Passkeys Mastercard : Le service de passkeys de paiement de Mastercard

Ces dernières années, le secteur financier a manifesté un intérêt croissant pour l'amélioration de la sécurité et de l'expérience utilisateur grâce à des méthodes d'authentification innovantes. Les passkeys s'imposent aujourd'hui comme une solution très convaincante et de plus en plus privilégiée par les banques (par exemple, Revolut), les fintechs (par exemple, Finom) et les fournisseurs de services de paiement (par exemple, PayPal).

Nos derniers articles de blog ont largement couvert les implications de cette évolution technologique, notamment dans le contexte de la DSP2 / Authentification Forte du Client (SCA) :

• Passkeys liés à l'appareil et synchronisés
• Analyse des exigences de la DSP2 et de la SCA
• Ce que les exigences de la SCA signifient pour les passkeys
• Implications de la DSP3 / PSR pour les passkeys
• Liaison dynamique (Dynamic Linking)

Alors que nous continuons d'analyser le monde de l'authentification sécurisée, Mastercard a lancé un nouveau service pour les passkeys : Mastercard Payment Passkeys. Ce service, également désigné par son nom technique, Mastercard Token Authentication Service (TAS), représente une initiative stratégique visant à remplacer les méthodes d'authentification obsolètes par une approche sécurisée, fluide et conviviale exploitant la biométrie (par exemple, Face ID, Touch ID). Le service vise à simplifier le processus de paiement en ligne, en alliant sécurité et commodité pour des millions d'acheteurs dans le monde. La double appellation elle-même semble stratégique. Payment Passkeys communique clairement aux consommateurs et aux commerçants l'avantage d'une connexion biométrique simplifiée, tandis que Token Authentication Service fait écho aux détails de mise en œuvre technique pertinents pour les développeurs et les partenaires qui intègrent le système.

Cet article de blog analyse l'approche de Mastercard, en explorant la technologie, l'expérience utilisateur, les avantages et les implications pour l'industrie des Payment Passkeys.

L'intégration des passkeys dans le secteur des services financiers marque une transition vers une authentification plus sécurisée et conviviale.

Les attentes des consommateurs sont le principal moteur de ce changement. Comme Mastercard l'a révélé dans des déclarations antérieures, les consommateurs détestent les mots de passe :

• 7 consommateurs sur 10 se sentent dépassés par le nombre de mots de passe qu'ils doivent gérer.
• Plus de 80 % des violations de données confirmées étaient dues aux mots de passe.

Mastercard a reconnu que tout secret partagé, y compris les OTP, devient une cible pour les cybercriminels. C'est pourquoi Mastercard souhaite remplacer le mot de passe par des facteurs basés sur la personne. Les passkeys, en exploitant la biométrie de l'appareil (par exemple, Face ID, Touch ID), répondent efficacement à ce besoin.

De plus, les passkeys éliminent les points faibles traditionnels de la sécurité liés aux mots de passe, tels que les risques de phishing. En remplaçant les mots de passe par des clés cryptographiques simples à utiliser mais difficiles à exploiter, les passkeys offrent une solution convaincante pour les institutions financières qui cherchent à la fois à renforcer la sécurité et à simplifier les interactions avec les utilisateurs.

Le modèle de sécurité des passkeys est conforme aux exigences strictes des réglementations financières telles que l'Authentification Forte du Client (SCA) dans le cadre de la DSP2. La SCA impose une authentification multifacteur pour la plupart des paiements électroniques et des accès aux comptes, nécessitant une validation à l'aide d'au moins deux éléments indépendants parmi trois catégories :

• Connaissance (quelque chose que l'utilisateur sait)
• Possession (quelque chose que l'utilisateur possède)
• Inhérence (quelque chose que l'utilisateur est)

Les passkeys remplissent naturellement ces exigences : la clé privée sécurisée stockée sur l'appareil représente le facteur de « Possession », tandis que la biométrie utilisée pour la déverrouiller représente le facteur d'« Inhérence ». Si un code PIN d'appareil est utilisé, il peut satisfaire le facteur de « Connaissance ». Cependant, un débat est en cours dans l'industrie pour savoir si les passkeys synchronisés doivent fournir une assurance supplémentaire concernant la liaison à l'appareil.

