Comprenez les avantages de l'utilisation des passkeys en complément de la biométrie locale pour une sécurité optimale des applications et un accès utilisateur sans friction.
Vincent
Created: June 3, 2025
Updated: June 20, 2025
Our mission is to make the Internet a safer place and passkeys provide a superior solution to achieve that. That's why we want to keep you updated with the latest industry insights here.
Après la généralisation de la biométrie sur les téléphones mobiles, de nombreuses applications natives ont commencé à utiliser des fonctionnalités comme Face ID ou Touch ID (ou l'équivalent sur Android) pour protéger l'accès à l'application. Cette protection biométrique locale améliore considérablement le confort de l'utilisateur en permettant un accès rapide et sans friction. À première vue, les passkeys et la biométrie locale peuvent sembler redondants, car tous deux impliquent une vérification de l'utilisateur. Mais ils servent des objectifs fondamentalement différents. Cet article explorera :
À la fin, nous aurons une meilleure compréhension du moment et de la manière de tirer parti de ces solutions ensemble pour créer une expérience applicative plus sûre, plus conviviale et plus fluide. Nous décrirons également des scénarios pratiques où la combinaison des passkeys et de la biométrie locale peut améliorer à la fois la sécurité et la commodité, garantissant que les développeurs peuvent prendre des décisions éclairées pour répondre efficacement aux besoins des utilisateurs.
Recent Articles
📖
Passkeys dans les applications natives : Implémentation native ou via WebView
👤
Dépannage des passkeys : solutions aux problèmes et erreurs
👤
Comment activer les passkeys sur Windows
⚙️
Tutoriel Passkeys : Comment implémenter les passkeys dans les applications web
⚙️
Tests E2E des passkeys avec Playwright via l'authentificateur virtuel WebAuthn
Les méthodes d'authentification biométrique locale, telles que Face ID, Touch ID d'Apple, ou les capacités biométriques d'Android, exploitent des caractéristiques physiques uniques (par exemple, les traits du visage ou les empreintes digitales) pour vérifier l'identité d'un utilisateur. Contrairement aux codes PIN ou aux mots de passe traditionnels, qui reposent sur quelque chose que l'utilisateur connaît, la biométrie repose sur quelque chose d'inhérent à l'utilisateur. Ce changement élimine le besoin de taper un code à plusieurs reprises, réduisant considérablement les frictions et rendant l'accès quotidien aux applications à la fois rapide et sécurisé.
Avant que la biométrie ne se généralise sur les téléphones mobiles, les applications cherchant à protéger du contenu sensible demandaient souvent aux utilisateurs de saisir un code PIN ou un mot de passe supplémentaire à chaque lancement. Bien que cette approche ait augmenté la sécurité, elle a également introduit un inconvénient supplémentaire, surtout lorsque l'utilisateur avait déjà été authentifié au début de sa session. L'arrivée des technologies de reconnaissance faciale et de lecture d'empreintes digitales intégrées aux appareils a simplifié ce processus. Au lieu de saisir un code à plusieurs reprises, un utilisateur pouvait désormais déverrouiller l'application avec un rapide scan facial ou une brève pression du doigt. Si, pour une raison quelconque, la vérification biométrique échoue ou si l'utilisateur préfère ne pas l'activer, un code PIN, un code d'accès ou un mot de passe de secours reste disponible. Cette conception garantit à la fois la commodité et l'accessibilité sans compromettre la sécurité.
Il est crucial de distinguer les vérifications biométriques locales des événements d'authentification à distance complets. L'authentification à distance se produit au début d'une nouvelle session, vérifiant l'identité de l'utilisateur par rapport aux systèmes backend du service à l'aide d'identifiants comme des mots de passe ou des passkeys. Cette étape établit la confiance entre l'utilisateur et le service.
La biométrie locale, en revanche, se concentre sur la revérification de l'identité au cours d'une session authentifiée en cours. Plutôt que de demander à l'utilisateur de saisir à nouveau des mots de passe ou d'autres identifiants lorsqu'il quitte brièvement l'application ou verrouille son téléphone, la biométrie locale confirme que le même utilisateur autorisé contrôle toujours l'appareil. Cette vérification centrée sur l'appareil ne nécessite pas de connexion Internet ni d'interaction avec des serveurs distants, ce qui la rend rapide, fiable et transparente dans l'utilisation quotidienne.
