Le paysage des passkeys de paiement : 4 modèles d'intégration clés

60-page Enterprise Passkey Whitepaper:
Learn how leaders get +80% passkey adoption. Trusted by Rakuten, Klarna & Oracle

Get free Whitepaper

Le paysage mondial des paiements se trouve à un tournant décisif. Depuis des décennies, le secteur est confronté à la tension inhérente entre la sécurité et la commodité pour l'utilisateur, un défi particulièrement aigu dans l'environnement numérique des transactions sans carte présente (Card-Not-Present, CNP). La montée de la fraude sophistiquée a nécessité des mesures d'authentification plus fortes, tandis que les attentes des consommateurs exigent des expériences de paiement de plus en plus fluides. Ce rapport fournit une analyse complète de cet écosystème en évolution, en se concentrant spécifiquement sur l'identification des points d'intégration stratégiques pour la technologie des passkeys. Il est conçu pour servir de guide de référence pour les fournisseurs de technologie, les fournisseurs de services de paiement, les institutions financières et les commerçants qui cherchent à naviguer dans la transition vers un avenir sans mot de passe.

Le paysage des paiements connaît une transformation fondamentale, motivée par le besoin d'une sécurité renforcée comme l'authentification forte du client (SCA) et la demande commerciale pour des expériences utilisateur fluides. Les passkeys résistants au phishing sont apparus comme la technologie clé pour résoudre cette tension. Notre analyse montre que le secteur converge vers quatre modèles architecturaux distincts pour l'intégration des passkeys, chacun représentant une vision concurrente pour l'avenir de l'authentification des paiements :

1. Le modèle centré sur l'émetteur (par ex. via SPC) : Bien que techniquement élégant, ce modèle est entravé par un manque critique de prise en charge par les navigateurs, notamment par Apple, ce qui en fait une solution peu pratique dans un avenir proche.
2. Le modèle centré sur le commerçant (Authentification Déléguée) : Ce modèle puissant permet aux grands commerçants de tirer parti de leurs relations directes avec les clients, en déplaçant l'authentification en amont pour créer un paiement transparent, mais il s'accompagne d'une responsabilité importante et nécessite la confiance directe de l'émetteur.
3. Le modèle centré sur le réseau (Click to Pay) : Une initiative stratégique majeure des réseaux de cartes comme Visa et Mastercard pour s'approprier l'expérience de paiement des invités en offrant un passkey portable au niveau du réseau pour les consommateurs.
4. Le modèle centré sur le PSP (Portefeuilles) : Un modèle dominant où les grands fournisseurs de services de paiement (PSP) comme PayPal utilisent les passkeys pour sécuriser et fluidifier l'expérience au sein de leurs vastes écosystèmes de portefeuilles établis.

Chaque modèle présente une réponse différente à la question stratégique centrale : « Qui deviendra la principale Relying Party pour les paiements ? ». Ce rapport décortique ces architectures concurrentes, en les associant aux acteurs de l'écosystème pour fournir une feuille de route claire afin de naviguer dans l'avenir de l'authentification des paiements.

Pour comprendre où et comment les passkeys peuvent être intégrés, il est d'abord essentiel d'établir une carte claire et détaillée des acteurs de l'écosystème des paiements et de leurs rôles distincts. Le déroulement d'une seule transaction en ligne implique une interaction complexe entre plusieurs entités, chacune remplissant une fonction spécifique dans le mouvement des données et des fonds.

Au cœur de chaque transaction se trouvent cinq participants fondamentaux qui forment la base de la chaîne de valeur du paiement.

1. Client / Titulaire de la carte :

   • Description : La personne ou l'organisation qui initie un achat. Le titulaire de la carte obtient une carte de paiement (crédit ou débit) d'une banque émettrice et est responsable du remboursement des frais engagés.
   • Objectif : Une expérience de paiement rapide, simple et sécurisée.
   • Exemples : Toute personne possédant un compte bancaire et/ou une carte de paiement.

2. Commerçant :

   • Description : L'entreprise qui vend des biens ou des services et accepte les paiements électroniques. Pour ce faire, le commerçant doit disposer de l'infrastructure nécessaire, généralement fournie par une banque acquéreuse ou un fournisseur de services de paiement (PSP), pour accepter et traiter les paiements par carte.
   • Objectif : Maximiser la conversion des ventes en minimisant les frictions lors du paiement tout en atténuant la fraude.
   • Exemples : Un site de commerce électronique, un magasin de détail, un service d'abonnement.

3. Banque émettrice (Émetteur) :

   • Description : La banque ou l'institution financière du titulaire de la carte. L'émetteur fournit la carte de paiement au client, assume le risque de crédit associé et est finalement responsable de l'approbation ou du refus d'une transaction en fonction de l'état du compte du titulaire de la carte et d'une évaluation des risques.
   • Objectif : Recevoir la demande d'autorisation et renvoyer un code de réponse via les réseaux de cartes.
   • Exemples : Bank of America, Chase, Barclays.

4. Banque acquéreuse (Acquéreur) :

   • Description : La banque du commerçant, également connue sous le nom de banque du commerçant. L'acquéreur gère le compte du commerçant et facilite le traitement des transactions par carte pour le compte du commerçant.
   • Objectif : Recevoir les détails de paiement du commerçant, les acheminer via le réseau de cartes vers l'émetteur et, après approbation, verser les fonds sur le compte du commerçant.
   • Exemples : Wells Fargo Merchant Services, Worldpay (de FIS).

5. Réseaux de cartes (Schémas) :

   • Description : L'épine dorsale technologique qui relie tous les autres participants. Des entreprises comme Visa, Mastercard, American Express et Discover exploitent ces vastes réseaux. Elles n'émettent pas de cartes ni n'ouvrent de comptes commerçants, mais fournissent l'infrastructure critique, les règles et les normes qui régissent les transactions.
   • Objectif : Faciliter l'acheminement des demandes d'autorisation ainsi que la compensation et le règlement des fonds entre les émetteurs et les acquéreurs.
   • Exemples : Visa, Mastercard, American Express.

Want to try passkeys yourself in a passkeys demo?

Try Passkeys

Entre les participants principaux se trouve un écosystème complexe et souvent superposé de fournisseurs de technologies et de services. Comprendre les distinctions entre ces intermédiaires est crucial, car ils sont souvent les principaux points d'intégration pour les nouvelles technologies comme les passkeys. Les frontières entre ces rôles sont devenues beaucoup plus floues ces dernières années, car les fournisseurs modernes cherchent à offrir des solutions plus complètes et « tout-en-un ».

1. Passerelle de paiement :

   • Description : Une passerelle de paiement est la technologie qui agit comme le portail numérique sécurisé pour une transaction. Son rôle principal est de capturer les détails de paiement sensibles du client sur le site web du commerçant ou le système de point de vente (PDV), de les chiffrer et de les transmettre en toute sécurité au processeur de paiement ou à la banque acquéreuse. C'est la « porte d'entrée » de la transaction, responsable de la transmission sécurisée des données mais pas du mouvement des fonds lui-même.
   • Objectif : Fournir aux commerçants un moyen sûr et fiable d'accepter les paiements en ligne.
   • Exemples : Authorize.net (une solution Visa), Braintree, Stripe Payment Gateway.

2. Processeur de paiement :

   • Description : Un processeur de paiement est l'entité qui exécute les messages de transaction entre les différentes parties. Après avoir reçu les données sécurisées de la passerelle de paiement, le processeur communique avec le réseau de cartes et, par extension, les banques émettrices et acquéreuses pour faciliter l'autorisation et le règlement de la transaction. On peut considérer le processeur comme le moteur opérationnel qui gère la communication technique nécessaire au paiement, tandis que la passerelle est le canal sécurisé pour cette communication.
   • Objectif : Exécuter de manière fiable et efficace les messages de paiement, gérer le règlement des transactions et traiter la résolution des litiges entre les banques émettrices et acquéreuses.
   • Exemples : First Data (maintenant Fiserv), TSYS, Worldpay.

3. Fournisseur de Services de Paiement (PSP) :

   • Description : Un fournisseur de services de paiement est une entreprise qui offre aux commerçants une solution complète et groupée pour accepter les paiements électroniques. Un PSP moderne combine généralement les fonctions d'une passerelle de paiement et d'un processeur de paiement, et fournit souvent également le compte commerçant, le tout sous un seul contrat. Ce modèle « tout-en-un » simplifie grandement le processus pour les commerçants, qui n'ont plus besoin d'établir des relations distinctes avec un fournisseur de passerelle et une banque acquéreuse. Dans certains contextes, les PSP qui agrègent diverses méthodes de paiement pour les commerçants sont également appelés agrégateurs de paiement.
   • Objectif : Offrir aux commerçants un guichet unique pour tous leurs besoins de paiement, en masquant la complexité et en simplifiant l'acceptation des paiements.
   • Exemples : Stripe, Adyen, PayPal, Mollie.

