Clés d'accès Revolut : Une initiative audacieuse avec des améliorations possibles

Dans le secteur bancaire numérique, la nécessité d'une sécurité forte sans sacrifier l'expérience utilisateur a conduit à des solutions innovantes. Parmi celles-ci, les clés d'accès, en tant que nouvelle norme pour l'authentification des utilisateurs, se démarquent. Revolut, une néo-banque de premier plan basée à Londres, a récemment et discrètement commencé à déployer les clés d'accès pour les comptes Personnels et Business. Cette décision stratégique répond non seulement à la demande croissante d'expériences numériques plus sécurisées et pratiques, mais positionne également Revolut comme un pionnier dans l'adoption des clés d'accès par le secteur bancaire.

Obtenez une évaluation passkey gratuite en 15 minutes.

Réserver une consultation gratuite

Avec le déploiement des clés d'accès, Revolut suit la tendance des géants de la technologie, avec Coinbase, WhatsApp, Nintendo et Uber en tête de la vague des clés d'accès. Dans le secteur financier, Revolut est l'une des premières banques, sinon la plus grande jusqu'à présent, à déployer les clés d'accès.

Rapport Passkeys pour la banque. Conseils pratiques, modèles de déploiement et KPIs pour les programmes passkeys.

Obtenir le rapport

Avertissement : Nous nous attendons à ce que dans les prochaines semaines, les clés d'accès soient progressivement déployées à plus grande échelle et que les bugs soient corrigés. Nous mettrons à jour l'article en conséquence. La version actuelle date du 7 février 2024.

Les clés d'accès représentent la prochaine étape de l'authentification sans mot de passe, offrant aux utilisateurs un moyen fluide mais sécurisé d'accéder à leurs comptes. Contrairement aux mots de passe traditionnels, les clés d'accès éliminent le besoin de mémoriser des mots de passe complexes, s'appuyant plutôt sur une cryptographie asymétrique avec des clés uniques pour chaque utilisateur et appareil. Cette méthode renforce non seulement la sécurité en réduisant le risque d'attaques de phishing et de violations de données, mais simplifie également le processus de connexion, car les utilisateurs n'ont besoin d'utiliser que Face ID, Touch ID ou Windows Hello, améliorant ainsi l'expérience utilisateur globale.

Revolut suit une introduction progressive des clés d'accès et ne déploie pas simultanément les fonctionnalités pour les comptes Business et Personnels. Les principales différences que nous avons remarquées lors de nos recherches sont résumées dans le tableau suivant :

Les aspects suivants doivent être mentionnés positivement dans l'intégration des clés d'accès de Revolut :

• Leadership numérique sécurisé dans le secteur bancaire : En ouvrant la voie à l'adoption des clés d'accès, Revolut sécurise non seulement sa position de leader numérique dans le paysage bancaire, mais encourage également d'autres institutions financières à faire de même.
• Améliorer l'expérience utilisateur : Les clés d'accès sont la forme la plus simple d'authentification utilisateur, car les utilisateurs n'ont pas besoin d'un deuxième appareil pour la MFA et n'ont pas non plus besoin de mémoriser des mots de passe complexes.
• Économiser les coûts des OTP par SMS : L'un des moteurs des initiatives de clés d'accès à l'échelle de l'entreprise n'est souvent pas seulement les améliorations de l'UX et les avantages en matière de sécurité, mais aussi la réduction drastique des coûts liés aux OTP par SMS obsolètes et plutôt peu sécurisés (qui sont encore très répandus parmi les banques).

Bien que la démarche audacieuse de Revolut vers l'intégration des clés d'accès soit louable, le déploiement n'a pas été sans failles.

