Passkeys Revolut : une initiative audacieuse mais perfectible

Want to learn how top banks deploy passkeys? Get our 80-page Banking Passkeys Report (incl. ROI insights). Trusted by JPMC, UBS & QNB.

Get Report

Dans le secteur bancaire numérique, le besoin d'une sécurité renforcée sans sacrifier l'expérience utilisateur a donné naissance à des solutions innovantes. Parmi celles-ci, les passkeys se distinguent comme le nouveau standard pour l'authentification des utilisateurs. Revolut, une néobanque de premier plan basée à Londres, a récemment et discrètement commencé à déployer les passkeys pour ses comptes Particuliers et Business. Cette décision stratégique répond non seulement à la demande croissante d'expériences numériques plus sûres et pratiques, mais positionne également Revolut comme une pionnière dans l'adoption des passkeys par le secteur bancaire.

Get a free passkey assessment in 15 minutes.

Book free consultation

Avec le déploiement des passkeys, Revolut suit la tendance des géants de la tech, où Coinbase, WhatsApp, Nintendo et Uber mènent la vague des passkeys. Dans le secteur financier, Revolut est l'une des premières banques, si ce n'est la plus grande à ce jour, à déployer les passkeys.

Avis de non-responsabilité : Nous nous attendons à ce que les passkeys soient déployés plus largement et que les bugs soient corrigés dans les semaines à venir. Nous mettrons à jour cet article en conséquence. La version actuelle date du 7 février 2024.

Les passkeys représentent la nouvelle étape de l'authentification sans mot de passe, offrant aux utilisateurs un moyen fluide et sécurisé d'accéder à leurs comptes. Contrairement aux mots de passe traditionnels, les passkeys éliminent le besoin de mémoriser des mots de passe complexes, en s'appuyant sur la cryptographie asymétrique avec des clés uniques pour chaque utilisateur et appareil. Cette méthode améliore non seulement la sécurité en réduisant le risque d'attaques de phishing et de violations de données, mais simplifie également le processus de connexion, car les utilisateurs n'ont qu'à utiliser Face ID, Touch ID ou Windows Hello, améliorant ainsi l'expérience utilisateur globale.

Revolut procède à une introduction progressive des passkeys et déploie également les fonctionnalités de manière non simultanée pour les comptes Business et Particuliers. Les principales différences que nous avons repérées lors de nos recherches sont décrites dans le tableau suivant :

Les aspects suivants de l'intégration des passkeys par Revolut méritent d'être soulignés positivement :

• Leadership numérique sécurisé dans le secteur bancaire : En ouvrant la voie à l'adoption des passkeys, Revolut non seulement consolide sa position de leader numérique dans le paysage bancaire, mais encourage également d'autres institutions financières à suivre son exemple.
• Amélioration de l'expérience utilisateur : Les passkeys sont la forme la plus simple d'authentification des utilisateurs, car ces derniers n'ont pas besoin d'un second appareil pour la MFA et n'ont pas non plus à mémoriser des mots de passe complexes.
• Réduction des coûts des OTP par SMS : L'un des moteurs des initiatives passkeys au niveau des grandes entreprises n'est souvent pas seulement l'amélioration de l'UX et les avantages en matière de sécurité, mais aussi la réduction des coûts considérables liés aux OTP par SMS, une méthode obsolète et plutôt peu sûre (mais encore très répandue parmi les banques).

Bien que l'initiative audacieuse de Revolut d'intégrer les passkeys soit louable, le déploiement n'a pas été sans défauts.