4. Fournisseurs de services de compte à compte (A2A) / Open Banking :

   • Description : Il s'agit d'une catégorie de fournisseurs de paiement en pleine croissance qui contourne entièrement les réseaux de cartes traditionnels. Les paiements A2A transfèrent les fonds directement du compte bancaire d'un consommateur au compte bancaire d'un commerçant. Ceci est souvent rendu possible par les réglementations « Open Banking » (comme la DSP2 en Europe) qui exigent que les banques fournissent un accès API sécurisé aux données des comptes clients et aux services d'initiation de paiement pour les fournisseurs tiers agréés. Ces fournisseurs construisent des interfaces conviviales au-dessus de ces API, permettant aux consommateurs de s'authentifier auprès de leur banque et d'approuver un paiement dans un flux transparent.
   • Objectif : Offrir une alternative moins coûteuse et très sécurisée aux paiements par carte en éliminant les frais d'interchange et en réduisant la fraude grâce à l'authentification au niveau de la banque.
   • Exemples : Trustly, Plaid, Tink, GoCardless, Fintecture.

Cette consolidation des rôles a des implications profondes. Bien que distincts sur le plan académique, en pratique, le point de contact unique d'un commerçant est souvent un PSP qui masque la complexité des relations sous-jacentes avec la passerelle, le processeur et l'acquéreur. Cependant, les capacités de ces PSP peuvent varier considérablement. Un PSP qui n'est qu'un revendeur des services de passerelle d'une autre entreprise a des capacités techniques et des intérêts stratégiques très différents d'un PSP full-stack avec sa propre infrastructure de traitement et ses licences d'acquisition. Cette distinction est importante lors de l'évaluation des opportunités d'intégration pour les méthodes d'authentification avancées.

De plus, une analyse plus approfondie du flux de paiement révèle un concept fondamental qui clarifie les motivations stratégiques derrière les nouvelles technologies d'authentification : le rôle de la Relying Party (RP). Dans le contexte de l'authentification FIDO et des passkeys, la Relying Party est l'entité qui est finalement responsable de la vérification de l'identité d'un utilisateur. Dans une transaction de paiement standard, l'émetteur supporte le risque financier de la fraude et est donc la Relying Party par défaut ; c'est sa décision d'approuver ou de refuser le paiement.

Les modèles architecturaux émergents pour l'intégration des passkeys peuvent être mieux compris comme une négociation stratégique pour déterminer qui agit en tant que Relying Party. Dans le modèle Secure Payment Confirmation (SPC), l'émetteur reste la RP mais permet au commerçant d'invoquer la cérémonie d'authentification. Dans l'Authentification Déléguée (DA), l'émetteur délègue explicitement la fonction de RP au commerçant ou à son PSP. Et dans le modèle centré sur le réseau, Visa et Mastercard se positionnent eux-mêmes comme une Relying Party fédérée pour les transactions de paiement des invités. Par conséquent, la question centrale pour tout fournisseur de paiement envisageant l'intégration des passkeys devient :

La réponse indique directement l'opportunité d'intégration, le décideur clé et l'objectif stratégique sous-jacent.

Pour fournir une représentation visuelle claire de ces relations, un organigramme illustrant le cycle de vie du paiement est essentiel. Un tel diagramme décrirait deux chemins distincts mais interconnectés :

1. Le flux de données (Autorisation) : Ce chemin retrace le parcours de la demande d'autorisation. Il commence par le client soumettant les détails de paiement sur le site du commerçant, passe par la passerelle de paiement vers le processeur/acquéreur, puis à travers le réseau de cartes jusqu'à l'émetteur pour une décision de risque, et enfin, la réponse d'approbation ou de refus voyage jusqu'au commerçant et au client. Tout ce processus se déroule en quelques secondes.

2. Le flux de valeur (Règlement) : Ce chemin illustre le mouvement de l'argent, qui se produit après l'autorisation. Il montre les transactions groupées en cours de compensation, avec les fonds circulant de l'émetteur, à travers le réseau, vers l'acquéreur (moins les frais d'interchange), et finalement déposés sur le compte du commerçant, un processus qui prend généralement quelques jours ouvrables. (Traitement des paiements : Comment fonctionne le traitement des paiements | Stripe)

Cette visualisation permet à tout participant de l'écosystème de localiser immédiatement sa position et de comprendre ses relations directes et indirectes avec toutes les autres parties, préparant le terrain pour une analyse détaillée des endroits où des interventions d'authentification peuvent se produire.

sequenceDiagram
    participant C as Client
    participant M as Commerçant
    participant P as Passerelle/Acquéreur
    participant N as Réseau de cartes
    participant I as Émetteur

    C->>M: 1. Soumettre les détails du paiement
    M->>P: 2. Transmettre les détails de manière sécurisée
    P->>N: 3. Demande d'autorisation
    N->>I: 4. Acheminer vers l'émetteur pour vérification
    I-->>N: 5. Réponse d'approbation/refus
    N-->>P: 6. Relayer la réponse
    P-->>M: 7. Relayer la réponse
    M-->>C: 8. Confirmer la commande ou demander un nouveau paiement

    M->>P: 9. Soumettre un lot de transactions approuvées
    P->>N: 10. Demande de compensation
    N->>I: 11. Demander les fonds à l'émetteur
    I-->>N: 12. Transférer les fonds (moins les frais d'interchange)
    N-->>P: 13. Créditer l'acquéreur avec les fonds
    P-->>M: 14. Déposer les fonds sur le compte du commerçant (moins les frais de traitement)

Bien que l'écosystème des paiements contienne des acteurs de toutes tailles, le marché du traitement et de l'acquisition est concentré autour de plusieurs grands acteurs qui varient selon les régions. Les géants mondiaux sont souvent en concurrence avec de solides champions nationaux et régionaux. Le tableau suivant donne un aperçu des principaux acteurs dans différentes zones géographiques.

Chaque achat en ligne déclenche une séquence d'événements complexe et rapide qui peut être décomposée en deux phases principales : l'autorisation et le règlement. Superposé à ce processus se trouve un protocole de sécurité critique connu sous le nom de 3-D Secure, qui est essentiel pour comprendre les défis modernes de l'authentification des paiements en ligne.

Integrate passkeys as Payment Provider via 3rd party SDK.

Read article

Le cycle de vie d'une seule transaction CNP implique un échange de données quasi instantané suivi d'un transfert de fonds plus lent.

L'autorisation est le processus de vérification que le titulaire de la carte dispose de fonds ou de crédit suffisants pour effectuer l'achat et que la transaction est légitime. Cette phase se déroule en quelques secondes et suit un chemin précis en plusieurs étapes (Traitement des paiements : Comment fonctionne le traitement des paiements | Stripe) :

1. Initiation de la transaction : Le client sélectionne ses articles, passe à la caisse et saisit les détails de sa carte de paiement (numéro de carte, date d'expiration, CVV) dans le formulaire de paiement en ligne du commerçant.

2. Transmission sécurisée : Le site web du commerçant transmet en toute sécurité ces informations à sa passerelle de paiement. La passerelle chiffre les données pour les protéger pendant le transit.

3. Acheminement vers le processeur/acquéreur : La passerelle transmet les détails de la transaction chiffrée au processeur de paiement et/ou à la banque acquéreuse du commerçant.

4. Communication avec le réseau : L'acquéreur envoie la demande d'autorisation au réseau de cartes approprié (par ex., Visa, Mastercard).

5. Vérification par l'émetteur : Le réseau de cartes achemine la demande à la banque émettrice du titulaire de la carte. Les systèmes de l'émetteur effectuent une série de vérifications : validité de la carte, solde disponible ou limite de crédit, et passage de la transaction par ses moteurs de détection de la fraude.

6. Réponse d'autorisation : Sur la base de ces vérifications, l'émetteur approuve ou refuse la transaction. Cette décision, sous la forme d'un code de réponse, est renvoyée par le même chemin : de l'émetteur au réseau de cartes, à l'acquéreur, au processeur/passerelle, et enfin au site web du commerçant.

7. Finalisation : Si la transaction est approuvée, le commerçant finalise la vente et en informe le client. Si elle est refusée, le commerçant demande au client une autre méthode de paiement.