De plus, les réglementations sur les paiements exigent souvent une liaison dynamique (dynamic linking), garantissant que le processus d'authentification lie cryptographiquement le montant et le bénéficiaire spécifiques de la transaction à l'approbation de l'utilisateur. Les implémentations de passkeys, en particulier lorsqu'elles sont intégrées à des protocoles comme EMV 3DS ou utilisent des extensions comme la Secure Payment Confirmation (SPC), sont conçues pour incorporer ces détails de transaction dans la signature cryptographique, répondant ainsi à cette exigence essentielle.

L'introduction des Payment Passkeys par Mastercard n'est pas un événement isolé, mais l'aboutissement d'un engagement stratégique à long terme pour faire progresser la sécurité des paiements et adopter les normes d'authentification sans mot de passe.

Mastercard est l'un des premiers membres de la FIDO Alliance, la force motrice derrière les passkeys et WebAuthn, qu'ils ont rejointe dès 2012.

Par le passé, Mastercard avait déjà lancé le Mastercard Biometric Authentication Service, qui constituait une première étape vers les passkeys. Ce service était déjà conçu pour respecter les normes FIDO.

En septembre 2023, Mastercard a fourni une mise à jour sur les passkeys et la Secure Payment Confirmation (SPC). Mastercard y a partagé sa vision des processus potentiels pour les passkeys standards par rapport aux passkeys SPC. Les maquettes étaient déjà très détaillées (comme vous le verrez ci-dessous).

En août 2024, Mastercard a lancé son service Payment Passkey en Inde, un marché caractérisé par un volume élevé de paiements numériques et une adoption mobile significative. Ce lancement initial a probablement servi de banc d'essai à grande échelle pour la scalabilité et l'efficacité, en particulier dans un environnement où la fraude basée sur les OTP est un problème connu.

Après le lancement en Inde, Mastercard a étendu le service à d'autres régions clés, notamment l'Asie-Pacifique (initialement Singapour), l'Amérique latine (en commençant par le Brésil) et le Moyen-Orient et l'Afrique (MEA), en débutant par les Émirats arabes unis. Cette approche région par région permet à Mastercard d'adapter sa mise en œuvre et ses partenariats aux dynamiques de marché et aux cadres réglementaires locaux.

Un élément essentiel de cette stratégie est l'accent mis sur les partenariats. Dans chaque région de lancement, Mastercard a collaboré étroitement avec des acteurs locaux clés, y compris des agrégateurs de paiement :

• Agrégateurs de paiement :
  • Inde : Juspay, Razorpay ou PayU
  • Amérique latine : Yuno
  • MEA : noon Payments, Tap Payments
• Commerçants en ligne :
  • Inde : bigbasket
  • Amérique latine : Sympla
• Grandes banques :
  • Inde : Axis Bank
  • Singapour : DBS ou UOB

Ces partenariats sont essentiels pour intégrer le service Payment Passkey dans les écosystèmes de paiement existants, gérer les réglementations locales et atteindre une large base de consommateurs. Cela démontre un modèle flexible et collaboratif plutôt qu'une approche descendante et universelle.

En juin 2025, Mastercard a considérablement fait progresser sa stratégie de paiement sécurisé à travers l'Europe. L'entreprise a réalisé des progrès substantiels, principalement grâce à l'adoption généralisée de la tokenisation, avec près de 50 % des transactions de commerce en ligne européennes utilisant désormais cette technologie. La tokenisation remplace les numéros de carte de paiement sensibles par des jetons numériques sécurisés, réduisant l'exposition des détails de paiement des clients et améliorant considérablement la sécurité.

Simultanément, Mastercard a commencé à déployer les passkeys de paiement avec des partenariats précoces notables, notamment Dintero, Netopia et Solidgate. Bien que les passkeys de paiement en soient encore à leurs débuts par rapport à la tokenisation, leur introduction s'inscrit dans la vision plus large de Mastercard d'un commerce en ligne sans mot de passe et sans friction.