• Manque de ressources d'information sur les passkeys : L'absence de FAQ ou de guides officiels sur les passkeys pour les utilisateurs (nous n'en avons trouvé aucun) indique une lacune dans la communication du déploiement, même si des fonctionnalités sont proposées aux utilisateurs. Fournir une documentation détaillée peut aider à démystifier les passkeys, favorisant une transition plus douce pour tous les utilisateurs.
• Expérience utilisateur incohérente pour les passkeys : Nos observations révèlent que la disponibilité et la fonctionnalité des passkeys varient selon les appareils et les plateformes. Assurer une expérience utilisateur cohérente, où les paramètres des passkeys sont affichés de manière fiable et où les pop-ups de promotion des passkeys mènent à de véritables processus de création de passkeys (lors de nos tests, cela n'a fonctionné que sur Windows 11), améliorerait la confiance des utilisateurs.
• Absence d'interface utilisateur conditionnelle (Conditional UI) : L'introduction d'une interface utilisateur conditionnelle (Conditional UI) pourrait changer la donne. Améliorer l'expérience utilisateur en offrant des connexions non seulement sans mot de passe mais aussi sans nom d'utilisateur simplifierait davantage le processus de connexion et le rendrait plus intuitif.
• Pas d'intégration dans les applications natives : Actuellement, l'approche « mobile-first » de Revolut ne s'étend pas à la prise en charge des passkeys dans ses applications natives iOS et Android. L'intégration des passkeys dans les applications natives tirerait parti de la grande compatibilité des appareils iOS et Android avec les passkeys.
• Pas d'authentification unifiée entre les plateformes : Combler le fossé entre l'authentification par passkey sur le web et dans les applications natives représente un défi complexe. Cependant, la création d'un mécanisme d'authentification unifié qui permet le partage des passkeys entre l'application web, l'application iOS et l'application Android pourrait améliorer la sécurité et la commodité pour l'utilisateur.

Revolut has introduced passkeys

Join them

Dans ce qui suit, nous allons examiner plus en détail les comptes Revolut Particuliers et Business et la manière dont les passkeys sont déployés sur certains appareils et plateformes.

Nous commençons l'analyse des passkeys de Revolut Business en examinant de plus près l'application web avant d'analyser les applications natives.

Pour rester concis dans ce qui suit, nous ne mettrons en évidence que certaines combinaisons de plateformes, d'appareils et de navigateurs.

Notez que vous ne recevez le pop-up de passkey de Revolut qu'une seule fois, après vous être connecté avec succès via les méthodes d'authentification existantes. Pour déclencher à nouveau le pop-up, vous devez soit supprimer les cookies de Revolut, soit accéder au site en mode de navigation privée.

Lorsque vous accédez à la page de connexion de Revolut Business, vous remarquerez immédiatement une nouvelle option de connexion bien en vue, située sous le champ de saisie de l'e-mail et au-dessus des connexions sociales Google / Apple, intitulée : Continuer avec un passkey.

Le pop-up promotionnel pour les passkeys se présente comme suit :

Il est intéressant de noter que pour Revolut Business, bien que l'identifiant principal de l'utilisateur soit l'adresse e-mail, les passkeys sont liés au numéro de téléphone, probablement parce que les comptes Revolut Particuliers sont d'abord créés avec un numéro de téléphone.

Maintenant que vous avez créé avec succès un passkey sur Windows 11 et Chrome, vous pouvez vous déconnecter et cliquer sur Continuer avec un passkey sur la page de connexion. Ensuite, l'interface utilisateur du navigateur pour gérer l'authentification par passkey apparaîtra :

Contrairement à la procédure de connexion actuelle pour Revolut Business, où vous devez fournir un mot de passe et confirmer votre identité via une notification push dans l'application native ou un lien magique par e-mail comme second facteur, aucune méthode d'authentification supplémentaire n'est nécessaire pour les connexions par passkey, car les passkeys servent intrinsèquement de 2FA. Cela représente une amélioration significative de l'expérience utilisateur, en particulier sur les ordinateurs de bureau, car cela élimine le besoin de changer de contexte ou d'utiliser un second appareil.

Sur Android 14 et dans Chrome 121, le bouton de connexion Continuer avec un passkey est très visible.

Sur iOS 17.3 et dans Safari, le bouton de connexion Continuer avec un passkey est également très visible.

Les applications natives iOS et Android pour Revolut Business ne prennent pas encore en charge les passkeys. Il n'y a donc pas d'option Passkey dans la section Sécurité et confidentialité de l'application iOS (voir capture d'écran) ou Android :

L'une des premières différences à noter est que Revolut Particuliers utilise le numéro de téléphone comme identifiant principal de l'utilisateur. Au lieu d'un mot de passe, l'authentification est gérée par un code d'accès de 6 à 12 chiffres, tandis que Revolut Business utilise un code d'accès à 4 chiffres et un mot de passe dans le processus de connexion par défaut.