Le règlement est le processus de transfert effectif de l'argent de l'émetteur au commerçant. Contrairement à l'autorisation, ce n'est pas instantané et se produit généralement par lots. (Traitement des paiements : Comment fonctionne le traitement des paiements | Stripe)

1. Regroupement en lots : À la fin de la journée, le commerçant envoie un fichier de lot de toutes ses autorisations approuvées à son acquéreur.
2. Compensation : L'acquéreur soumet le lot au réseau de cartes pour compensation. Le réseau trie les transactions et les transmet aux banques émettrices respectives.
3. Transfert de fonds : Les banques émettrices transfèrent les fonds pour les transactions approuvées à la banque acquéreuse, moins les frais d'interchange, qui sont des frais que l'acquéreur paie à l'émetteur pour chaque transaction.
4. Dépôt au commerçant : L'acquéreur dépose ensuite les fonds sur le compte du commerçant, moins ses propres frais de traitement. L'ensemble de ce processus de règlement prend généralement de 1 à 3 jours ouvrables.

Superposé à chaque transaction CNP se trouve un protocole de sécurité critique connu sous le nom de 3-D Secure (3DS). Géré par EMVCo, son but est de permettre à l'émetteur d'authentifier le titulaire de la carte, de réduire la fraude et de transférer la responsabilité des rejets de débit du commerçant à l'émetteur.

Le 3DS moderne (également appelé 3DS2) fonctionne en échangeant un riche ensemble de données entre le commerçant et le serveur de contrôle d'accès (ACS) de l'émetteur. Ces données permettent à l'ACS d'effectuer une évaluation des risques, conduisant à deux résultats :

• Flux sans friction : Si la transaction est jugée à faible risque, elle est approuvée silencieusement en arrière-plan sans interaction de l'utilisateur. C'est l'objectif pour la plupart des transactions.
• Flux avec challenge : Si la transaction est à haut risque ou exigée par des réglementations comme la DSP2, l'utilisateur est activement mis au défi de prouver son identité, généralement avec un OTP ou une notification d'application bancaire.

Ce « challenge » est un point de friction majeur et un champ de bataille clé pour les taux de conversion. L'objectif du secteur est de maximiser les flux sans friction tout en rendant les challenges aussi transparents que possible. C'est ce challenge à forte friction que les passkeys sont parfaitement positionnés pour résoudre, transformant un point de défaillance potentiel en une étape sécurisée et transparente.

graph TD
    A[Début : Le client procède au paiement] --> B{Le commerçant lance la vérification 3DS};
    B --> C[Le SDK du commerçant envoie des données de transaction et de l'appareil à l'ACS de l'émetteur];
    C --> D{Le moteur de risque de l'ACS analyse les données};
    D --> E{La transaction est-elle à haut risque ou la SCA est-elle obligatoire ?};
    subgraph Flux sans friction
    E -- Non --> F[Authentification approuvée passivement - Aucune interaction de l'utilisateur];
    end
    subgraph Flux avec challenge
    E -- Oui --> G[L'utilisateur est invité à relever un challenge d'authentification];
    G --> H{L'utilisateur réussit le challenge ? - ex: OTP, Push App, SPC/Passkey};
    H -- Oui --> I[Authentification approuvée];
    H -- Non --> J[Échec de l'authentification];
    end
    F --> K[La transaction se poursuit avec transfert de responsabilité à l'émetteur];
    I --> K;
    J --> L[La transaction est bloquée];

L'avènement des passkeys, basés sur la norme WebAuthn résistante au phishing de la FIDO Alliance, catalyse une refonte fondamentale de l'authentification des paiements. Cela se produit parallèlement à une tendance forte de l'industrie : les commerçants adoptent déjà les passkeys pour l'authentification standard des utilisateurs (inscription et connexion) afin de lutter contre la fraude par prise de contrôle de compte et d'améliorer l'expérience utilisateur. Cet investissement existant crée une base naturelle sur laquelle des modèles de passkeys spécifiques aux paiements peuvent être construits.

Dans ce modèle, la banque de l'utilisateur (l'émetteur) est la Relying Party (RP) ultime pour l'authentification. Le passkey est lié au domaine de la banque (par ex., banque.com), et l'utilisateur s'authentifie directement auprès de sa banque pour approuver une transaction. Ce modèle a deux variantes principales, selon que le paiement passe par les rails des cartes ou par des virements directs de compte à compte.

Dans ce modèle, la banque émettrice garde le contrôle de l'authentification, et le passkey est cryptographiquement lié au domaine de l'émetteur (par ex., banque.com). Bien qu'une simple redirection vers le site web de la banque soit possible, cela crée une mauvaise expérience utilisateur.

Qui possède le passkey ? Dans le modèle centré sur l'émetteur, l'émetteur est la Relying Party (RP).

Effet d'entraînement de l'adoption & effets de réseau : La réutilisabilité du passkey d'un émetteur crée un puissant effet d'entraînement. Une fois qu'un utilisateur crée un passkey pour sa banque, ce seul passkey peut être utilisé pour approuver de manière transparente les transactions contestées chez n'importe quel commerçant qui utilise le protocole 3DS. Cela augmente la valeur de la carte de l'émetteur à la fois pour les consommateurs (meilleure UX) et les commerçants (conversion plus élevée).

La solution conçue par l'industrie pour cela est la Secure Payment Confirmation (SPC), une norme web qui permet à un commerçant d'appeler le passkey de la banque directement sur la page de paiement, évitant ainsi une redirection. Ce processus utilise également la liaison dynamique pour lier l'authentification aux détails de la transaction, ce qui est crucial pour la SCA.

La faille stratégique : Malgré son élégance technique, le SPC n'est pas une stratégie viable aujourd'hui. Il nécessite une prise en charge par les navigateurs qui n'existe pas dans le Safari d'Apple. Sans Safari, le SPC ne peut pas être une solution universelle, ce qui le rend peu pratique pour toute mise en œuvre à grande échelle.

sequenceDiagram
    participant U as Utilisateur
    participant M as Site web du commerçant
    participant I as ACS de l'émetteur

    Note over M,I: Une vérification 3DS détermine qu'un challenge est nécessaire.
    M->>I: Demande d'autorisation (risque élevé)
    I-->>M: Lancer le challenge SPC
    Note over U,M: Le navigateur affiche une invite native à l'utilisateur.
    M->>U: Déclencher l'API SPC pour le domaine de l'émetteur (ex: banque.com)
    U->>U: L'utilisateur s'authentifie avec la biométrie de l'appareil (Face ID, etc.)
    U-->>M: Le navigateur reçoit une assertion signée pour banque.com
    M->>I: Transférer l'assertion signée pour validation
    I-->>M: Authentification réussie

Alors que les modèles précédents sont centrés sur l'écosystème des cartes, les paiements de compte à compte (A2A), suralimentés par l'Open Banking, présentent un paradigme puissant et distinct. Ce modèle contourne entièrement les rails des cartes, et son intégration avec les passkeys est particulièrement simple et efficace.

Dans ce modèle, l'utilisateur s'authentifie directement auprès de sa propre banque pour approuver un paiement. La friction de ce processus — impliquant souvent une redirection maladroite et une connexion par mot de passe — a été un obstacle majeur à l'adoption de l'A2A. Les passkeys résolvent directement ce problème central.

Qui possède le passkey ? La banque est la Relying Party (RP). Le passkey est celui que l'utilisateur a déjà créé pour ses opérations bancaires en ligne quotidiennes avec mabanque.com.

Effet d'entraînement de l'adoption & effets de réseau : L'effet d'entraînement est immense et est piloté par les banques elles-mêmes. À mesure que les banques encouragent leurs utilisateurs à passer des mots de passe aux passkeys pour se connecter à leur application ou site web bancaire principal, ces passkeys sont automatiquement prêts à être utilisés pour tout paiement Open Banking. L'utilisateur n'a rien de plus à faire. Cela rend le flux de paiement A2A aussi simple qu'un scan biométrique, augmentant considérablement son attrait et sa compétitivité par rapport aux cartes.

Comment ça marche :

1. Lors du paiement, l'utilisateur sélectionne un fournisseur A2A (par ex., Trustly, Plaid) ou sa propre banque.
2. L'utilisateur est invité à autoriser le paiement avec sa banque.
3. La banque, en tant que RP, déclenche un challenge d'authentification par passkey.
4. L'utilisateur s'authentifie avec Face ID, une empreinte digitale ou un code PIN.
5. La banque confirme le paiement en toute sécurité, et les fonds sont transférés directement sur le compte du commerçant.