• Manque de ressources informatives sur les clés d'accès : L'absence de FAQ officielles ou de guides sur les clés d'accès pour les utilisateurs (nous n'en avons trouvé aucun) indique une lacune dans la communication du déploiement, même si des fonctionnalités sont proposées aux utilisateurs. Fournir une documentation détaillée peut aider à démystifier les clés d'accès, favorisant une transition plus douce pour tous les utilisateurs.
• UX incohérente des clés d'accès : Les observations révèlent que la disponibilité et la fonctionnalité des fonctionnalités de clés d'accès varient selon les appareils et les plateformes. Assurer une expérience utilisateur cohérente, où les paramètres des clés d'accès sont affichés de manière fiable et où les popups de promotion des clés d'accès mènent à de véritables cérémonies de création de clés d'accès (lors de nos tests, cela n'a fonctionné que sur Windows 11) améliorerait la confiance des utilisateurs.
• Interface conditionnelle manquante : L'introduction de l'Interface Conditionnelle (Conditional UI) pourrait changer la donne. Stimuler l'expérience utilisateur en offrant des connexions non seulement sans mot de passe mais aussi sans nom d'utilisateur simplifierait davantage le processus de connexion et le rendrait plus intuitif.
• Aucune intégration d'application native : Actuellement, l'approche mobile-first de Revolut ne s'étend pas à la prise en charge des clés d'accès au sein de ses applications natives iOS et Android. L'intégration des clés d'accès aux applications natives tirerait parti de la grande disponibilité des appareils iOS et Android pour les clés d'accès.
• Pas d'authentification unifiée entre les plateformes : Combler l'écart entre l'authentification par clé d'accès de l'application web et de l'application native présente un défi complexe. Cependant, créer un mécanisme d'authentification unifié qui permet de partager des clés d'accès entre l'application web, l'application iOS et l'application Android pourrait améliorer la sécurité et le confort de l'utilisateur.

Revolut a introduit les passkeys

Commencer avec les passkeys

Dans ce qui suit, nous approfondissons les comptes Revolut Personal et Business et la façon dont les clés d'accès sont déployées sur certains appareils et plateformes.

Nous commençons l'analyse des clés d'accès Revolut Business en examinant de plus près l'application web avant d'analyser les applications natives.

Par souci de concision, nous ne mettons en évidence ci-dessous que certaines combinaisons de plateformes, d'appareils et de navigateurs.

Notez que vous ne recevez le popup de clé d'accès de Revolut qu'une seule fois, après vous être connecté avec succès avec les méthodes d'authentification existantes. Pour déclencher à nouveau le popup, vous devez soit supprimer les cookies Revolut, soit accéder au site en mode navigation privée (Incognito).

Lorsque vous accédez à la page de connexion de Revolut Business, vous remarquerez immédiatement une nouvelle option de connexion bien visible située sous le champ de saisie de l'e-mail et au-dessus des connexions sociales Google / Apple, intitulée : Continue with passkey.

Le popup promotionnel des clés d'accès se présente comme suit :

Fait intéressant, pour Revolut Business, même si l'identifiant utilisateur principal est l'adresse e-mail, les clés d'accès sont liées au numéro de téléphone, probablement parce que les comptes Revolut Personal sont créés avec un numéro de téléphone en premier.

Maintenant que vous avez créé avec succès une clé d'accès sur Windows 11 et Chrome, vous pouvez vous déconnecter et cliquer sur Continue with passkey sur la page de connexion. Ensuite, l'interface utilisateur du navigateur pour la gestion de l'authentification par clé d'accès apparaîtra :

Contrairement à la procédure de connexion actuelle de Revolut Business, où vous devez fournir un mot de passe et confirmer votre identité via une notification push dans l'application native ou un lien magique par e-mail comme deuxième facteur, aucune méthode d'authentification supplémentaire n'est requise pour les connexions par clé d'accès, car les clés d'accès servent intrinsèquement de 2FA. Cela représente une amélioration significative de l'expérience utilisateur, en particulier sur les appareils de bureau, car cela élimine la nécessité de changer de contexte ou d'utiliser un deuxième appareil.

Sur Android 14 et dans Chrome 121, le bouton de connexion Continue with passkey est très visible.

Sur iOS 17.3 et dans Safari, le bouton de connexion Continue with passkey est également très visible.

Les applications natives iOS et Android pour Revolut Business ne prennent pas encore en charge les clés d'accès. Ainsi, il n'y a pas d'option Clé d'accès (Passkey) dans la section Sécurité et confidentialité de l'application iOS (voir capture d'écran) ou Android :

L'une des premières différences à noter est que Revolut Personal utilise le numéro de téléphone comme identifiant utilisateur principal. Au lieu d'un mot de passe, l'authentification est gérée par un code d'accès de 6 à 12 chiffres, tandis que Revolut Business utilise un code d'accès à 4 chiffres et se sert du mot de passe dans le processus de connexion par défaut.