Les données biométriques sont stockées et traitées en toute sécurité dans des modules de sécurité matériels dédiés, comme la Secure Enclave sur iOS ou le Trusted Execution Environment (TEE) sur Android. Ces modules de confiance sont conçus pour protéger les données biométriques sensibles contre la falsification, l'extraction ou le transfert.
En raison de cet ancrage au niveau matériel, la vérification biométrique ne peut pas être facilement partagée entre les appareils ou les services. Les modèles biométriques de chaque appareil restent uniques à cette unité particulière, garantissant que si un utilisateur passe à un nouveau téléphone, il doit ré-enregistrer ses données biométriques à partir de zéro. Bien que cela ajoute une petite étape d'intégration lors du changement d'appareil, cela protège contre les accès non autorisés et empêche les attaques à distance qui pourraient exploiter des données biométriques stockées de manière centralisée. De plus, la biométrie locale fonctionne sans nécessiter de connexion Internet, ce qui la rend fiable même lorsque l'appareil est hors ligne.
La biométrie locale rationalise la sécurité en vérifiant que la personne qui manipule actuellement l'appareil est bien l'utilisateur légitime déjà authentifié, sans nécessiter la saisie répétée d'un code PIN ou d'un mot de passe personnalisé si l'application dispose d'une fonctionnalité importante comme les services bancaires, les assurances ou d'autres informations personnelles.
Elle maintient la commodité en fonctionnant de manière transparente et instantanée sur l'appareil, opère hors ligne et s'appuie sur des enclaves matérielles sécurisées pour protéger les données biométriques sensibles. Bien qu'elle ne puisse pas remplacer la nécessité d'une authentification à distance initiale (telle qu'un passkey ou un mot de passe) pour établir l'identité de l'utilisateur en premier lieu, elle est très efficace pour gérer et protéger les sessions ultérieures en cours.
Ses limites, telles que le manque de portabilité et la nécessité de se ré-enregistrer sur de nouveaux appareils, sont des compromis faits au nom d'une commodité accrue et d'une sécurité renforcée au niveau de l'appareil. En fin de compte, la biométrie locale sert de méthode puissante et conviviale pour garantir une confiance continue dans une session d'application une fois que cette confiance est initialement établie.
Les passkeys changent la nature de l'authentification en remplaçant les secrets partagés comme les mots de passe par des identifiants cryptographiques asymétriques. Contrairement à la biométrie locale, qui ne fait que vérifier localement un utilisateur déjà authentifié, les passkeys servent de méthode principale pour identifier les utilisateurs auprès d'un service distant. Cela garantit une expérience de connexion sécurisée et résistante au phishing, même dans un scénario où l'utilisateur et l'appareil sont initialement inconnus du backend de l'application.
Avant les passkeys, l'approche courante pour établir la confiance avec un service distant impliquait des mots de passe, des secrets partagés connus à la fois par l'utilisateur et le serveur. Bien que les mots de passe soient simples à mettre en œuvre, ils sont vulnérables à des menaces telles que le phishing, le bourrage d'identifiants et la réutilisation des mots de passe.
Les passkeys relèvent ces défis en utilisant une paire de clés cryptographiques : une clé privée stockée en toute sécurité sur l'appareil de l'utilisateur et une clé publique correspondante enregistrée auprès du service. Lorsqu'une tentative de connexion se produit, le service envoie un défi qui ne peut être résolu que par la clé privée de l'utilisateur. Cela garantit que même si des attaquants interceptent des données ou tentent de tromper les utilisateurs pour qu'ils révèlent leurs identifiants, ils ne peuvent pas obtenir un accès non autorisé.
Les passkeys emploient la cryptographie asymétrique :
Ceci est particulièrement important pour les systèmes où, en plus des applications natives, des sites web sont également utilisés, où le phishing est un problème majeur. Les passkeys créés sur un appareil mobile peuvent être utilisés via l'authentification inter-appareils également sur des sites web sur un ordinateur de bureau.