Principales réalisations en Europe :

• Adoption de la tokenisation : Près de la moitié du commerce en ligne européen est désormais sécurisé par la tokenisation.
• Large couverture :
  • Tokenisation déployée dans 45 pays européens.
  • Click to Pay (paiement sans mot de passe) actif sur 26 marchés, avec des inscriptions qui ont doublé en un an.
• Mise en œuvre précoce des passkeys : Lancement des passkeys de paiement avec certains fournisseurs de paiement européens.

Ces développements mettent en évidence la stratégie à double voie de Mastercard : une expansion robuste de la tokenisation aujourd'hui, complétée par une adoption stratégique et tournée vers l'avenir des passkeys de paiement.

Les Payment Passkeys de Mastercard sont rendus possibles par le Mastercard Token Authentication Service (TAS). Le TAS est l'infrastructure sous-jacente qui permet aux commerçants et aux portefeuilles numériques d'offrir aux consommateurs la possibilité d'authentifier leurs transactions en ligne à l'aide de la biométrie liée à leur passkey Mastercard, remplaçant ainsi les mots de passe traditionnels ou les OTP. Ce service ne fonctionne pas de manière isolée. Il est profondément intégré à d'autres technologies de base de Mastercard, en particulier la tokenisation et potentiellement le framework EMV 3DS, tout en respectant les normes mondiales.

Un aspect essentiel du service est son intégration avec le service de tokenisation de Mastercard, souvent appelé MDES (Mastercard Digital Enablement Service). La tokenisation est une mesure de sécurité essentielle qui remplace le numéro de compte principal (PAN) à 16 chiffres du consommateur par un identifiant numérique unique ou « jeton ». Ce jeton est spécifique à un appareil, un commerçant ou un contexte de transaction particulier. Lorsqu'une transaction a lieu, seul le jeton est transmis, ce qui signifie que le commerçant n'a jamais besoin de stocker ou de manipuler le vrai PAN, réduisant ainsi considérablement le risque associé aux violations de données. Les Payment Passkeys de Mastercard servent alors de mécanisme pour authentifier l'intention de l'utilisateur légitime d'utiliser cette information d'identification tokenisée pour une transaction spécifique.

L'authentification elle-même s'appuie sur le passkey stocké sur l'appareil de l'utilisateur, déverrouillé via la biométrie de l'appareil (empreinte digitale, scan facial) ou le code PIN/mot de passe de l'appareil. Il est essentiel de comprendre que les données biométriques utilisées pour déverrouiller le passkey restent en toute sécurité sur l'appareil de l'utilisateur et ne sont jamais partagées avec Mastercard, le commerçant ou tout autre tiers. Le mécanisme de passkey confirme simplement la réussite de l'authentification locale (par exemple, Face ID, Touch ID) avant de permettre au processus de signature cryptographique de se poursuivre.

Bien que les détails de mise en œuvre spécifiques varient, les Payment Passkeys fonctionnent probablement au sein ou parallèlement au framework EMV 3-D Secure (3DS), la norme de l'industrie pour la sécurisation des transactions sans présentation de carte (CNP). EMV 3DS facilite l'échange de données de transaction riches entre le commerçant et l'émetteur de la carte, permettant à l'émetteur d'effectuer des évaluations de risque. Si la transaction est jugée à haut risque, l'émetteur peut « challenger » l'utilisateur pour qu'il effectue une authentification supplémentaire (SCA). Les Payment Passkeys de Mastercard fournissent une méthode sécurisée et potentiellement beaucoup plus fluide pour répondre à ce challenge SCA par rapport aux méthodes traditionnelles comme les OTP. Les services connexes de Mastercard, comme Identity Check Express et la Delegated Authentication pour les commerçants, exploitent explicitement les capacités FIDO / WebAuthn dans le flux EMV 3DS, permettant aux commerçants (avec la permission de l'émetteur) d'effectuer l'authentification au nom de l'émetteur en utilisant ces méthodes modernes.