Ce modèle ne s'inscrit pas dans les quatre autres car il n'implique pas de réseau de cartes, de 3DS, de SPC ou d'Authentification Déléguée. C'est un flux centré sur la banque où le fournisseur A2A agit comme la couche d'orchestration entre le commerçant et le propre système d'authentification de la banque, désormais compatible avec les passkeys.

sequenceDiagram
    participant U as Utilisateur
    participant M as Site web du commerçant
    participant A2A as Fournisseur A2A (ex: Trustly)
    participant B as Banque de l'utilisateur

    U->>M: Sélectionne "Payer depuis ma banque"
    M->>A2A: Lancer le paiement A2A
    A2A->>U: Inviter l'utilisateur à sélectionner sa banque
    U->>A2A: Sélectionne la banque
    A2A->>B: Demander l'autorisation de paiement
    Note over B,U: La banque demande à l'utilisateur une authentification par passkey
    U->>B: S'authentifier avec le passkey pour mabanque.com
    B-->>A2A: Authentification réussie, paiement autorisé
    A2A-->>M: Confirmer le paiement
    M-->>U: Confirmer la commande

L'Authentification Déléguée représente une rupture plus radicale avec le modèle traditionnel. Permise par la version 2.2 de 3DS et soutenue par des programmes spécifiques des réseaux de cartes, la DA est un cadre où un émetteur peut déléguer formellement la responsabilité d'effectuer la SCA à un tiers de confiance, le plus souvent un grand commerçant, un PSP ou un fournisseur de portefeuille numérique.

Qui possède le passkey ? Dans ce modèle, le commerçant ou son PSP est la Relying Party (RP). Le passkey est créé pour le domaine du commerçant (par ex., amazon.com) et est utilisé pour la connexion au compte.

Pour être éligible à la DA, l'authentification initiale effectuée par le commerçant doit être entièrement conforme aux exigences de la SCA. Selon les directives de l'Autorité bancaire européenne sur l'authentification forte du client, il ne s'agit pas d'une simple connexion ; elle doit avoir la même force qu'une authentification que l'émetteur effectuerait lui-même. Les passkeys, avec leurs fortes propriétés cryptographiques, sont une technologie idéale pour atteindre ce niveau élevé. Cependant, un point crucial d'incertitude réglementaire demeure concernant les passkeys synchronisés. Alors que les passkeys liés à l'appareil répondent clairement à l'élément de « possession » de la SCA, les régulateurs comme l'ABE n'ont pas encore émis d'avis définitif sur la question de savoir si les passkeys synchronisés, qui sont portables sur le compte cloud d'un utilisateur, répondent à l'exigence stricte d'être liés de manière unique à un seul appareil. C'est une considération clé pour toute stratégie de DA en Europe.

Subscribe to our Passkeys Substack for the latest news.

Subscribe

Dans ce modèle, l'événement d'authentification se déplace en amont dans le parcours client. Au lieu de se produire à la fin du processus de paiement comme un challenge 3DS, il se produit au début, lorsque le client se connecte à son compte sur le site web ou l'application du commerçant. Si le commerçant utilise un passkey pour la connexion, il peut transmettre la preuve de cette authentification réussie et conforme à la SCA à l'émetteur dans l'échange de données 3DS. L'émetteur, ayant pré-établi une relation de confiance avec ce commerçant, peut alors utiliser ces informations pour accorder une exemption et contourner entièrement son propre flux de challenge. Cela peut aboutir à un paiement biométrique véritablement transparent en un clic pour les utilisateurs connectés.

Effet d'entraînement de l'adoption & effets de réseau : L'effet d'entraînement ici est piloté par la relation client directe du commerçant. À mesure que les commerçants adoptent les passkeys pour la connexion afin de réduire la fraude par prise de contrôle de compte et d'améliorer l'UX, ils construisent une base d'utilisateurs équipés de passkeys. Cela crée une voie naturelle pour tirer parti de ces passkeys pour la DA dans les paiements, débloquant une expérience de paiement supérieure. L'effet de réseau est le plus fort pour les PSP qui peuvent agir en tant que RP pour plusieurs commerçants, permettant potentiellement à un seul passkey d'être utilisé sur un réseau de magasins, créant une puissante incitation pour d'autres commerçants à rejoindre l'écosystème de ce PSP.

Les réseaux de cartes encouragent activement ce modèle par le biais de programmes dédiés. Le cadre Visa's Guide Authentication, par exemple, est conçu pour être utilisé avec la DA afin de permettre aux commerçants d'effectuer la SCA au nom de l'émetteur. De même, le programme Identity Check Express de Mastercard permet aux commerçants d'authentifier le consommateur dans le propre flux du commerçant. Ce modèle reflète la vision stratégique des grands commerçants et PSP :

Cependant, ce pouvoir s'accompagne de responsabilités. En vertu de la réglementation européenne, la DA est traitée comme une « externalisation », ce qui signifie que le commerçant ou le PSP assume la responsabilité des transactions frauduleuses et doit se conformer à des exigences strictes en matière de conformité et de gestion des risques.

sequenceDiagram
    participant U as Utilisateur
    participant M as Site web du commerçant
    participant I as ACS de l'émetteur

    Note over U,M: Étape 1 : L'utilisateur se connecte au site du commerçant.
    U->>M: S'authentifier avec le passkey pour commercant.com
    M-->>U: Connexion réussie (la SCA a été effectuée)

    Note over U,I: Étape 2 : Plus tard, lors du paiement...
    U->>M: Clique sur "Payer"
    M->>I: Demande d'autorisation (incluant la preuve de la SCA préalable)
    I->>I: Vérifie la preuve d'authentification déléguée
    I-->>M: Approuver la transaction (aucun challenge 3DS nécessaire)

Ce modèle est une initiative stratégique majeure menée par les réseaux de cartes (Visa, Mastercard) pour s'approprier et standardiser l'expérience de paiement des invités. Ils ont construit leurs propres services de passkeys basés sur FIDO, tels que le Visa Payment Passkey Service, au-dessus du cadre Click to Pay.

Qui possède le passkey ? Dans le modèle centré sur le réseau, le réseau de cartes est la Relying Party. Le passkey est créé pour le domaine du réseau (par ex., visa.com).

Effet d'entraînement de l'adoption & effets de réseau : Ce modèle possède l'effet de réseau le plus puissant. Un seul passkey créé pour un réseau de cartes est instantanément réutilisable chez chaque commerçant qui prend en charge Click to Pay, créant une immense valeur pour le consommateur et entraînant un cercle vertueux classique de marché biface.

sequenceDiagram
    participant U as Utilisateur
    participant M as Site web du commerçant
    participant N as Réseau de cartes (Click to Pay)
    participant I as Émetteur

    Note over M,U: Flux de paiement pour invité
    U->>M: Clique sur le bouton "Click to Pay"
    M->>N: Lancer le flux Click to Pay
    Note over N,U: L'utilisateur est invité à s'authentifier auprès du réseau.
    N->>U: Le navigateur déclenche l'invite de passkey pour reseau.com
    U->>U: L'utilisateur s'authentifie avec la biométrie de l'appareil
    U-->>N: Assertion signée retournée au réseau
    N->>N: Valide l'utilisateur, récupère le jeton de carte stocké
    N->>I: Demande d'autorisation avec le jeton du réseau
    I-->>N: Approuver/Refuser
    N-->>M: Envoyer la réponse d'authentification au commerçant

Ce modèle est centré sur les grands fournisseurs de services de paiement (PSP) qui exploitent leurs propres portefeuilles destinés aux consommateurs, tels que PayPal ou Stripe (avec Link). Dans cette approche, le PSP est la Relying Party, et il possède l'ensemble du flux d'authentification et de paiement.

Qui possède le passkey ? Dans le modèle centré sur le PSP, le PSP est la Relying Party (RP). Le passkey est créé pour le domaine du PSP (par ex., paypal.com) et sécurise le compte de l'utilisateur au sein de l'écosystème de ce PSP.

Effet d'entraînement de l'adoption & effets de réseau : Ce modèle a également un effet de réseau extrêmement fort. Un passkey créé pour le portefeuille d'un grand PSP est réutilisable chez chaque commerçant qui accepte ce PSP, créant une puissante incitation pour les utilisateurs et les commerçants à rejoindre l'écosystème du PSP.

sequenceDiagram
    participant U as Utilisateur
    participant M as Site web du commerçant
    participant P as PSP / Portefeuille (ex: PayPal)

    U->>M: Sélectionne "Payer avec PSP" lors du paiement
    M->>U: Redirige ou affiche une popup pour la connexion au PSP
    Note over P,U: L'utilisateur s'authentifie directement auprès du PSP
    U->>P: S'authentifier avec le passkey pour psp.com
    P-->>U: Authentification réussie
    P-->>M: Envoyer la garantie de paiement / OK au commerçant
    M-->>U: Confirmer la commande

Une question courante et critique est de savoir si un passkey créé pour un modèle peut être réutilisé dans un autre. Par exemple, un passkey qu'un utilisateur crée pour sa banque à utiliser avec SPC peut-il être utilisé pour se connecter au site web d'un commerçant dans un flux DA ? La réponse est non, et cela met en évidence le rôle central de la Relying Party (RP).