L'un des principaux avantages des passkeys est leur portabilité transparente entre les appareils d'un utilisateur. Les systèmes d'exploitation modernes peuvent synchroniser les passkeys via un stockage cloud sécurisé (par exemple, le Trousseau iCloud, le Gestionnaire de mots de passe Google), permettant aux utilisateurs de se connecter depuis plusieurs appareils sans se ré-enregistrer ou se souvenir des mots de passe pour la première installation de l'application. De plus, les passkeys peuvent également être utilisés dans des scénarios où un deuxième facteur serait requis pour fournir une protection de type authentification à deux facteurs sans introduire de friction. Cette synergie permet des connexions rapides et sécurisées, quel que soit l'appareil choisi par l'utilisateur, renforçant un écosystème où l'authentification sécurisée est à la fois universellement accessible et facile à maintenir.
Les passkeys représentent une méthode puissante et résistante au phishing pour authentifier des utilisateurs inconnus auprès de services distants. En tirant parti de la cryptographie asymétrique et en abandonnant les secrets partagés au profit de clés privées résidant sur l'appareil, ils éliminent de nombreuses faiblesses qui affectaient les systèmes basés sur les mots de passe. Les passkeys combinent une sécurité robuste, une portabilité globale et une intégration directe avec les composants de sécurité matériels. Par conséquent, ils servent de base solide pour établir l'identité de l'utilisateur, ce que la biométrie locale seule ne peut pas fournir. Dans le contexte des applications natives, les passkeys sont la première étape critique dans la création d'une session sécurisée, après quoi la biométrie locale peut être utilisée pour maintenir un accès utilisateur rapide et pratique.
En matière d'authentification dans les applications natives, les passkeys et la biométrie locale jouent des rôles importants mais différents. Bien qu'ils améliorent tous deux l'expérience utilisateur et la sécurité, ils répondent à des problèmes fondamentalement différents :
Comprendre ces différences est vital pour les développeurs qui visent à créer des flux d'authentification robustes, à la fois sécurisés et conviviaux.
Pour mieux comprendre les distinctions et les rôles complémentaires des passkeys et de la biométrie locale, le tableau ci-dessous compare leurs principales caractéristiques selon diverses dimensions, notamment l'objectif, les cas d'utilisation, la sécurité et la portabilité. Cette comparaison met en évidence comment ces technologies répondent à des problèmes fondamentalement différents tout en travaillant ensemble pour améliorer à la fois la sécurité et la commodité pour l'utilisateur.
Aspect | Passkeys | Biométrie locale |
---|---|---|
Phase | Après l'installation de l'application Reconnexion Expiration de la session | L'application est installée et connectée |
Objectif principal | Authentifier un utilisateur inconnu (connexion initiale) | Vérifier que l'utilisateur actuellement actif (qui est déjà authentifié) est le propriétaire légitime de l'appareil/l'application |
Protège | L'accès au compte utilisateur | L'accès à l'application connectée |
Cas d'utilisation | Idéal pour les premières connexions ou après des réinstallations, pour établir la confiance avec les services et permettre des connexions multiplateformes et inter-appareils | Idéal pour revérifier si le détenteur de l'appareil en est le propriétaire, déverrouiller l'application rapidement sans ressaisir de mots de passe/passkeys |
Modèle d'authentification | Authentification à distance : vérifie l'identité par rapport à un système backend | Vérification locale : vérifie les données biométriques stockées en toute sécurité sur l'appareil, ne contacte pas de serveur distant |
MFA | Oui + résistant au phishing | Non |
Biométrie native | Oui (par ex. Face ID, Touch ID, Android Biometrics) | Oui (par ex. Face ID, Touch ID, Android Biometrics) |
Portée et portabilité | Utilisabilité inter-appareils, multiplateforme, inter-applications (applications natives + web) grâce à la synchronisation cloud sécurisée des clés | Spécifique à l'appareil, non transférable : les modèles biométriques doivent être ré-enregistrés sur les nouveaux appareils Ne peut pas être facilement déplacé entre les plateformes |