La synergie entre les passkeys et la tokenisation crée une architecture de sécurité à plusieurs niveaux. Les passkeys sécurisent l'étape d'authentification de l'utilisateur, empêchant les personnes non autorisées d'initier des transactions. La tokenisation protège l'identifiant de paiement sous-jacent, minimisant la valeur de toute donnée potentiellement exposée lors de violations. Cette approche combinée lutte contre la fraude sous plusieurs angles, rendant l'ensemble du processus de transaction beaucoup plus résilient. De plus, l'intégration de l'authentification par passkey dans l'infrastructure EMV 3DS établie est une approche pragmatique qui facilite l'adoption. Elle permet aux émetteurs et aux acquéreurs d'améliorer la sécurité et l'expérience utilisateur en tirant parti de leurs investissements existants dans la technologie 3DS, plutôt que d'exiger le déploiement de systèmes d'authentification entièrement distincts.

L'un des principaux objectifs des Payment Passkeys de Mastercard est de révolutionner l'expérience de paiement en ligne, en la rendant plus rapide, plus simple et plus sûre en éliminant les frictions associées aux mots de passe et aux OTP. Le parcours utilisateur englobe à la fois la création initiale du passkey et son utilisation ultérieure pour authentifier les paiements.

Les utilisateurs peuvent être invités à créer un Payment Passkey Mastercard à plusieurs moments de leur interaction avec les services Mastercard. Les scénarios courants incluent :

• Pendant le paiement : Souvent, l'option de créer un passkey est présentée après qu'un utilisateur a réussi une étape d'authentification traditionnelle pour une transaction, comme un challenge EMV 3DS impliquant un OTP ou une autre méthode. Cet enrôlement contextuel tire parti de l'expérience immédiate de l'utilisateur avec des méthodes potentiellement plus contraignantes pour souligner l'avantage d'un futur paiement plus fluide.
• Au sein des applications des émetteurs : Les banques émettrices de cartes Mastercard peuvent intégrer le flux de création de passkey directement dans leurs applications de banque mobile, permettant aux utilisateurs de lier de manière proactive un passkey à leur carte.
• Lors de l'ajout d'une carte : L'option peut également être présentée lorsqu'un utilisateur ajoute sa Mastercard à un portefeuille numérique ou l'enregistre en tant que Card-on-File (CoF) auprès d'un commerçant ou d'un service comme Click to Pay.

Analysons brièvement l'exemple de la création d'un passkey lors du paiement.

Après avoir cliqué sur le bouton « Payer », l'utilisateur est redirigé de la boutique d'exemple (https://decorshop.com) vers une page web hébergée par Mastercard (https://verify.mastercard.com). Ce site fait partie du processus d'authentification EMV 3DS.

Une fois ce processus terminé avec succès, l'utilisateur a la possibilité de créer un passkey. Notez que ce passkey sera créé pour le Relying Party ID de Mastercard (par exemple, verify.mastercard.com ou mastercard.com). Ainsi, le passkey n'est pas enregistré auprès du commerçant où l'utilisateur souhaite transférer l'argent. Cela permet d'utiliser le même passkey chez n'importe quel commerçant qui utilise le service Payment Passkey de Mastercard et pas seulement chez ce commerçant particulier.

Tiré de https://www.w3.org/2023/Talks/mc-passkeys-20230911.pdf

Après avoir décidé de créer un passkey, l'authentification locale (ici un smartphone Android qui a stocké le passkey dans le Gestionnaire de mots de passe de Google) est effectuée. Après avoir terminé la création du passkey, l'utilisateur est redirigé du site web de Mastercard vers la boutique.