Par souci de concision, nous ne mettons en évidence ci-dessous que certaines combinaisons de plateformes, d'appareils et de navigateurs.

Abonnez-vous à notre Substack passkeys pour les dernières actualités.

S'abonner

La fenêtre contextuelle promotionnelle suivante s'affiche la première fois que vous vous connectez (ou après avoir supprimé vos cookies / en mode de navigation privée) :

Pour une raison quelconque, après avoir cliqué sur Add passkey dans l'écran précédent, nous avons été directement redirigés vers la page de session ouverte, sans avoir l'opportunité d'initier la cérémonie de la clé d'accès avec Touch ID. En enquêtant sur le problème, nous avons trouvé l'appel API correspondant (https://sso.revolut.com/api/challenges/webauthn) dans l'onglet réseau des outils de développement de Safari. Cependant, cet appel API a renvoyé un code d'état HTTP 403, indiquant que la fonctionnalité n'a apparemment pas encore été entièrement déployée.

Contrairement au compte Revolut Business, les paramètres du compte dans Revolut Personal contiennent une section pour les clés d'accès :

La fenêtre contextuelle promotionnelle suivante s'affiche la première fois que vous vous connectez (ou après avoir supprimé vos cookies / en mode de navigation privée) :

Les applications natives iOS et Android pour Revolut Personal ne prennent pas encore en charge les clés d'accès. Cependant, l'application iOS ainsi que l'application Android (voir les captures d'écran ci-dessous) contiennent une section de paramètres de sécurité pour les clés d'accès :

Ci-dessous, nous approfondissons certains aspects techniques.

Nous avons examiné les spécificités techniques de l'implémentation. Principalement, chaque fois que la page de connexion est chargée, un client_id est envoyé au backend, qui renvoie ensuite différentes options d'authentification en fonction du type de compte :

• Compte Business : Connexion Apple, Google, Passkeys (WebAuthn)
• Compte Personal : Connexion Apple, Google

Fait intéressant, l'option clé d'accès pour les comptes Revolut Personal a été préparée mais n'est pas encore activée (voir capture d'écran ci-dessous), ce qui indique qu'un déploiement pourrait être imminent et mis en œuvre rapidement, activant ainsi un bouton « Continue with passkey » pour les comptes Personnels également.

La décision d'afficher les options de connexion est basée sur le client_id. Par exemple : https://sso.revolut.com/signin?client_id=o3r08ao16zvdlf2y5fde À des fins expérimentales, nous avons modifié le client_id par une valeur aléatoire, ce qui a révélé toutes les options de connexion (y compris la possibilité de basculer entre le numéro de téléphone et l'e-mail comme identifiant de connexion) sur Windows 11 avec Chrome.

Au cours de la cérémonie de connexion, nous avons analysé les PublicKeyCredentialRequestOptions. Notamment, allowCredentials n'était pas défini, tandis que l'ID de la partie utilisatrice (relying party ID) était établi comme "sso.revolut.com". Configurer userVerification sur preferred est un choix prudent d'un point de vue de la sécurité.

publicKeyCredentialRequestOptions.json
{
    "allowCredentials": [],
    "challenge": "WHAxZnJDaDB1VnNXMmlOQW1hVndqdTYzSzF3emR3b3gtRFRCWHVxRjJYRQ",
    "rpId": "sso.revolut.com",
    "userVerification": "preferred"
}

Nous avons également analysé à quoi pourrait ressembler un déploiement vers les applications natives iOS et Android et avons donc utilisé l'ID de la partie utilisatrice de sso.revolut.com et ajouté les chemins vers les fichiers assetlinks.json (Android) et apple-app-site-association (iOS) pour voir quelles informations ces fichiers pourraient déjà contenir concernant le déploiement des clés d'accès.