Pour rester concis dans ce qui suit, nous ne mettrons en évidence que certaines combinaisons de plateformes, d'appareils et de navigateurs.

Subscribe to our Passkeys Substack for the latest news.

Subscribe

Le pop-up promotionnel suivant pour les passkeys s'affiche la première fois que vous vous connectez (ou après avoir supprimé vos cookies / en mode de navigation privée) :

Pour une raison inconnue, après avoir cliqué sur Ajouter un passkey sur l'écran précédent, nous avons été directement redirigés vers la page de connexion, sans avoir la possibilité de lancer le processus de création de passkey avec Touch ID. En examinant le problème, nous avons trouvé l'appel API correspondant (https://sso.revolut.com/api/challenges/webauthn) dans l'onglet réseau des outils de développement de Safari. Cependant, cet appel API a renvoyé un code de statut HTTP 403, indiquant que la fonctionnalité n'a apparemment pas encore été entièrement déployée.

Contrairement au compte Revolut Business, les paramètres du compte Revolut Particuliers contiennent une section pour les passkeys :

Le pop-up promotionnel suivant pour les passkeys s'affiche la première fois que vous vous connectez (ou après avoir supprimé vos cookies / en mode de navigation privée) :

Les applications natives iOS et Android pour Revolut Particuliers ne prennent pas encore en charge les passkeys. Cependant, l'application iOS ainsi que l'application Android (voir les captures d'écran ci-dessous) contiennent une section de paramètres de sécurité pour les passkeys :

Ci-dessous, nous examinons plus en détail certains aspects techniques.

Become part of our Passkeys Community for updates & support.

Join

Nous avons examiné les spécificités de l'implémentation technique. Principalement, chaque fois que la page de connexion est chargée, un client_id est envoyé au backend, qui renvoie ensuite différentes options d'authentification en fonction du type de compte :

• Compte Business : Connexion Apple, Google, Passkeys (WebAuthn)
• Compte Particuliers : Connexion Apple, Google

Il est intéressant de noter que l'option passkey pour les comptes Revolut Particuliers a été préparée mais n'est pas encore activée (voir la capture d'écran ci-dessous), ce qui indique qu'un déploiement pourrait être imminent et mis en œuvre rapidement, activant également un bouton « Continuer avec un passkey » pour les comptes Particuliers.

La décision d'afficher les options de connexion est basée sur le client_id. Par exemple : https://sso.revolut.com/signin?client_id=o3r08ao16zvdlf2y5fde À des fins expérimentales, nous avons modifié le client_id pour une valeur aléatoire, ce qui a révélé toutes les options de connexion (y compris la possibilité de basculer entre le numéro de téléphone et l'e-mail comme identifiant de connexion) sur Windows 11 avec Chrome.

Lors du processus de connexion, nous avons analysé les PublicKeyCredentialRequestOptions. Notamment, allowCredentials n'était pas défini, tandis que l'ID de la partie de confiance (relying party ID) était établi comme « sso.revolut.com ». Définir userVerification sur « preferred » est un choix prudent du point de vue de la sécurité.

publicKeyCredentialRequestOptions.json
{
    "allowCredentials": [],
    "challenge": "WHAxZnJDaDB1VnNXMmlOQW1hVndqdTYzSzF3emR3b3gtRFRCWHVxRjJYRQ",
    "rpId": "sso.revolut.com",
    "userVerification": "preferred"
}

Nous avons également analysé comment un déploiement sur les applications natives iOS et Android pourrait se présenter et avons donc utilisé l'ID de la partie de confiance (relying party ID) de sso.revolut.com et ajouté les chemins vers les fichiers assetlinks.json (Android) et apple-app-site-association (iOS) pour voir quelles informations ces fichiers pourraient déjà contenir concernant le déploiement des passkeys.

