Authentification PCI DSS 4.0 : Les Passkeys

Le paysage numérique est en constante évolution, et avec lui, la sophistication et la fréquence des cybermenaces ne cessent d'augmenter. Les données de cartes de paiement restent une cible de choix pour les acteurs malveillants, ce qui rend des normes de sécurité robustes essentielles pour toute organisation qui les manipule. La norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS) sert depuis longtemps de référence pour la protection des données des titulaires de cartes. Sa dernière version, PCI DSS 4.0, représente une avancée significative, répondant directement aux menaces modernes par, entre autres améliorations, des exigences d'authentification considérablement renforcées.

Alors que les organisations font face à ces nouvelles exigences, les technologies émergentes offrent des solutions prometteuses. Les passkeys, basés sur les normes de l'Alliance FIDO (Fast Identity Online) et le protocole WebAuthn, sont à l'avant-garde de cette nouvelle vague d'authentification. Ils offrent une approche sans mot de passe, résistante au phishing, et améliorent la manière dont l'accès aux données sensibles est sécurisé. Cet article analyse les changements critiques apportés par la norme PCI DSS 4.0, notamment en matière d'authentification sécurisée, explore les capacités de l'authentification par passkeys et fournit une feuille de route pour tirer parti de cette technologie afin d'atteindre et de maintenir la conformité.

Cette exploration soulève deux questions importantes pour les organisations qui naviguent dans ce nouveau domaine :

1. Authentification : Alors que la norme PCI DSS 4.0 relève la barre en matière d'authentification, comment les organisations peuvent-elles répondre efficacement à ces nouvelles exigences strictes sans surcharger les utilisateurs ou les équipes de sécurité ?
2. Passkeys et conformité PCI : Les technologies émergentes comme les passkeys peuvent-elles satisfaire les contrôles d'authentification de la norme PCI DSS 4.0, améliorer la sécurité et l'efficacité opérationnelle ?

Cet article vise à fournir des réponses, guidant les professionnels de la technologie vers un avenir plus sûr et plus conforme.

Pour apprécier le rôle des passkeys dans le paysage actuel de la conformité, il est crucial de comprendre le cadre PCI DSS et l'évolution significative marquée par la version 4.0.

La norme de sécurité des données PCI est une norme mondiale de sécurité de l'information conçue pour protéger les données de paiement. Elle s'applique à toutes les entités qui stockent, traitent ou transmettent des données de titulaires de cartes, ce qui inclut les commerçants, les processeurs, les acquéreurs, les émetteurs et les fournisseurs de services. La norme a été développée par les principales marques de cartes de paiement (American Express, Discover Financial Services, JCB International, MasterCard et Visa) qui ont formé le Conseil des normes de sécurité PCI (PCI SSC) le 7 septembre 2006 pour gérer son évolution continue. La norme PCI DSS se compose d'un ensemble complet d'exigences techniques et opérationnelles, formant une base pour la protection des données de paiement tout au long de leur cycle de vie.

Le PCI SSC fonctionne comme un forum mondial, réunissant les parties prenantes de l'industrie des paiements pour développer et promouvoir l'adoption de normes de sécurité des données et de ressources pour des paiements sécurisés dans le monde entier. Au-delà de la norme PCI DSS, le Conseil gère un ensemble de normes traitant de divers aspects de la sécurité des paiements. Sa mission est d'améliorer la sécurité des données de comptes de paiement à l'échelle mondiale en développant des normes et des services de soutien qui favorisent l'éducation, la sensibilisation et une mise en œuvre efficace par les parties prenantes.

Les normes PCI DSS 4.0, officiellement publiées en mars 2022, avec une révision mineure ultérieure (v4.0.1) pour répondre aux commentaires des parties prenantes, marquent la mise à jour la plus importante de la norme depuis des années. Le principal moteur de cette évolution était la nécessité de faire face au paysage de plus en plus sophistiqué des cybermenaces et à l'environnement technologique changeant au sein de l'industrie des paiements.

Les objectifs principaux de la norme PCI DSS 4.0 sont :

• Répondre aux besoins de sécurité évolutifs de l'industrie du paiement : S'assurer que la norme reste efficace contre les menaces actuelles et émergentes, telles que le phishing basé sur l'IA.
• Promouvoir la sécurité comme un processus continu : Déplacer l'accent de la conformité ponctuelle vers une discipline de sécurité continue.
• Améliorer les méthodes et procédures de validation : Accroître la rigueur et la cohérence des évaluations de conformité.
• Ajouter de la flexibilité et soutenir des méthodologies supplémentaires : Donner aux organisations plus de latitude dans la manière dont elles atteignent les objectifs et les résultats en matière de sécurité.