Un passkey est fondamentalement une information d'identification cryptographique liant un utilisateur à une RP spécifique. La clé publique est enregistrée sur les serveurs de la RP, et la clé privée reste sur l'appareil de l'utilisateur. L'authentification est l'acte de prouver la possession de cette clé privée à cette RP spécifique.

• Dans le modèle centré sur l'émetteur (SPC), la RP est l'émetteur (par ex., chase.com). Le passkey est enregistré auprès de la banque.
• Dans le modèle centré sur le commerçant (DA), la RP est le commerçant ou son PSP (par ex., amazon.com ou stripe.com). Le passkey est enregistré auprès du commerçant pour la connexion.
• Dans le modèle centré sur le réseau, la RP est le réseau de cartes (par ex., visa.com). Le passkey est enregistré auprès du réseau pour Click to Pay.
• Dans le modèle centré sur le PSP, la RP est le fournisseur de services de paiement (par ex., paypal.com). Le passkey est enregistré auprès du portefeuille ou du service du PSP.

Parce que le passkey est cryptographiquement lié au domaine de la RP, un passkey enregistré avec chase.com ne peut pas être validé par amazon.com. Ce sont des identités numériques distinctes d'un point de vue technique. Un utilisateur devra créer un passkey distinct pour chaque Relying Party avec laquelle il interagit.

La « réutilisabilité » et la « portabilité » qui rendent les passkeys puissants proviennent de deux domaines :

1. Synchronisation des passkeys : Des services comme le Trousseau iCloud et le Gestionnaire de mots de passe Google synchronisent les passkeys sur les appareils d'un utilisateur. Ainsi, un passkey créé pour chase.com sur un téléphone est automatiquement disponible sur l'ordinateur portable de l'utilisateur, mais il n'est toujours que pour chase.com.
2. Fédération : C'est le modèle utilisé par Click to Pay. Un commerçant peut faire confiance au réseau (par ex., Visa) pour authentifier l'utilisateur. L'utilisateur s'authentifie auprès de Visa (la RP), et Visa signale ensuite au commerçant que l'utilisateur est légitime. C'est analogue à « Se connecter avec Google », où un site web fait confiance à Google pour gérer la connexion. Le passkey n'est pas réutilisé par le commerçant ; c'est l'événement d'authentification qui l'est.

Par conséquent, les quatre modèles ne sont pas seulement des chemins techniques différents, mais des stratégies d'identité concurrentes. Chacun propose une entité différente pour être la principale Relying Party pour l'authentification des paiements, et les utilisateurs finiront probablement par avoir des passkeys pour leurs émetteurs, leurs commerçants préférés, leurs portefeuilles PSP, et leurs réseaux de cartes.

Bien que ces modèles offrent de nouvelles façons puissantes de s'authentifier, ils introduisent également un défi opérationnel critique qui est souvent négligé : la restauration des passkeys et la récupération de compte. Les passkeys synchronisés, gérés par des plateformes comme le Trousseau iCloud et le Gestionnaire de mots de passe Google, atténuent le problème d'un seul appareil perdu. Cependant, ils ne résolvent pas le problème d'un utilisateur perdant tous ses appareils ou changeant d'écosystème (par ex., de iOS à Android). Dans ces scénarios, un processus sécurisé et convivial pour que l'utilisateur prouve son identité par d'autres moyens et enregistre un passkey sur un nouvel appareil est un prérequis non négociable pour tout déploiement à grande échelle. Comme le note la propre documentation de Mastercard, un utilisateur changeant d'appareil devra créer un nouveau passkey, un processus qui peut nécessiter une validation d'identité par sa banque. (Mastercard® payment passkeys – Foire aux questions) Cela souligne qu'une solution de passkey complète doit englober non seulement la cérémonie d'authentification elle-même, mais aussi l'ensemble du cycle de vie de la gestion des passkeys, y compris des flux de récupération robustes.

Les quatre modèles architecturaux - centré sur l'émetteur (SPC), centré sur le commerçant (DA), centré sur le réseau (Click to Pay) et centré sur le PSP - se traduisent par des opportunités d'intégration distinctes pour différents acteurs de l'écosystème des paiements. Chaque approche présente un ensemble unique de compromis entre l'expérience utilisateur, la complexité de la mise en œuvre, la responsabilité et le contrôle. Cette section fournit une analyse pragmatique de ces points d'intégration pour guider la prise de décision stratégique.

• Opportunité : L'opportunité principale pour les émetteurs et les fournisseurs de serveurs de contrôle d'accès (ACS) qui les servent est d'améliorer le « flux de challenge » 3DS en remplaçant les méthodes héritées comme les OTP et les mots de passe par la Secure Payment Confirmation (SPC).
• Prospect cible : Cette intégration s'adresse aux fournisseurs d'ACS (par ex., Netcetera, CA Technologies/Arcot), aux fournisseurs de technologie desservant le secteur des émetteurs et aux grandes banques émettrices qui exploitent leurs propres plateformes ACS en interne.
• Rôle du fournisseur : Un fournisseur de passkey-as-a-service comme Corbado offrirait un serveur FIDO ou un module logiciel intégrable entièrement conforme à la spécification SPC. Ce module serait intégré à la plateforme ACS principale, permettant à l'ACS de déclencher un flux SPC lorsque son moteur de risque détermine qu'un challenge est nécessaire.
• Avantages :
  • Haute sécurité & conformité réglementaire : L'utilisation par le SPC de la liaison dynamique cryptographique fournit une preuve solide et vérifiable du consentement de l'utilisateur pour des détails de transaction spécifiques, répondant directement aux exigences clés des réglementations comme la SCA de la DSP2.
  • Expérience utilisateur améliorée par rapport aux OTP : S'authentifier avec un scan biométrique rapide est nettement plus rapide et moins sujet aux erreurs que de saisir manuellement un code reçu par SMS, ce qui peut entraîner une augmentation mesurable des taux de conversion des challenges.
  • Modèle de responsabilité clair : Ce modèle s'intègre parfaitement dans le cadre 3DS existant. Lorsqu'une transaction est authentifiée avec succès via SPC, la responsabilité des rejets de débit frauduleux passe du commerçant à l'émetteur, tout comme avec les autres méthodes de challenge 3DS.
• Inconvénients :
  • Toujours un flux de « challenge » : Bien que le SPC améliore l'expérience du challenge, il ne l'élimine pas. L'utilisateur est toujours interrompu lors du paiement par une étape d'authentification. Cette expérience, bien que meilleure, est intrinsèquement plus frictionnelle qu'un flux « sans friction » complètement passif ou un flux d'Authentification Déléguée réussi.
  • Dépendant de la logique de risque de l'émetteur : L'adoption et la fréquence d'utilisation du SPC dépendent entièrement de l'ACS de l'émetteur et de son moteur RBA. L'ACS décide toujours si et quand déclencher un challenge.
  • Retard de préparation de l'écosystème : Une utilisation généralisée nécessite que l'écosystème adopte la version 2.3 ou supérieure d'EMV 3DS, et que les navigateurs des utilisateurs prennent en charge l'API Web SPC. Comme discuté, le manque de prise en charge universelle, en particulier sur les plateformes mobiles comme iOS, est un inhibiteur important.