Tiré de https://www.w3.org/2023/Talks/mc-passkeys-20230911.pdf

Une fois qu'un utilisateur a un Payment Passkey Mastercard associé à sa carte, le processus de paiement chez les commerçants participants devient considérablement simplifié :

1. Sélection de la carte : L'utilisateur initie le paiement et sélectionne sa Mastercard. Il peut s'agir d'une carte stockée de manière sécurisée via le service Click to Pay de Mastercard, enregistrée directement chez le commerçant (Secure Card on File - SCOF) ou même saisie lors d'un paiement en tant qu'invité.
2. Invitation à s'authentifier : Au lieu de lui demander un mot de passe, un CVV ou un OTP, l'utilisateur est invité à s'authentifier à l'aide de son Payment Passkey Mastercard. Le flux exact peut varier :
   • Flux de passkey standard : L'utilisateur peut faire l'expérience d'une redirection brève et transparente vers un domaine contrôlé par Mastercard (par exemple, verify.mastercard.com). Ici, l'invite WebAuthn standard apparaît, demandant à l'utilisateur de confirmer la transaction à l'aide du capteur biométrique ou du code PIN de son appareil. Après une authentification locale réussie, il est redirigé vers le site du commerçant pour finaliser l'achat. Ce flux se produit dans un contexte de première partie, où l'utilisateur s'authentifie directement auprès de Mastercard.
   • Flux Secure Payment Confirmation (SPC) (Potentiel) : Une alternative, potentiellement plus fluide, implique la SPC. Dans ce scénario, l'utilisateur reste sur le site web du commerçant. Une fenêtre pop-up native du navigateur apparaît, affichant les détails clés de la transaction (nom du commerçant, montant, informations partielles de la carte) et demandant directement l'authentification par passkey. Cela élimine entièrement la redirection et fournit une liaison dynamique forte en intégrant les détails de la transaction dans la demande d'authentification. Veuillez noter que les passkeys SPC sont encore en phase de concept et il n'est pas décidé s'ils atteindront un jour la disponibilité générale (principalement en raison du fait qu'Apple ne donne pas son feu vert). Ce flux fonctionnerait dans un contexte de tierce partie, où le commerçant invoque l'authentification pour le passkey Mastercard, probablement en utilisant des informations d'identification partagées via EMV 3DS.

Tiré de https://www.w3.org/2023/Talks/mc-passkeys-20230911.pdf

La synergie entre les Payment Passkeys de Mastercard et Click to Pay est particulièrement remarquable. Click to Pay offre aux consommateurs un moyen standardisé et sécurisé de stocker les détails de leur carte tokenisée pour un paiement en ligne plus facile chez les commerçants participants. Les Payment Passkeys servent de couche d'authentification biométrique moderne pour accéder et utiliser ces informations d'identification Click to Pay stockées. Cette combinaison est la clé pour parvenir à une véritable expérience de paiement « en un clic », éliminant à la fois la saisie manuelle de la carte et les challenges par mot de passe/OTP. Le premier lancement mondial d'un service Click to Pay intégré avec Payment Passkey par Mastercard et Tap Payments souligne cette direction stratégique. Cela tire parti de l'infrastructure et du réseau de commerçants Click to Pay existants, offrant un puissant mécanisme de mise à l'échelle pour l'adoption des Payment Passkeys.

Le tableau ci-dessous résume les principales caractéristiques des flux d'authentification potentiels :

Pour les commerçants, l'adoption du service Payment Passkey / Token Authentication Service de Mastercard signifie :

• Réduction de la fraude et des chargebacks : C'est sans doute l'avantage le plus significatif. En liant l'authentification directement à la biométrie unique de l'utilisateur ou au code PIN de son appareil via des passkeys résistants au phishing, le risque de transactions non autorisées chute considérablement. L'utilisation sous-jacente de la tokenisation protège davantage les données de la carte. Cette authentification plus forte peut également entraîner des transferts de responsabilité pour certains types de fraude, similaires aux avantages observés avec l'adoption d'EMV 3DS. Des études de cas, comme celle impliquant noon Payments, rapportent explicitement une diminution de l'incidence de la fraude après la mise en œuvre des Payment Passkeys et de Click to Pay.
• Augmentation des taux d'approbation et de conversion : La friction lors du paiement est une cause majeure d'abandon de panier. Éliminer le besoin de se souvenir d'un mot de passe ou de saisir un OTP fluidifie le flux de paiement, conduisant à des taux de finalisation plus élevés. De plus, le signal d'authentification fort fourni par les passkeys donne aux banques émettrices une plus grande confiance pour approuver les transactions, réduisant la probabilité de refus erronés coûteux. Des taux d'approbation plus élevés se traduisent directement par une augmentation des ventes et des revenus. Des partenaires comme Yuno ont noté que les passkeys augmentent les taux de conversion.
• Amélioration de l'expérience client et de l'image de marque : Offrir un processus de paiement de pointe, sécurisé et sans effort améliore la satisfaction client et renforce la confiance dans la marque du commerçant. Fournir un moyen de paiement manifestement plus sûr peut être un différenciateur concurrentiel.