La norme PCI DSS 4.0 introduit plusieurs changements fondamentaux qui ont un impact sur la manière dont les organisations abordent la conformité :

Accent sur les résultats de sécurité plutôt que sur les contrôles prescriptifs

Un changement essentiel est le passage de contrôles principalement prescriptifs à un accent mis sur les résultats de sécurité. La norme elle-même détaille cette flexibilité :

Ce changement signifie que si la norme PCI DSS 3.2.1 offrait des instructions détaillées sur ce qu'il fallait faire, la version 4.0 permet aux organisations plus de flexibilité sur la manière de répondre aux exigences. Les entreprises peuvent mettre en œuvre les contrôles les mieux adaptés à leur environnement, à condition de pouvoir démontrer que ces contrôles atteignent les objectifs de sécurité déclarés. Ceci est particulièrement pertinent pour l'adoption de technologies innovantes comme les passkeys, qui ne s'intégraient peut-être pas parfaitement dans les descriptions de contrôle plus anciennes et plus rigides. Cette flexibilité, cependant, s'accompagne de l'attente que les organisations mèneront des évaluations des risques approfondies et justifieront clairement les méthodologies de contrôle choisies.

Sécurité continue (Business-as-Usual)

Un autre principe clé de la norme PCI DSS 4.0 est la promotion de la sécurité en tant que processus continu, intégré aux activités courantes (Business-as-Usual ou BAU). La norme détaille cela dans la Section 5 :

Cet accent sur les processus "business-as-usual" (BAU) signifie que les organisations doivent intégrer la sécurité dans leurs activités de routine. Il s'agit de favoriser une culture où la sécurité n'est pas une réflexion après coup ou une course annuelle, mais une partie intégrante des opérations, garantissant une surveillance continue, des évaluations régulières et des postures de sécurité adaptatives pour assurer une protection durable des données des titulaires de cartes. Pour les implémentations de passkeys, cela se traduit par une vigilance constante dans le suivi de leur efficacité, des modèles d'adoption par les utilisateurs et de toute menace émergente, faisant de la sécurité un effort soutenu plutôt qu'un exercice de conformité ponctuel.

Mise en œuvre personnalisée et analyse des risques ciblée

Une nouvelle fonctionnalité importante de la norme PCI DSS 4.0 est l'option formalisée de mise en œuvre personnalisée, qui est intrinsèquement liée à une évaluation rigoureuse des risques. La norme impose ce lien dans l'exigence 12.3.2 :

Cette option formalisée permet aux organisations d'atteindre les objectifs de sécurité en utilisant de nouvelles technologies et des contrôles innovants adaptés à leurs environnements uniques, plutôt que d'adhérer strictement à des méthodes prescriptives. Cependant, comme le souligne la citation, cette flexibilité repose sur la réalisation d'une analyse des risques ciblée pour chaque contrôle personnalisé. Cette analyse doit être documentée, approuvée par la direction générale et examinée annuellement. Un évaluateur tiers (Évaluateur de sécurité qualifié ou QSA) valide ensuite ces contrôles personnalisés en examinant l'approche documentée de l'organisation, y compris l'analyse des risques, et en développant des procédures de test spécifiques. Cette voie est un catalyseur clé pour des solutions comme les passkeys, permettant aux organisations de tirer parti efficacement de leurs fonctionnalités de sécurité avancées, à condition qu'elles puissent démontrer par une analyse des risques que leur approche atteint les objectifs de sécurité. La capacité de personnaliser la mise en œuvre, soutenue par une analyse des risques robuste, reflète une compréhension que l'évolution rapide des menaces et des technologies de défense rend les contrôles rigides et prescriptifs moins adaptables au fil du temps.

Délais de transition

La norme PCI DSS 3.2.1 est restée active aux côtés de la v4.0 jusqu'au 31 mars 2024, date à laquelle elle a été retirée. Les nouvelles exigences introduites dans la norme PCI DSS 4.0 ont été considérées comme des meilleures pratiques jusqu'au 31 mars 2025. Après cette date, ces nouvelles exigences deviendront obligatoires pour toutes les évaluations. Cette approche progressive a donné aux organisations une fenêtre pour comprendre, planifier et mettre en œuvre les changements.

Ces changements signalent collectivement une approche plus mature, adaptable et axée sur les risques pour la sécurité des cartes de paiement, préparant le terrain pour l'adoption de mécanismes d'authentification plus forts et plus modernes.

Le non-respect des exigences PCI DSS n'est pas une simple négligence ; il entraîne des conséquences importantes et multiples qui peuvent gravement affecter la stabilité financière, la situation juridique et la réputation d'une organisation.