• Opportunité : Mettre en œuvre l'Authentification Déléguée (DA), permettant au commerçant ou à son PSP d'effectuer la SCA au moment de la connexion du client, créant ainsi une expérience de paiement totalement transparente pour les utilisateurs authentifiés qui reviennent.
• Prospect cible : Ceci est le plus pertinent pour les grands commerçants de commerce électronique, les PSP full-stack (comme Stripe ou Adyen) et les fournisseurs de portefeuilles numériques qui ont une relation directe avec le consommateur et ont déjà investi dans un système de compte et de connexion sécurisé.
• Rôle du fournisseur : Un fournisseur de passkeys fournirait la solution d'authentification par passkey de base pour le flux de connexion du commerçant. De manière cruciale, la solution doit également fournir les sorties de données et les preuves cryptographiques nécessaires qui peuvent être intégrées dans la demande d'authentification 3DS pour signaler à l'émetteur qu'une SCA conforme a déjà eu lieu.
• Avantages :
  • Expérience utilisateur optimale : Ce modèle offre le flux de paiement le plus fluide possible pour les utilisateurs authentifiés. Il déplace l'étape d'authentification vers une partie naturelle et familière du parcours utilisateur (connexion au compte) et peut éliminer entièrement le challenge 3DS, permettant un véritable paiement en un clic.
  • Potentiel de conversion le plus élevé : En supprimant le dernier point de friction lors du paiement, la DA a le potentiel de générer l'augmentation la plus significative des taux de conversion des paiements. Un projet pilote de Stripe avec des titulaires de cartes Wise a rapporté une augmentation de 7 % de la conversion pour les transactions utilisant leur solution DA.
  • Renforce la relation commerçant-client : L'ensemble de l'expérience d'authentification et de paiement reste dans l'environnement de marque du commerçant, renforçant sa relation directe avec le client.
• Inconvénients :
  • Complexité commerciale et responsabilité : La DA n'est pas un simple changement technique. Elle nécessite des accords explicites, souvent bilatéraux, entre les émetteurs et les commerçants/PSP qu'ils choisissent de faire confiance. De plus, la partie qui effectue l'authentification déléguée assume la responsabilité de la fraude, et l'arrangement est soumis à une surveillance réglementaire stricte en tant que forme d'« externalisation », ce qui entraîne une charge de conformité importante.
  • Dépendant de la confiance de l'émetteur : L'ensemble du modèle repose sur la volonté d'un émetteur de faire confiance au processus d'authentification du commerçant. Cette confiance ne sera probablement accordée initialement qu'aux partenaires les plus grands, les plus sécurisés et les plus stratégiques.
  • Adoption fragmentée : Contrairement à une norme universelle, la DA sera adoptée sur une base par émetteur, par commerçant, ce qui conduira à un paysage fragmenté où l'expérience n'est pas cohérente pour tous les titulaires de cartes chez tous les commerçants.

• Opportunité : Permettre l'expérience de passkey de marque du réseau pour le volume massif de transactions de paiement des invités.
• Prospect cible : Les passerelles de paiement et les PSP qui souhaitent offrir une solution de paiement pour invités moderne et standardisée à leur base de clients commerçants.
• Rôle du fournisseur : Le fournisseur peut agir comme un partenaire d'intégration crucial. Étant donné que Visa et Mastercard ont développé des services de passkeys distincts et propriétaires, un fournisseur de passkeys peut offrir un SDK unifié ou une « couche d'orchestration » qui masque les complexités de l'intégration avec les API distinctes de chaque réseau, fournissant un point d'intégration unique et simplifié pour le PSP.
• Avantages :
  • Solution de paiement pour invités standardisée : Click to Pay avec des passkeys résout un problème majeur de l'industrie : le paiement des invités à haute friction et à fort taux d'abandon. Il offre une expérience cohérente, reconnaissable et digne de confiance.
• Adoption pilotée par le réseau : Visa et Mastercard mettent tout leur poids derrière cette initiative, ce qui stimulera une adoption rapide de la part des émetteurs, des commerçants et des consommateurs. Les PSP subiront une pression concurrentielle pour la prendre en charge.
• Charge de responsabilité et de sécurité simplifiée : Le réseau de cartes, agissant en tant que Relying Party fédérée, assume la charge principale de la construction et de la sécurisation de l'infrastructure d'authentification FIDO, simplifiant la posture de sécurité et de responsabilité pour le commerçant.
• Inconvénients :
  • Perte de contrôle et de marque : Le principal inconvénient est que le commerçant et son PSP cèdent le contrôle de l'expérience utilisateur de paiement au réseau de cartes. Le paiement devient un « paiement Visa » ou un « paiement Mastercard », avec leur marque et leur interface utilisateur.
  • Potentiel de désintermédiation : En devenant le fournisseur d'identité central pour le commerce électronique, les réseaux pourraient affaiblir la relation directe de données et de marque entre le commerçant et le client au fil du temps.
  • Implémentation en « boîte noire » : Le fonctionnement interne du serveur FIDO du réseau, des moteurs de risque et de la logique d'authentification est opaque pour le commerçant et le PSP. Ils s'intègrent à un service dont ils ne contrôlent ni les règles ni l'expérience utilisateur.

La transition vers une authentification des paiements basée sur les passkeys n'est pas un exercice théorique ; elle est activement menée par les plus grands acteurs du secteur. Leurs stratégies, programmes pilotes et déclarations publiques donnent une vision claire de la dynamique concurrentielle et de la trajectoire probable de l'adoption.

Become part of our Passkeys Community for updates & support.

Join

• PayPal : En tant que membre fondateur de la FIDO Alliance et fournisseur de paiement natif du numérique, PayPal a été l'un des premiers à adopter les passkeys de manière très agressive. Ils ont commencé un déploiement mondial progressif fin 2022, en commençant par les États-Unis et en s'étendant à l'Europe et à d'autres régions. Leur mise en œuvre est une étude de cas des meilleures pratiques, tirant parti de fonctionnalités comme l'UI conditionnelle pour créer une expérience de connexion en un clic qui demande automatiquement un passkey lorsque l'utilisateur interagit avec le champ de connexion. PayPal a rapporté un succès précoce significatif, y compris des taux de réussite de connexion accrus et une réduction substantielle de la fraude par prise de contrôle de compte (ATO). Leur stratégie comprend également une promotion active de l'évolution réglementaire en Europe, en faveur d'une approche de la SCA basée sur les résultats qui reconnaît la sécurité inhérente des passkeys synchronisés.

• Visa : La stratégie de Visa est centrée sur son Visa Payment Passkey Service, une plateforme complète construite sur sa propre infrastructure de serveur FIDO. Ce service est conçu comme un modèle fédéré, où Visa gère la complexité de l'authentification au nom de ses partenaires émetteurs. Le principal véhicule de ce service est Click to Pay, positionnant Visa pour s'approprier l'expérience de paiement des invités. Le message de Visa va au-delà des simples paiements, présentant son service de passkey comme un élément fondamental d'une solution d'identité numérique plus large qui peut être utilisée dans tout l'écosystème du commerce. Ils pilotent activement la technologie, y compris le SPC, et rapportent que l'authentification biométrique peut réduire les taux de fraude de 50 % par rapport aux OTP par SMS.

• Mastercard : Mastercard a reflété l'orientation stratégique de Visa sur un service au niveau du réseau, en lançant son propre Payment Passkey Service basé sur son Token Authentication Service (TAS) existant. Leur stratégie de mise sur le marché a été caractérisée par une série de pilotes mondiaux très médiatisés. En août 2024, ils ont annoncé un pilote majeur en Inde, en partenariat avec les plus grands agrégateurs de paiement du pays (Juspay, Razorpay, PayU), un grand commerçant en ligne (bigbasket) et une banque de premier plan (Axis Bank). Cela a été suivi par des lancements sur d'autres marchés clés, notamment en Amérique latine avec les partenaires Sympla et Yuno et aux EAU avec Tap Payments. Cette approche révèle une stratégie claire : s'associer avec des agrégateurs de l'écosystème (PSP, passerelles) pour atteindre rapidement l'échelle. Mastercard a pris l'engagement public audacieux de supprimer progressivement la saisie manuelle des cartes en Europe d'ici 2030, pour passer entièrement à des transactions tokenisées et authentifiées par passkey.

Les stratégies de ces pionniers révèlent une dynamique critique. L'expérience de paiement des invités, historiquement un domaine fragmenté et à forte friction, est devenue la tête de pont stratégique pour les réseaux de cartes. En créant une solution supérieure, compatible avec les passkeys, pour les utilisateurs invités via Click to Pay, les réseaux peuvent établir une relation d'identité directe avec les consommateurs. Une fois qu'un consommateur crée un passkey au niveau du réseau lors d'un paiement en tant qu'invité, cette identité devient portable pour tous les autres commerçants prenant en charge Click to Pay. Cela permet aux réseaux d'« acquérir » efficacement les identités des utilisateurs et d'offrir une expérience transparente sur le web, un mouvement puissant pour capturer le rôle central de fournisseur d'identité pour le commerce numérique.

Les efforts concertés de ces acteurs majeurs, combinés aux tendances technologiques et réglementaires plus larges, indiquent un changement accéléré et inévitable dans l'authentification des paiements.

• La disparition inévitable des OTP : La poussée de l'ensemble du secteur en faveur des passkeys signale le début de la fin pour les codes à usage unique par SMS en tant que méthode d'authentification principale. Les OTP sont de plus en plus considérés comme un handicap en raison à la fois de leur expérience utilisateur à forte friction et de leur vulnérabilité croissante aux attaques comme le SIM swapping et les campagnes de phishing sophistiquées. À mesure que les passkeys se généraliseront, la dépendance aux OTP sera reléguée à un mécanisme de secours ou de récupération, plutôt qu'à une méthode de challenge principale.