Stockage et sécurité des données | Clés privées stockées dans une enclave sécurisée Clés publiques stockées côté serveur Aucun secret partagé transmis Résistant au phishing | Modèles biométriques stockés dans une enclave matérielle sécurisée sur l'appareil Ne quittent jamais l'appareil Protégés par le matériel de l'appareil |
Connexion Internet requise | Nécessite une connexion Internet pour s'authentifier auprès du service distant et enregistrer les clés. | Aucune connexion Internet requise ; la vérification est entièrement locale, ce qui la rend utile même hors ligne et si l'application a un cas d'utilisation hors ligne |
Sauvegarde et récupération | Les clés peuvent être sauvegardées et restaurées via la synchronisation cloud (par ex., Trousseau iCloud, Gestionnaire de mots de passe Google), assurant une récupération facile si un appareil est perdu ou remplacé | Aucun mécanisme de sauvegarde intégré pour la biométrie ; si l'appareil tombe en panne, les utilisateurs doivent ré-enregistrer leurs données biométriques sur un nouvel appareil |
Intégration avec les sites web et les applications | Peut être utilisé pour les applications natives et les sites web. Les passkeys simplifient les flux de connexion en authentifiant les utilisateurs sans révéler d'identifiants, améliorant la sécurité sur tous les plans | Limité à l'appareil et à l'application installée localement. |
Implémentation par le développeur | Intégrer en utilisant les standards web (WebAuthn, FIDO2) et les API de la plateforme native Le backend doit gérer les clés publiques et les défis. | Utiliser les SDK de la plateforme (iOS, Android) pour les invites biométriques Aucune gestion spéciale du backend n'est requise. |
Expérience utilisateur | Après la configuration initiale, les utilisateurs peuvent se connecter rapidement sans se souvenir de leur e-mail ou de leurs mots de passe, même sur de nouveaux appareils Intégration simplifiée avec moins de friction | Fournit un ré-accès instantané et sans mot de passe aux applications une fois que l'utilisateur s'est déjà authentifié. |
Bien que le tableau mette en évidence les différences fondamentales, il est important de reconnaître que les passkeys et la biométrie locale ne sont pas des technologies concurrentes - elles sont complémentaires. Ensemble, elles fournissent une expérience d'authentification à plusieurs niveaux :
En combinant les passkeys et la biométrie locale, les développeurs peuvent offrir un flux d'authentification sécurisé, transparent et convivial.
En combinant les passkeys et la biométrie locale, les développeurs peuvent créer un flux d'authentification robuste qui :
Cette synergie garantit que les applications peuvent fournir à la fois une authentification forte et une commodité transparente, une combinaison gagnante pour les attentes des utilisateurs modernes.
Afin de mieux comprendre comment fonctionnent les exemples et les combinaisons du monde réel, nous examinerons deux implémentations différentes : une qui n'utilise que des passkeys et une autre qui utilise une approche combinée.
L'application Kayak démontre une implémentation des passkeys pour l'authentification des utilisateurs. Les passkeys sont intégrés de manière transparente dans le processus de connexion, offrant aux utilisateurs la possibilité de s'authentifier sans avoir à se souvenir de leur adresse e-mail ou de leur mot de passe. Comme le montre l'écran d'authentification, les utilisateurs peuvent directement sélectionner un passkey pour se connecter. Cette approche simplifie considérablement l'expérience utilisateur en réduisant la charge cognitive et en éliminant les frictions liées aux mots de passe.
Une fois authentifié via un passkey, l'utilisateur obtient un accès illimité à l'application sans nécessiter de ré-authentification. Cette conception est particulièrement adaptée à Kayak, une application de voyage qui gère principalement l'historique des réservations et les itinéraires, qui ne sont pas considérés comme des données très sensibles ou critiques.
Points forts de l'approche de Kayak :
Cette implémentation démontre comment les passkeys peuvent rationaliser le processus d'authentification tout en éliminant le besoin de mots de passe, offrant une expérience sans friction aux utilisateurs. Cependant, dans les scénarios où des actions plus sensibles ou critiques sont effectuées dans l'application, des couches de sécurité supplémentaires, telles que la biométrie locale, peuvent être nécessaires. Voyons comment GitHub tire parti à la fois des passkeys et de la biométrie pour garantir la sécurité sans compromettre la convivialité.