La conséquence la plus directe de la non-conformité est l'imposition de sanctions financières. Ces amendes sont généralement infligées par les banques acquéreuses et les processeurs de paiement, et non directement par le PCI SSC. Les pénalités peuvent être substantielles, allant de 5 000 $ à 100 000 $ par mois, en fonction du volume de transactions traitées (qui détermine le niveau du commerçant, par exemple, Niveau 1 pour plus de 6 millions de transactions annuelles contre Niveau 4 pour moins de 20 000 transactions de commerce électronique) et de la durée et de la gravité de la non-conformité. Par exemple, un commerçant de niveau 1 non conforme pendant plusieurs mois est plus susceptible de faire face à des pénalités dans la partie supérieure de cette fourchette, tandis que les petites entreprises de niveau 4 pourraient encourir des amendes plus proches de 5 000 $ par mois.

Il est crucial de comprendre que ces amendes peuvent être un fardeau mensuel récurrent. Cette pression financière persistante, potentiellement aggravée par une augmentation des frais de transaction que les processeurs de paiement peuvent facturer aux entreprises non conformes, signifie que le coût cumulé de la non-conformité dépasse de loin l'investissement requis pour atteindre et maintenir la conformité. Cela recadre la conformité non pas comme un simple centre de coûts, mais comme un investissement essentiel pour l'atténuation des risques. Investir dans des mesures de sécurité robustes, y compris une authentification forte comme les passkeys, devient une décision financièrement prudente pour éviter ces coûts plus importants, souvent imprévisibles et potentiellement paralysants.

Au-delà des amendes directes, la non-conformité peut entraîner de sérieux défis juridiques, surtout si elle aboutit à une violation de données. Les clients dont les données sont compromises peuvent intenter des poursuites, et les marques de cartes peuvent également engager des actions en justice. Un état de non-conformité peut rendre considérablement plus facile pour les plaignants de démontrer la négligence de la part de l'organisation, ce qui peut entraîner des règlements et des jugements coûteux.

L'une des conséquences les plus dommageables, bien que moins quantifiable, est peut-être le préjudice porté à la réputation d'une organisation. Un seul manquement à la conformité, en particulier celui qui conduit à une violation de données, peut gravement éroder la confiance des clients. Une fois perdue, cette confiance est difficile à regagner, ce qui entraîne souvent une perte de clientèle, une perte d'activité au profit des concurrents et des dommages à long terme à l'image de la marque. Des violations répétées ou graves peuvent même conduire à la révocation des privilèges de traitement des paiements d'une organisation par les marques de cartes ou les banques acquéreuses, coupant ainsi leur capacité à accepter les paiements par carte. Cela souligne l'importance de considérer la conformité non seulement comme une exigence technique, mais aussi comme un élément fondamental de la confiance en la marque et de la continuité des activités.

Si la non-conformité contribue à une violation de données, l'organisation sera probablement responsable de coûts d'indemnisation substantiels en plus des amendes et des frais juridiques. Ces coûts peuvent inclure la fourniture aux clients concernés de services tels que la surveillance gratuite du crédit, une assurance contre le vol d'identité et le remboursement des frais frauduleux ou des frais de service. De plus, le coût de réémission des cartes de paiement compromises, estimé entre 3 et 5 dollars par carte, peut rapidement atteindre des millions de dollars pour les violations affectant un grand nombre de titulaires de cartes. Inversement, si une organisation subit une violation tout en étant pleinement conforme à la norme PCI DSS, les amendes associées peuvent être réduites, voire éliminées, car la conformité démontre une diligence raisonnable et un engagement envers la sécurité, plutôt qu'une négligence.

L'éventail des résultats négatifs potentiels met en évidence que la conformité PCI DSS est un aspect indispensable des opérations commerciales modernes pour toute entité impliquée dans l'écosystème des cartes de paiement.

L'exigence 8 de la norme PCI DSS a toujours été une pierre angulaire de la norme. Avec la version 4.0, ses stipulations ont été considérablement renforcées, reflétant le rôle essentiel d'une authentification robuste pour empêcher l'accès non autorisé aux données sensibles des titulaires de cartes et aux systèmes qui les traitent.

L'objectif principal de l'exigence 8 est de garantir que chaque individu accédant aux composants du système au sein de l'environnement des données de titulaires de cartes (CDE) ou s'y connectant puisse être identifié de manière unique et authentifié de manière robuste. Ceci est important pour maintenir l'intégrité et la sécurité des données des titulaires de cartes en empêchant l'accès non autorisé et en s'assurant que toutes les actions peuvent être retracées jusqu'à un utilisateur spécifique et connu, établissant ainsi une responsabilité individuelle.