• Vents réglementaires favorables : Bien que les réglementations actuelles comme la DSP2 aient créé le mandat initial pour la SCA, leurs définitions rigides basées sur des catégories ont créé une certaine incertitude autour des nouvelles technologies comme les passkeys synchronisés. Les mises à jour réglementaires à venir, telles que la DSP3 en Europe, devraient adopter une approche plus neutre sur le plan technologique et axée sur les résultats. Cela favorisera probablement les méthodes d'authentification qui sont manifestement résistantes au phishing, offrant une voie réglementaire plus claire pour l'adoption large des passkeys en tant que méthode SCA conforme.

• L'essor de l'identité de paiement fédérée : Les mouvements stratégiques de Visa et Mastercard ne visent pas seulement à sécuriser les paiements ; ils visent à établir un nouveau paradigme pour l'identité numérique. En construisant des services de passkeys fédérés, ils se positionnent comme les fournisseurs d'identité centraux et de confiance pour l'ensemble de l'écosystème du commerce numérique. Cela peut être considéré comme une réponse stratégique directe aux puissantes plateformes d'identité contrôlées par les Big Tech (par ex., Apple ID, Google Account). L'avenir des paiements en ligne est inextricablement lié à cette bataille plus large pour savoir qui possédera et gérera l'identité des consommateurs sur le web.

Bien que la transaction de paiement de base soit l'objectif principal, la technologie des passkeys est sur le point d'éliminer les frictions et d'améliorer la sécurité dans un large éventail de services financiers adjacents. De nombreux processus qui reposent encore sur des mots de passe ou des OTP maladroits sont des candidats idéaux pour une mise à niveau vers les passkeys.

• Provisionnement de portefeuille numérique : Le processus d'ajout d'une carte de crédit ou de débit à un portefeuille numérique comme Apple Pay ou Google Pay nécessite souvent une étape de vérification, comme un OTP par SMS envoyé par l'émetteur. C'est un point de friction qui peut être remplacé par un flux de passkey.
• Open Banking & liaison de comptes : Le fondement de l'Open Banking est de permettre à des applications tierces (comme des applications de budgétisation ou d'autres services fintech) d'accéder aux données du compte bancaire d'un utilisateur. Cela nécessite que l'utilisateur s'authentifie auprès de sa banque, un processus qui est souvent fastidieux. Les passkeys offrent un moyen beaucoup plus fluide et sécurisé d'accorder ce consentement, remplaçant les redirections maladroites et la saisie manuelle de mot de passe par une simple authentification biométrique.
• Sécurisation des jetons Card-on-File (CoF) : Au-delà de la simple sécurisation de la connexion à un compte avec une carte enregistrée, les passkeys peuvent être utilisés pour sécuriser l'acte initial d'enregistrement de la carte. Un challenge au moment où un utilisateur ajoute sa carte fournit une preuve solide que le titulaire légitime de la carte est présent, réduisant la fraude due à l'utilisation de numéros de carte de crédit volés pour créer des profils CoF en vue d'une utilisation abusive ultérieure.
• BNPL et prêts instantanés : Les services Buy Now, Pay Later et autres formes de crédit instantané impliquent à la fois une intégration initiale et des évaluations de risque par transaction. Les passkeys sont déjà utilisés par des pionniers comme Klarna pour remplacer les mots de passe pour la connexion. Ils peuvent également être utilisés comme méthode d'authentification renforcée (step-up) pour les achats de grande valeur ou lorsqu'un utilisateur demande une nouvelle ligne de crédit, fournissant un signal d'intention de l'utilisateur plus fort et à plus faible friction que les méthodes traditionnelles.

L'essor des stablecoins (comme l'USDC ou l'EURC) présente un nouveau rail de paiement basé sur la blockchain. Cependant, un obstacle majeur à l'adoption généralisée a été la mauvaise expérience utilisateur et la sécurité des portefeuilles crypto. Traditionnellement, ces portefeuilles sont sécurisés par une « phrase de récupération (seed phrase) » (une liste de 12 à 24 mots) que l'utilisateur doit noter et protéger. C'est incroyablement peu convivial et fait de la récupération de compte un cauchemar.

Les passkeys sont sur le point de transformer complètement cette expérience. L'industrie s'oriente vers un modèle où la clé privée qui contrôle les actifs sur la chaîne est sécurisée par le passkey de l'appareil.

• Élimination des phrases de récupération : Au lieu de noter une phrase de récupération, le portefeuille d'un utilisateur est créé et sécurisé par la sécurité intégrée de son appareil. Pour autoriser une transaction, comme l'envoi de stablecoins à un commerçant, l'utilisateur s'authentifie simplement avec Face ID ou un scan d'empreintes digitales. Cela rend un paiement crypto aussi transparent et sécurisé que l'utilisation d'Apple Pay.
• Permettre la récupération de compte : En utilisant des architectures de portefeuille comme les « comptes intelligents (smart accounts) » (ou « abstraction de compte »), des mécanismes de récupération peuvent être intégrés. Un utilisateur pourrait désigner des amis, de la famille ou des institutions de confiance comme « gardiens » qui peuvent l'aider à récupérer son compte s'il perd tous ses appareils, une amélioration considérable par rapport à la nature tout ou rien des phrases de récupération.

Cette évolution pourrait réduire considérablement la friction et le risque associés à l'utilisation de stablecoins pour les paiements, les rendant potentiellement une alternative plus viable et grand public aux rails de paiement traditionnels.

L'analyse du paysage des paiements et des modèles émergents d'intégration des passkeys révèle plusieurs opportunités distinctes et exploitables. Pour une entreprise d'authentification passkey-first comme Corbado, l'objectif est de permettre à chaque acteur de l'écosystème d'atteindre ses objectifs stratégiques en fournissant la technologie fondamentale nécessaire pour naviguer dans cette transition.

• L'objectif : Moderniser le flux de challenge 3DS, en remplaçant les OTP à haute friction pour augmenter les taux de conversion, améliorer la sécurité et répondre de front à la conformité PSD2/PSD3.
• Comment Corbado aide : Nous fournissons un module d'authentification par passkey intégrable conçu pour une intégration simple dans les plateformes de serveur de contrôle d'accès (ACS) existantes. Nous aidons les fournisseurs d'ACS à offrir une expérience de challenge de premier ordre et à faible friction qui profite à l'ensemble de leur réseau de banques et de commerçants.

• L'objectif : Posséder le parcours client de bout en bout et offrir l'expérience de paiement ultime grâce à l'Authentification Déléguée (DA), en éliminant le challenge 3DS pour les utilisateurs connectés.
• Comment Corbado aide : Corbado fournit une solution complète d'activation de la DA. Cela inclut non seulement un système de connexion par passkey de premier ordre, mais aussi les outils et les API pour générer les preuves cryptographiques requises par les émetteurs pour accorder des exemptions de DA. Nous agissons en tant que partenaire technologique, permettant aux commerçants et aux PSP de maximiser la conversion et de renforcer leur marque.

• L'objectif : Offrir sans effort les dernières fonctionnalités exigées par les réseaux comme Click to Pay et maintenir la compétitivité des plateformes sans efforts de développement coûteux et redondants.
• Comment Corbado aide : Corbado offre une couche d'« Orchestration de Passkeys ». Nous aidons à l'intégration des services de Visa et de Mastercard et fournissons également des moyens pour que les commerçants puissent simultanément offrir leur propre solution de passkey pour proposer un paiement invité moderne.

• L'objectif : Sécuriser l'ensemble de l'écosystème du portefeuille, en créant une expérience de connexion et de paiement transparente et sécurisée qui est portable sur l'ensemble du réseau de commerçants du PSP.
• Comment Corbado aide : Nous fournissons l'infrastructure de passkey de base qui permet aux grands PSP et fournisseurs de portefeuilles de devenir la Relying Party centrale pour leurs utilisateurs. En intégrant notre solution, ils peuvent remplacer les mots de passe pour leurs connexions de portefeuille (par ex., pour PayPal, Stripe Link ou Klarna). Cela non seulement sécurise le compte contre la prise de contrôle, mais rationalise également l'autorisation de paiement en une étape biométrique en un clic, créant une expérience d'authentification puissante et de marque qui fidélise les utilisateurs et attire les commerçants.

Cette analyse met en évidence un facteur de succès critique pour toute stratégie basée sur les passkeys : l'adoption par les utilisateurs. Une solution qui peut augmenter de manière démontrable la création de passkeys et leur utilisation d'une base de ~10 % à plus de 50 % répond au principal défi auquel est confronté le déploiement de ces nouveaux modèles d'authentification. Sur la base de l'écosystème et des objectifs stratégiques de ses acteurs, les organisations et secteurs suivants sont des candidats idéaux pour une telle solution.