GitHub équilibre l'intégration des passkeys pour une connexion sécurisée avec la biométrie locale pour protéger le contenu de l'application à l'état connecté. Les passkeys sont proposés comme une option de connexion rapide et résistante au phishing, ce qui est particulièrement important compte tenu des exigences d'authentification multifacteur (AMF) de GitHub. Cela élimine le besoin pour les utilisateurs de gérer des mots de passe ou des codes à usage unique, offrant une expérience de connexion transparente et sécurisée. Mais pour les besoins de cet article, nous n'examinerons pas leur implémentation de passkey.
La couche de sécurité supplémentaire de GitHub avec la biométrie locale : Parce que GitHub propose également des opérations sensibles comme la fusion de pull requests, GitHub permet aux utilisateurs d'activer la protection biométrique locale s'ils estiment que c'est nécessaire. Dans cet exemple, Face ID est utilisé pour verrouiller l'application sur iOS, garantissant que seul le propriétaire de l'appareil peut accéder ou exécuter l'application GitHub. L'application demande explicitement les privilèges nécessaires au système d'exploitation pour activer la biométrie et propose des intervalles configurables (par exemple, immédiat ou après un délai défini).
Points forts de l'approche de GitHub :
Ensemble, ces exemples illustrent comment les passkeys et la biométrie locale peuvent être adaptés aux besoins de différentes applications, en équilibrant la commodité de l'utilisateur avec des mesures de sécurité appropriées.
Vous trouverez ci-dessous quatre recommandations adaptées aux scénarios courants où la biométrie locale et les passkeys pourraient être mis en œuvre. Les recommandations sont structurées de manière à ce que les développeurs, les chefs de produit et les décideurs puissent rapidement identifier l'approche qui correspond le mieux à leur situation. Un tableau récapitulatif suit, facilitant la mise en correspondance de chaque recommandation avec un scénario donné :
Bien que les recommandations ci-dessus couvrent une gamme de scénarios courants, il existe d'innombrables autres situations où le choix d'implémenter la biométrie locale, les passkeys, ou les deux peut varier. Chaque application a des besoins uniques en matière de sécurité, de convivialité et de conformité, et il est essentiel que les développeurs, les chefs de produit et les dirigeants d'entreprise évaluent minutieusement ces facteurs avant de choisir une approche. En pesant soigneusement vos cas d'utilisation spécifiques, vos exigences réglementaires et les attentes des utilisateurs, vous pouvez élaborer une stratégie d'authentification qui non seulement protège vos utilisateurs et leurs données, mais offre également l'expérience transparente et conviviale que les clients d'aujourd'hui attendent.
Comme nous l'avons vu, la biométrie locale et les passkeys jouent des rôles fondamentalement différents mais complémentaires dans les stratégies d'authentification modernes. La biométrie locale simplifie la vérification continue des sessions en tirant parti des caractéristiques inhérentes de l'utilisateur pour des contrôles rapides sur l'appareil, tandis que les passkeys établissent une relation de confiance sécurisée et résistante au phishing avec les services distants. En combinant judicieusement ces méthodes, les développeurs peuvent créer une expérience utilisateur à la fois sans friction et hautement sécurisée, répondant efficacement aux besoins d'un paysage numérique diversifié et exigeant. Pour en revenir aux questions de l'introduction :
En reconnaissant les rôles distincts mais mutuellement bénéfiques des passkeys et de la biométrie locale, les développeurs et les décideurs peuvent mettre en œuvre une approche d'authentification complète qui équilibre la sécurité, la commodité et la satisfaction de l'utilisateur. Ce faisant, les applications deviennent plus résilientes face aux menaces, plus faciles à naviguer et plus adaptables à l'évolution des exigences des utilisateurs et de la réglementation, offrant finalement un environnement numérique transparent et digne de confiance.
Enjoyed this read?
🤝 Join our Passkeys Community
Share passkeys implementation tips and get support to free the world from passwords.
🚀 Subscribe to Substack
Get the latest news, strategies, and insights about passkeys sent straight to your inbox.
Related Articles
Table of Contents