâce à l'authentification biométrique, mais offre également une expérience utilisateur fluide et sans friction, répondant ainsi à deux des aspects les plus critiques de l'industrie du paiement aujourd'hui.

Pour les commerçants, l'intégration des passkeys de Visa signifie une réduction significative de la fraude et des rétrofacturations. Pour les consommateurs, elle promet un processus de paiement plus sûr et simplifié. Les développeurs et les chefs de produit sont encouragés à explorer cette technologie pour rester à la pointe de la sécurité des paiements et de l'expérience utilisateur.

Une question reste en suspens : alors que Visa (et récemment Mastercard) adoptent les passkeys, que prévoit American Express concernant les passkeys pour rattraper son retard sur Mastercard et Visa ?

Chez Corbado, nous nous engageons à fournir les outils et l'expertise nécessaires pour intégrer les passkeys sans effort, que vous mettiez en œuvre des passkeys de paiement sur des plateformes numériques ou que vous exploriez des solutions de passkeys pour les services financiers. Restez à l'écoute pour plus d'informations et d'analyses détaillées sur la façon dont les passkeys façonnent l'authentification numérique.