Pour les consommateurs, ce service permet :

• Un paiement fluide et plus rapide : L'avantage le plus immédiat est la suppression des tracas. Les utilisateurs n'ont plus besoin de se souvenir de mots de passe complexes ou d'attendre et de saisir manuellement des OTP. L'authentification se fait rapidement en utilisant la même biométrie familière (par exemple, Face ID, Touch ID) que celle utilisée pour déverrouiller leur téléphone. La nature « s'inscrire une fois, utiliser partout » chez les commerçants participants ajoute une commodité significative.
• Sécurité renforcée et tranquillité d'esprit : Les Payment Passkeys offrent une sécurité fondamentalement plus forte que les mots de passe ou les OTP. Ils sont résistants au phishing et à de nombreuses formes de fraude en ligne. Savoir que les transactions sont protégées par la biométrie donne aux consommateurs une plus grande confiance et une plus grande tranquillité d'esprit lors de leurs achats en ligne.
• Protection de la vie privée : Comme les données biométriques restent sur l'appareil et que la tokenisation protège le numéro de carte réel, moins d'informations sensibles sont transmises lors de la transaction.

Le tableau suivant résume la proposition de valeur pour chaque groupe de parties prenantes :

Pour les commerçants et les développeurs qui cherchent à tirer parti des avantages des Payment Passkeys de Mastercard, l'intégration se fait via le Mastercard Token Authentication Service (TAS). Le TAS est conçu pour fonctionner en conjonction avec les solutions de tokenisation et de paiement existantes de Mastercard, principalement Click to Pay et Secure Card on File (SCOF). Essentiellement, le TAS fournit la couche d'authentification biométrique avancée pour les transactions utilisant des informations d'identification déjà tokenisées et stockées via ces services.

Cette approche d'intégration de l'authentification par passkey dans des services établis comme Click to Pay et SCOF vise à minimiser les perturbations pour les commerçants. Plutôt que d'exiger un parcours d'intégration entièrement nouveau, les entreprises qui utilisent déjà ces solutions Mastercard peuvent trouver que l'ajout du support des passkeys est un processus plus simple, tirant parti de leur infrastructure existante.

Mastercard fournit des ressources pour l'intégration via le portail Mastercard Developers (developer.mastercard.com). Ces ressources comprennent des SDK et des API conçus pour faciliter la mise en œuvre des fonctionnalités du TAS. Bien que les spécifications techniques détaillées nécessitent l'accès au portail, des extraits de documentation révèlent des cas d'utilisation spécifiques et des appels d'API liés à la gestion des passkeys dans le contexte du paiement, tels que « Create Passkey after ID&V » (Identité et Vérification), « Create Passkey after Transaction Authentication » et « Use Passkey for Transaction Authentication ». L'existence de ces fonctions définies suggère qu'un cadre d'intégration structuré et mature est disponible pour les développeurs.

Une vidéo officielle expliquant le concept est également disponible :

Les commerçants et les développeurs intéressés par la mise en œuvre des Payment Passkeys de Mastercard devraient consulter le portail Mastercard Developers pour une documentation détaillée, des SDK, des API et des guides d'intégration spécifiques pertinents pour leur plateforme choisie (par exemple, Click to Pay, SCOF) et leur environnement technique.

Le lancement par Mastercard de son service Payment Passkey est un développement significatif, marquant un engagement clair d'un grand réseau de paiement à dépasser les mots de passe et les OTP pour une authentification biométrique plus sécurisée et conviviale. Cela correspond à la vision plus large de Mastercard pour l'avenir du commerce en ligne, qui inclut la suppression progressive de la saisie manuelle des cartes d'ici 2030 dans des régions comme l'Europe, en s'appuyant plutôt sur la tokenisation et des méthodes d'authentification fluides comme les passkeys.