• Problème principal : La forte friction dans le flux de challenge 3DS entraîne des paniers abandonnés et des pertes de revenus pour les commerçants, rendant la carte d'un émetteur moins compétitive.
• Comment l'adoption aide : Une plus grande adoption des passkeys se traduit directement par des challenges plus réussis et à faible friction. Cela améliore les taux de conversion, renforce la sécurité et rend les informations de paiement de l'émetteur plus précieuses pour les commerçants et les consommateurs.
• Candidats idéaux : Les grandes banques émettrices (Bank of America, Chase, Barclays), et les fournisseurs d'ACS qui fournissent leur technologie 3DS (Netcetera, CA Technologies).

• Problème principal : Le désir de posséder le parcours client et d'éliminer la friction au paiement est souvent bloqué par la nécessité d'un challenge 3DS.
• Comment l'adoption aide : L'ensemble du modèle d'Authentification Déléguée (DA) repose sur la capacité du commerçant à authentifier fortement l'utilisateur lors de la connexion. Une forte adoption des passkeys n'est pas seulement une amélioration mais une condition préalable à une stratégie de DA réussie. Permettre la DA pour une majorité d'utilisateurs est un puissant différenciateur concurrentiel.
• Candidats idéaux : Les leaders mondiaux du commerce électronique (Amazon, Walmart), les services d'abonnement numérique (Netflix, Spotify), et les PSP full-stack qui les servent (Stripe, Adyen, Checkout.com).

• Problème principal : Le succès des services d'identité stratégiques au niveau du réseau comme Click to Pay dépend directement de l'adhésion généralisée des consommateurs.
• Comment l'adoption aide : Une expérience de création de passkeys facile et attrayante est essentielle à la croissance de ces réseaux d'identité fédérés. Les réseaux pourraient intégrer une solution axée sur l'adoption dans les SDK qu'ils fournissent aux commerçants et aux PSP, accélérant ainsi le déploiement et l'adoption de leurs services de passkeys propriétaires.
• Candidats idéaux : Visa (pour son Visa Payment Passkey Service) et Mastercard (pour son Token Authentication Service).

• Problème principal : La valeur du portefeuille (par ex., PayPal, Stripe Link, Klarna) est directement liée au nombre d'utilisateurs actifs et engagés. La friction à la connexion ou au paiement affaiblit l'écosystème.
• Comment l'adoption aide : Favoriser l'adoption massive des passkeys pour le propre domaine du portefeuille (paypal.com, etc.) est un objectif stratégique central. Cela réduit la fraude, améliore l'expérience utilisateur et renforce l'effet de réseau, rendant le portefeuille plus attrayant pour les consommateurs et les commerçants.
• Candidats idéaux : Les PSP mondiaux avec des offres de portefeuille (PayPal, Stripe Link, Klarna), et les grands acteurs régionaux (Mercado Pago, Block).

• Problème principal : Les schémas de paiement nationaux subissent des pressions pour moderniser leur infrastructure et fournir des solutions d'identité numérique afin de rester compétitifs face aux entreprises technologiques mondiales.
• Comment l'adoption aide : Ces réseaux doivent s'assurer que leurs nouveaux services de paiement et d'identité numériques sont largement utilisés. Pour un acteur comme Australian Payments Plus (AP+), stimuler l'adoption de services comme PayTo (pour les paiements en temps réel) et ConnectID (pour l'identité numérique) est un objectif stratégique central. Une solution qui stimule l'inscription aux passkeys est un catalyseur direct de cette stratégie.
• Candidats idéaux : Australian Payments Plus (AP+) et d'autres organismes nationaux d'infrastructure de paiement.

Les grandes entreprises technologiques exploitent des portefeuilles numériques sophistiqués qui jouent un rôle unique et puissant dans l'écosystème des paiements. Elles se situent à l'intersection de l'appareil de l'utilisateur, de son identité de plateforme et des rails de paiement traditionnels, ce qui leur confère une position et une stratégie distinctes concernant l'adoption des passkeys.

Apple Pay et Google Pay sont mieux compris comme une couche de technologie et d'authentification qui se superpose à l'infrastructure de carte de paiement existante. Ils n'émettent pas de cartes ni ne traitent les transactions eux-mêmes, mais stockent et transmettent en toute sécurité des versions tokenisées des cartes de paiement existantes d'un utilisateur.

• Position dans l'écosystème : Ils agissent comme un « conteneur » sécurisé pour les cartes d'un utilisateur. Lorsqu'un utilisateur paie en ligne, au lieu de saisir les détails de sa carte, il sélectionne Apple Pay ou Google Pay. Le portefeuille transmet alors un jeton sécurisé à usage unique à la passerelle de paiement du commerçant. La transaction passe toujours par l'acquéreur, le réseau et l'émetteur comme d'habitude.
• Comment ils tirent parti des passkeys : Ils authentifient l'utilisateur avec un scan du visage ou une empreinte digitale auprès du portefeuille, l'autorisant à libérer le jeton de paiement. C'est un événement d'authentification puissant et à faible friction, mais il est distinct de l'authentification 3DS/SCA dont l'émetteur de la carte est responsable. Un émetteur peut toujours techniquement déclencher un challenge 3DS sur une transaction initiée via Apple Pay, bien que la forte authentification au niveau de l'appareil rende cela moins probable.
• Opportunités & Comment ils bénéficient de l'adoption :
  • Rationalisation du provisionnement du portefeuille : Le processus d'ajout d'une carte à un portefeuille nécessite souvent un OTP de l'émetteur. C'est un point de friction clé. Apple et Google pourraient travailler avec les émetteurs pour remplacer cela par un flux de passkey dans l'application, en utilisant un passkey pour vérifier l'utilisateur instantanément. Une solution d'adoption pour leurs partenaires émetteurs rendrait leurs portefeuilles plus faciles à charger et à utiliser.
  • Devenir une autorité déléguée : Leur objectif stratégique ultime est de tirer parti de leur puissante authentification de plateforme pour devenir l'authentificateur définitif et de confiance pour les paiements. Si les émetteurs reconnaissent formellement l'authentification Apple Pay ou Google Pay comme répondant aux exigences de la SCA, ils pourraient devenir des autorités déléguées, éliminant entièrement le challenge 3DS. Une forte adoption de leurs propres passkeys de plateforme est essentielle pour en faire une proposition convaincante pour les émetteurs.

Amazon Pay et Meta Pay fonctionnent davantage comme un commerçant traditionnel avec un très grand portefeuille Card-on-File (CoF) qui peut être utilisé sur des sites tiers et au sein de leurs propres écosystèmes (par ex., pour le commerce social sur Instagram).

• Position dans l'écosystème : Ils sont un exemple classique du modèle centré sur le commerçant. Les utilisateurs stockent leurs cartes de paiement directement dans leur compte Amazon ou Meta. Lorsqu'ils utilisent Amazon Pay ou Meta Pay pour payer, ils s'authentifient sur leur compte principal, et cette plateforme traite le paiement en leur nom.
• Comment ils tirent parti des passkeys : Leur utilisation principale des passkeys est de sécuriser la connexion au compte principal de l'utilisateur (par ex., le passkey pour Amazon.com). En faisant passer leurs vastes bases d'utilisateurs des mots de passe aux passkeys pour la connexion au compte, ils réduisent considérablement le risque de fraude par prise de contrôle de compte et protègent les précieuses informations de paiement stockées.
• Opportunités & Comment ils bénéficient de l'adoption : Leur avantage est direct et immédiat. Une solution qui favorise l'adoption des passkeys pour leurs comptes d'utilisateurs principaux :
  1. Réduit la fraude : Diminue massivement la surface d'attaque pour la prise de contrôle de compte, une source majeure de pertes financières et d'insatisfaction des clients.
  2. Réduit la friction : Crée une expérience de connexion et de paiement transparente et sécurisée, ce qui est prouvé pour augmenter les taux de conversion. Pour ces acteurs, une solution qui stimule l'adoption des passkeys est un investissement direct dans la sécurité et la performance de leur activité de commerce principale. Ils sont donc des candidats idéaux pour une telle solution.

Le secteur des paiements est à l'aube d'une nouvelle ère d'authentification. Le compromis de longue date entre la sécurité et la commodité est enfin résolu par la maturation et l'adoption de la technologie des passkeys. L'analyse présentée dans ce rapport démontre qu'il ne s'agit pas d'un changement monolithique mais d'une transition complexe avec de multiples visions concurrentes pour l'avenir. Les émetteurs cherchent à améliorer le cadre 3DS existant avec le SPC ; les grands commerçants et les PSP visent à prendre le contrôle de l'expérience grâce à l'Authentification Déléguée ou en construisant leurs propres écosystèmes de portefeuilles ; et les réseaux de cartes créent une nouvelle couche d'identité fédérée avec Click to Pay. Chaque modèle rivalise pour devenir la nouvelle norme de confiance de l'utilisateur et de commodité.