La tentative d'accès à https://sso.revolut.com/.well-known/assetlinks.json entraîne une erreur 404 de nginx, suggérant l'utilisation d'un proxy inverse pour la gestion des fichiers. En utilisant le domaine https://app.revolut.com, nous avons localisé le fichier assetlinks.json à l'adresse https://app.revolut.com/.well-known/assetlinks.json, qui a fourni des informations intéressantes pour Revolut Particuliers :

assetlinks.json
[
    {
        "relation": ["delegate_permission/common.handle_all_urls"],
        "target": {
            "namespace": "android_app",
            "package_name": "com.revolut.revolut",
            "sha256_cert_fingerprints": [
                "9C:9B:E0:71:35:E9:72:78:02:82:C2:E5:D2:7D:A0:6E:CB:8E:E3:AD:FC:75:30:39:17:DD:F6:6D:6F:AA:EF:A4",
                "11:F2:5B:D6:30:60:CE:B4:EF:EC:48:7C:C8:1F:6D:3D:D0:3A:75:C3:E9:D2:C5:32:3D:69:55:9D:C1:7F:6A:23"
            ]
        }
    },
    {
        "relation": ["delegate_permission/common.handle_all_urls"],
        "target": {
            "namespace": "android_app",
            "package_name": "com.revolut.revolut.test",
            "sha256_cert_fingerprints": [
                "90:EC:5D:75:11:4E:67:B7:F1:3F:C0:D0:57:85:9B:78:0D:A0:BA:49:E2:22:4C:60:42:7E:D2:EA:00:84:D1:B7"
            ]
        }
    }
]

Via https://well-known.dev, nous avons également découvert le fichier d'association pour Revolut Business à l'adresse https://business.revolut.com/.well-known/assetlinks.json :

assetlinks.json
[
    {
        "relation": ["delegate_permission/common.handle_all_urls"],
        "target": {
            "namespace": "android_app",
            "package_name": "com.revolut.business",
            "sha256_cert_fingerprints": [
                "9C:9B:E0:71:35:E9:72:78:02:82:C2:E5:D2:7D:A0:6E:CB:8E:E3:AD:FC:75:30:39:17:DD:F6:6D:6F:AA:EF:A4",
                "9F:07:80:54:0F:3A:C9:6F:D7:26:02:8A:37:C5:CD:48:DB:A3:67:EE:2D:93:B3:9D:DE:51:BC:F2:2E:7F:B1:88",
                "F8:F5:95:3A:C3:85:DB:0D:85:C3:56:E9:9B:37:BD:CA:4D:EE:B0:D2:52:C6:2A:36:4F:BA:C8:3B:C6:AF:3A:C2"
            ]
        }
    }
]

Étant donné que ni le fichier assetlinks.json pour Revolut Particuliers ni celui pour Revolut Business ne se trouvent sur le chemin désigné par l'ID de la partie de confiance (relying party) pour associer l'application native Android à l'application web, il est intéressant de se demander quels changements sont nécessaires pour permettre aux passkeys de fonctionner à la fois sur le web et dans les applications natives Android.

Le fichier apple-app-site-association pour Revolut Particuliers est accessible à l'adresse https://revolut.com/.well-known/apple-app-site-association, sans détails ajoutés pour le moment concernant les informations d'identification web :

apple-app-site-association
{
    "applinks": {
        "apps": [],
        "details": [
            {
                "appID": "QUZEZSEARC.com.revolut.revolut",
                "paths": ["/app/*"]
            },
            {
                "appID": "QUZEZSEARC.com.revolut.test",
                "paths": ["/app/*"]
            }
        ]
    }
}

En revanche, le fichier apple-app-site-association de Revolut Business contient des informations plus complètes, notamment concernant les informations d'identification web. Cela indique que l'application iOS QUZEZSEARC.com.revolut.business est configurée pour partager des informations d'identification avec l'application web de Revolut Business. Il est accessible à l'adresse https://business.revolut.com/.well-known/apple-app-site-association.