Mastercard n'est pas seule dans cette entreprise. Visa a lancé son propre service, au nom similaire, Visa Payment Passkey Service. Comme l'offre de Mastercard, le service de Visa est basé sur les normes FIDO, utilise la biométrie de l'appareil, vise à remplacer les mots de passe/OTP, s'intègre à la tokenisation et à Click to Pay, et met l'accent sur les doubles avantages d'une sécurité renforcée (réduction de la fraude) et d'une meilleure expérience utilisateur. Visa met en avant des réductions potentielles du taux de fraude allant jusqu'à 50 % par rapport aux OTP par SMS et note un large support des systèmes d'exploitation et des navigateurs pour FIDO. Une distinction potentielle mentionnée dans les documents de Visa est le concept de « support d'authentification géré par Visa » ou un « modèle fédéré », où Visa gère la complexité de l'authentification FIDO de base, simplifiant potentiellement l'intégration pour les commerçants et les émetteurs. Les stratégies parallèles et même les conventions de nommage similaires adoptées par les deux plus grands réseaux de cartes suggèrent fortement une convergence de l'ensemble de l'industrie autour des passkeys FIDO comme future norme pour l'authentification des paiements en ligne. Cette poussée coordonnée profite à l'ensemble de l'écosystème en favorisant l'interopérabilité et en réduisant la fragmentation.

American Express intègre également activement les technologies d'authentification modernes. Bien qu'ils n'aient pas lancé une marque distincte « Payment Passkey Service » comme Visa et Mastercard (en mai 2025), ils ont intégré des capacités biométriques basées sur FIDO/WebAuthn (reconnaissance faciale et d'empreintes digitales) directement dans leur plateforme SafeKey existante. SafeKey elle-même est construite sur la norme EMV 3-D Secure. American Express, également membre du conseil d'administration de la FIDO Alliance, exploite donc la même technologie de base sans mot de passe mais l'intègre dans son cadre de sécurité établi. Cela pourrait refléter une stratégie de marque différente, tirant parti de la reconnaissance de SafeKey, ou potentiellement des différences architecturales découlant de leur modèle de réseau. Néanmoins, la direction est cohérente : tirer parti de la biométrie sur l'appareil et des normes FIDO pour une authentification en ligne plus forte et plus fluide.

L'introduction du Mastercard Payment Passkey Service représente un tournant dans l'évolution de la sécurité des paiements en ligne et de l'expérience utilisateur. En adoptant les normes de passkeys FIDO et en les intégrant étroitement à la tokenisation et aux solutions de paiement existantes comme Click to Pay, Mastercard s'attaque aux lacunes critiques de l'authentification traditionnelle basée sur les mots de passe et les OTP.

Cette initiative offre des avantages substantiels à l'ensemble de l'écosystème des paiements. Pour les commerçants, elle promet une réduction significative des pertes dues à la fraude et des chargebacks, associée à des taux d'approbation de transactions plus élevés et à une meilleure conversion grâce à un processus de paiement sans friction. Pour les consommateurs, elle offre un moyen de payer en ligne plus rapide, plus pratique et manifestement plus sûr, en tirant parti de la biométrie familière de l'appareil tout en éliminant le besoin de gérer des mots de passe ou de manipuler des OTP.

Les fondements technologiques - combinant une authentification résistante au phishing avec la minimisation des données de la tokenisation, le tout dans le cadre des normes EMVCo établies - créent une défense solide et à plusieurs niveaux contre la fraude. Le déploiement mondial stratégique de Mastercard, axé sur les partenariats, témoigne en outre de l'importance et de l'engagement à long terme derrière cette technologie.

Alors que Visa suit une voie parallèle avec son propre service Payment Passkey et qu'American Express intègre des capacités biométriques similaires dans SafeKey, la direction est claire : les passkeys deviennent rapidement la nouvelle norme pour sécuriser les paiements numériques.