Tenter d'accéder à https://sso.revolut.com/.well-known/assetlinks.json entraîne une erreur 404 de nginx, suggérant l'utilisation d'un proxy inverse pour la gestion des fichiers. En utilisant le domaine https://app.revolut.com, nous avons localisé le fichier assetlinks.json à l'adresse https://app.revolut.com/.well-known/assetlinks.json, ce qui a fourni des informations utiles pour Revolut Personal :

assetlinks.json
[
    {
        "relation": ["delegate_permission/common.handle_all_urls"],
        "target": {
            "namespace": "android_app",
            "package_name": "com.revolut.revolut",
            "sha256_cert_fingerprints": [
                "9C:9B:E0:71:35:E9:72:78:02:82:C2:E5:D2:7D:A0:6E:CB:8E:E3:AD:FC:75:30:39:17:DD:F6:6D:6F:AA:EF:A4",
                "11:F2:5B:D6:30:60:CE:B4:EF:EC:48:7C:C8:1F:6D:3D:D0:3A:75:C3:E9:D2:C5:32:3D:69:55:9D:C1:7F:6A:23"
            ]
        }
    },
    {
        "relation": ["delegate_permission/common.handle_all_urls"],
        "target": {
            "namespace": "android_app",
            "package_name": "com.revolut.revolut.test",
            "sha256_cert_fingerprints": [
                "90:EC:5D:75:11:4E:67:B7:F1:3F:C0:D0:57:85:9B:78:0D:A0:BA:49:E2:22:4C:60:42:7E:D2:EA:00:84:D1:B7"
            ]
        }
    }
]

Via https://well-known.dev, nous avons également découvert le fichier d'association pour Revolut Business à https://business.revolut.com/.well-known/assetlinks.json :

assetlinks.json
[
    {
        "relation": ["delegate_permission/common.handle_all_urls"],
        "target": {
            "namespace": "android_app",
            "package_name": "com.revolut.business",
            "sha256_cert_fingerprints": [
                "9C:9B:E0:71:35:E9:72:78:02:82:C2:E5:D2:7D:A0:6E:CB:8E:E3:AD:FC:75:30:39:17:DD:F6:6D:6F:AA:EF:A4",
                "9F:07:80:54:0F:3A:C9:6F:D7:26:02:8A:37:C5:CD:48:DB:A3:67:EE:2D:93:B3:9D:DE:51:BC:F2:2E:7F:B1:88",
                "F8:F5:95:3A:C3:85:DB:0D:85:C3:56:E9:9B:37:BD:CA:4D:EE:B0:D2:52:C6:2A:36:4F:BA:C8:3B:C6AF:3A:C2"
            ]
        }
    }
]

Puisque ni le fichier assetlinks.json pour Revolut Personal ni celui pour Revolut Business ne se trouve sur le chemin désigné par l'ID de la partie utilisatrice pour associer l'application native Android à l'application web, il est curieux d'envisager les modifications nécessaires pour permettre aux clés d'accès de fonctionner à la fois sur l'application web et l'application native Android.

Le fichier apple-app-site-association pour Revolut Personal est accessible à https://revolut.com/.well-known/apple-app-site-association, sans aucun détail encore ajouté concernant les informations d'identification web (webcredentials) :

apple-app-site-association
{
    "applinks": {
        "apps": [],
        "details": [
            {
                "appID": "QUZEZSEARC.com.revolut.revolut",
                "paths": ["/app/*"]
            },
            {
                "appID": "QUZEZSEARC.com.revolut.test",
                "paths": ["/app/*"]
            }
        ]
    }
}

En revanche, le fichier apple-app-site-association de Revolut Business contient des informations plus complètes, notamment concernant les informations d'identification web. Cela indique que l'application iOS QUZEZSEARC.com.revolut.business est configurée pour partager des informations d'identification avec l'application web Revolut Business. Il est accessible à https://business.revolut.com/.well-known/apple-app-site-association.