{
    "applinks": {
        "apps": [],
        "details": [
            {
                "appID": "QUZEZSEARC.com.revolut.business",
                "paths": [
                    "/",
                    "/accept-payments/in-person",
                    "/accept-payments/online-requests",
                    "/accept-payments/web-integrations",
                    "/accounts",
                    "/accounts/connect-external",
                    "/accounts/connect-external/*",
                    "/accounts/new",
                    "/accounts/transactions",
                    "/account-transactions/*",
                    "/action/confirm",
                    "/add-card-to-wallet",
                    "/advances",
                    "/advances/manual-repayment",
                    "/app/*",
                    "/application",
                    "/approvals/requests",
                    "/article/*",
                    "/articles/*",
                    "/bug-report",
                    "/card-reader/order",
                    "/cards",
                    "/cards/*",
                    "/cards/*/sca-counters-exceed",
                    "/cards/*/sca-counters-warn",
                    "/cards/*/security",
                    "/cards/*/settings",
                    "/cards/*/transactions",
                    "/cashback",
                    "/catalogue/manage",
                    "/challenges/*",
                    "/consumer-tickets/*",
                    "/crypto",
                    "/e-commerce",
                    "/exchange",
                    "/expense-documents/*",
                    "/expenses",
                    "/expenses/*",
                    "/faq",
                    "/faq/*",
                    "/favourites",
                    "/form",
                    "/form/*",
                    "/help-centre",
                    "/help-centre/topic/*",
                    "/hub/integrations",
                    "/insurance",
                    "/invoices",
                    "/invoices/*",
                    "/marketplace",
                    "/merchant",
                    "/merchant/*",
                    "/new-card-acceptance-pricing",
                    "/offboarding",
                    "/open-onboarding-application-next-step",
                    "/orders",
                    "/pay-in-store/order/*",
                    "/payments",
                    "/payments/scheduled",
                    "/payments/transfers",
                    "/plan/subscriptions",
                    "/points",
                    "/pricing-plans",
                    "/qr-code-sign-in/*",
                    "/referrals",
                    "/referrals/invite-contacts",
                    "/referrals/invitee-details/*",
                    "/request-info",
                    "/request-info/merchant",
                    "/requests",
                    "/requests/request",
                    "/reset-password",
                    "/rewards",
                    "/sales/revolut-me",
                    "/statements",
                    "/savings",
                    "/send",
                    "/settings/accounts-and-documents",
                    "/settings/business-profile",
                    "/settings/manage-devices",
                    "/settings/merchant-profile",
                    "/settings/merchant-profile/branding",
                    "/settings/notifications",
                    "/settings/personal-profile",
                    "/settings/trusted-merchants",
                    "/settings/vat-number",
                    "/signup/invite",
                    "/stories/*",
                    "/story/*",
                    "/subscriptions",
                    "/team",
                    "/team/approvals",
                    "/team/member/add",
                    "/team/roles",
                    "/tip/settings",
                    "/topup",
                    "/transactions",
                    "/transactions/*/add-expense-info",
                    "/transactions/*/add-info-flow",
                    "/transactions/*/chargeback-status",
                    "/transfers",
                    "/treasury",
                    "/upgrade",
                    "/vouchers"
                ]
            }
        ]
    },
    "webcredentials": {
        "apps": ["QUZEZSEARC.com.revolut.business"]
    }
}

Tout comme avec Android, il reste intriguant de voir comment le partage multiplateforme des passkeys entre les applications natives et web peut être mis en œuvre, étant donné que l'ID de la partie de confiance (relying party) pour l'application web (sso.revolut.com) n'a pas les fichiers d'association aux emplacements attendus.

En conclusion, le déploiement des passkeys par Revolut est une étape importante vers la révolution de l'authentification des utilisateurs dans le secteur bancaire. En adoptant les passkeys, Revolut améliore non seulement la sécurité en s'éloignant des mots de passe traditionnels, mais améliore aussi considérablement l'UX grâce à un processus de connexion plus simple. Malgré les défis rencontrés lors du déploiement initial, notamment des incohérences entre les appareils et l'absence de prise en charge par les applications natives, les efforts de Revolut soulignent un engagement en faveur de l'innovation numérique et d'une conception centrée sur l'utilisateur.

L'analyse technique révèle que si les bases d'une intégration transparente des passkeys sont posées, il existe des domaines à améliorer. L'amélioration de la communication, la garantie de la cohérence entre les plateformes et l'extension de la prise en charge aux applications mobiles natives sont des étapes critiques. Aborder ces points permettra non seulement d'affiner l'implémentation de Revolut, mais aussi d'établir une référence pour le secteur, encourageant d'autres institutions financières à adopter rapidement les passkeys (voir aussi notre article de blog sur la conformité des passkeys à la DSP2).