{
    "applinks": {
        "apps": [],
        "details": [
            {
                "appID": "QUZEZSEARC.com.revolut.business",
                "paths": [
                    "/",
                    "/accept-payments/in-person",
                    "/accept-payments/online-requests",
                    "/accept-payments/web-integrations",
                    "/accounts",
                    "/accounts/connect-external",
                    "/accounts/connect-external/*",
                    "/accounts/new",
                    "/accounts/transactions",
                    "/account-transactions/*",
                    "/action/confirm",
                    "/add-card-to-wallet",
                    "/advances",
                    "/advances/manual-repayment",
                    "/app/*",
                    "/application",
                    "/approvals/requests",
                    "/article/*",
                    "/articles/*",
                    "/bug-report",
                    "/card-reader/order",
                    "/cards",
                    "/cards/*",
                    "/cards/*/sca-counters-exceed",
                    "/cards/*/sca-counters-warn",
                    "/cards/*/security",
                    "/cards/*/settings",
                    "/cards/*/transactions",
                    "/cashback",
                    "/catalogue/manage",
                    "/challenges/*",
                    "/consumer-tickets/*",
                    "/crypto",
                    "/e-commerce",
                    "/exchange",
                    "/expense-documents/*",
                    "/expenses",
                    "/expenses/*",
                    "/faq",
                    "/faq/*",
                    "/favourites",
                    "/form",
                    "/form/*",
                    "/help-centre",
                    "/help-centre/topic/*",
                    "/hub/integrations",
                    "/insurance",
                    "/invoices",
                    "/invoices/*",
                    "/marketplace",
                    "/merchant",
                    "/merchant/*",
                    "/new-card-acceptance-pricing",
                    "/offboarding",
                    "/open-onboarding-application-next-step",
                    "/orders",
                    "/pay-in-store/order/*",
                    "/payments",
                    "/payments/scheduled",
                    "/payments/transfers",
                    "/plan/subscriptions",
                    "/points",
                    "/pricing-plans",
                    "/qr-code-sign-in/*",
                    "/referrals",
                    "/referrals/invite-contacts",
                    "/referrals/invitee-details/*",
                    "/request-info",
                    "/request-info/merchant",
                    "/requests",
                    "/requests/request",
                    "/reset-password",
                    "/rewards",
                    "/sales/revolut-me",
                    "/statements",
                    "/savings",
                    "/send",
                    "/settings/accounts-and-documents",
                    "/settings/business-profile",
                    "/settings/manage-devices",
                    "/settings/merchant-profile",
                    "/settings/merchant-profile/branding",
                    "/settings/notifications",
                    "/settings/personal-profile",
                    "/settings/trusted-merchants",
                    "/settings/vat-number",
                    "/signup/invite",
                    "/stories/*",
                    "/story/*",
                    "/subscriptions",
                    "/team",
                    "/team/approvals",
                    "/team/member/add",
                    "/team/roles",
                    "/tip/settings",
                    "/topup",
                    "/transactions",
                    "/transactions/*/add-expense-info",
                    "/transactions/*/add-info-flow",
                    "/transactions/*/chargeback-status",
                    "/transfers",
                    "/treasury",
                    "/upgrade",
                    "/vouchers"
                ]
            }
        ]
    },
    "webcredentials": {
        "apps": ["QUZEZSEARC.com.revolut.business"]
    }
}

Tout comme avec Android, il reste intéressant de savoir comment le partage multiplateforme des clés d'accès entre les applications natives et web peut être mis en œuvre, étant donné que l'ID de la partie utilisatrice pour l'application web (sso.revolut.com) n'a pas les fichiers d'association aux emplacements attendus.

Le déploiement des clés d'accès par Revolut est l'un des plus ambitieux du secteur bancaire — couvrant les comptes personnels et professionnels sur les applications web et natives. Si vous souhaitez atteindre un niveau similaire de déploiement de clés d'accès, Corbado fournit la couche d'intelligence nécessaire pour gérer la complexité qui l'accompagne.

Le déploiement de Revolut a mis en évidence des défis liés à la cohérence multiplateforme et aux problèmes spécifiques aux appareils. Le Device Trust Dashboard de Corbado vous offre la visibilité opérationnelle pour détecter ces problèmes avant qu'ils ne deviennent des tickets d'assistance. Suivez les taux de réussite des clés d'accès par type d'appareil, version de système d'exploitation et navigateur — et surveillez la couverture des facteurs SCA sur l'ensemble de votre base d'utilisateurs en temps réel.

Avec 92 % des appareils classés comme exclusifs à un seul utilisateur et un taux d'appareils de confiance de 94,7 %, les banques peuvent quantifier la véritable posture de sécurité de leur déploiement de clés d'accès plutôt que de s'appuyer sur des hypothèses.

L'approche par phases de Revolut — en commençant par le web, puis en s'étendant aux applications natives — est la bonne stratégie. Les stratégies de confiance (Trust Policies) de Corbado vous permettent de mettre cela en œuvre précisément : autorisez la création de clés d'accès sur mobile d'abord (où la prise en charge est la plus forte), exigez une authentification renforcée sur les nouveaux appareils, et étendez progressivement à mesure que les données de confiance des appareils s'accumulent. Lorsque des problèmes surviennent sur des modèles d'appareils spécifiques, vous pouvez désactiver instantanément les flux de clés d'accès pour ces appareils sans mise à jour de l'application.

Que vous suiviez l'approche « clés d'accès telles quelles » de Revolut ou que vous ajoutiez une liaison de cookies/sessions pour une interprétation SCA plus prudente, Corbado s'adapte à votre stratégie. Contactez-nous pour découvrir comment nous pouvons soutenir votre déploiement de clés d'accès.

En conclusion, le déploiement des clés d'accès par Revolut est une étape importante vers la révolution de l'authentification des utilisateurs dans le secteur bancaire. En adoptant les clés d'accès, Revolut améliore non seulement la sécurité en s'éloignant des mots de passe traditionnels, mais améliore également considérablement l'UX grâce à un processus de connexion plus simple. Bien qu'ils aient dû faire face à des défis lors du déploiement initial, notamment des incohérences entre les appareils et l'absence de prise en charge des applications natives, les efforts de Revolut soulignent un engagement envers l'innovation numérique et une conception centrée sur l'utilisateur.

L'analyse technique révèle que bien que les bases d'une intégration transparente des clés d'accès soient jetées, il y a des points susceptibles d'être améliorés. Renforcer la communication, assurer la cohérence entre les plateformes et étendre la prise en charge pour inclure les applications mobiles natives sont des prochaines étapes critiques. Aborder ces points permettra non seulement d'affiner l'implémentation de Revolut, mais aussi d'établir une référence pour l'industrie, encourageant d'autres institutions financières à adopter bientôt les clés d'accès (voir aussi notre article de blog sur la conformité DSP2 des clés d'accès).

À propos de Corbado

Corbado est la Passkey Intelligence Platform pour les équipes CIAM qui gèrent l'authentification client à grande échelle. Nous vous montrons ce que les logs IDP et les outils d'analytics génériques ne voient pas : quels appareils, versions d'OS, navigateurs et gestionnaires de credentials prennent en charge les passkeys, pourquoi les enrôlements ne deviennent pas des connexions, où le flux WebAuthn échoue et quand une mise à jour OS ou navigateur casse silencieusement la connexion — le tout sans remplacer Okta, Auth0, Ping, Cognito ni votre IDP interne. Deux produits : Corbado Observe ajoute l'observabilité pour les passkeys et toute autre méthode de connexion. Corbado Connect apporte des passkeys managés avec analytics intégrés (aux côtés de votre IDP). VicRoads gère les passkeys pour plus de 5M d'utilisateurs avec Corbado (+80 % d'activation passkey). Parler à un expert Passkey →

Revolut Business exigeait auparavant un mot de passe plus une notification push ou un lien magique par e-mail comme deuxième facteur pour chaque connexion. Les clés d'accès remplacent l'intégralité de ce flux car elles servent intrinsèquement d'authentification à deux facteurs, éliminant ainsi le besoin de passer à un deuxième appareil ou à une deuxième application lors de la connexion.

Les applications natives iOS et Android pour les comptes Personal et Business ne prennent pas encore en charge les clés d'accès, limitant les clés d'accès aux navigateurs web uniquement. Revolut n'a également publié aucune FAQ ou guide officiel sur les clés d'accès, laissant les utilisateurs sans documentation pour comprendre la nouvelle fonctionnalité.

Revolut définit l'ID de sa partie utilisatrice sur « sso.revolut.com » et configure userVerification sur « preferred » avec une liste allowCredentials vide. Le champ allowCredentials vide signifie que le navigateur présente toutes les clés d'accès disponibles pour le domaine plutôt que de filtrer sur des identifiants spécifiques, favorisant une découverte plus large des clés d'accès.

Le fichier apple-app-site-association de Revolut Business inclut déjà une section webcredentials liant l'application iOS à l'application web, indiquant que la prise en charge des clés d'accès natives est en préparation. Cependant, les fichiers assetlinks.json pour les deux types de comptes ne se trouvent pas sur le chemin de l'ID de la partie utilisatrice, ce qui signifie que le partage de clés d'accès multiplateforme entre le web et les applications natives n'est pas encore fonctionnel.