Une évolution majeure de la norme PCI DSS 4.0 est l'expansion et la fortification des exigences d'authentification multifacteur (MFA) :

• MFA universelle pour l'accès au CDE : Contrairement à la norme PCI DSS 3.2.1, qui imposait principalement la MFA pour l'accès administratif et tout accès à distance au CDE, la version 4.0 exige la MFA pour tout accès au CDE. Cela inclut l'accès par les administrateurs, les utilisateurs généraux et les fournisseurs tiers, que l'accès provienne de l'intérieur ou de l'extérieur du réseau. Cette expansion significative souligne la reconnaissance par le PCI SSC de la MFA comme un contrôle de sécurité fondamental.
  La norme spécifie ces exigences :

  Extraits de l'exigence 8

  "8.4.1 La MFA est mise en œuvre pour tout accès non-console au CDE pour le personnel ayant un accès administratif." 

  "8.4.3 La MFA est mise en œuvre pour tout accès à distance provenant de l'extérieur du réseau de l'entité qui pourrait accéder au CDE ou avoir un impact sur celui-ci." 

• Exigences relatives aux facteurs : Les implémentations de MFA doivent utiliser au moins deux des trois types de facteurs d'authentification reconnus :

  • Quelque chose que vous savez (par exemple, mot de passe, PIN)
  • Quelque chose que vous possédez (par exemple, un jeton, une carte à puce ou un appareil détenant un passkey)
  • Quelque chose que vous êtes (par exemple, des données biométriques comme une empreinte digitale ou une reconnaissance faciale). Il est crucial que ces facteurs soient indépendants, ce qui signifie que la compromission d'un facteur ne compromet pas les autres.

• Intégrité du système MFA : Les systèmes MFA doivent être conçus pour résister aux attaques par rejeu (où un attaquant intercepte et réutilise des données d'authentification) et ne doivent accorder l'accès qu'après que tous les facteurs d'authentification requis ont été validés avec succès.

• Pas de contournement non autorisé : La MFA ne doit pas pouvoir être contournée par un utilisateur, y compris les administrateurs, sauf si une exception spécifique et documentée est accordée par la direction au cas par cas pour une période limitée.

• L'authentification résistante au phishing comme exception : La norme PCI DSS 4.0 introduit également des directives supplémentaires concernant les facteurs d'authentification résistants au phishing, qui peuvent, dans certains cas, répondre à l'intention de la MFA.

  Extraits de l'exigence 8

  "Cette exigence ne s'applique pas aux... comptes d'utilisateurs qui sont uniquement authentifiés avec des facteurs d'authentification résistants au phishing." — Notes d'applicabilité à 8.4.2 

  "Authentification résistante au phishing... Des exemples d'authentification résistante au phishing incluent FIDO2." — Annexe G, Glossaire, définition de l'authentification résistante au phishing 

  Les implications de l'authentification résistante au phishing, comme le soulignent ces extraits, seront explorées plus en détail dans la section suivante (4.3).

La norme PCI DSS 4.0 met un accent notable sur l'utilisation de méthodes d'authentification résistantes au phishing. C'est une réponse directe à la prévalence et au succès des attaques de phishing dans la compromission des identifiants traditionnels.

• L'authentification résistante au phishing comme alternative/complément à la MFA :

  • Un développement essentiel sous l'exigence 8.4.2 est que les méthodes d'authentification résistantes au phishing peuvent être utilisées à la place de la MFA traditionnelle pour tout accès non administratif au CDE provenant de l'intérieur du réseau de l'entité. C'est une disposition importante pour des technologies comme les passkeys, qui sont intrinsèquement résistantes au phishing. Cela signale que le PCI SSC considère que ces méthodes avancées fournissent un niveau d'assurance comparable, voire supérieur, à certaines combinaisons de MFA traditionnelles pour ce cas d'utilisation spécifique.

• Cependant, pour l'accès administratif au CDE (Exigence 8.4.1) et pour tout accès à distance provenant de l'extérieur du réseau de l'entité vers le CDE (Exigence 8.4.3), bien que l'authentification résistante au phishing soit fortement recommandée, elle doit être combinée avec au moins un autre facteur d'authentification pour répondre à l'exigence de MFA. Cette distinction nécessite une approche nuancée de la mise en œuvre des passkeys, potentiellement une stratégie à plusieurs niveaux où les passkeys seuls suffisent pour les utilisateurs internes généraux, mais les passkeys combinés à un autre facteur sont utilisés pour les scénarios d'accès à plus haut risque.

• Reconnaissance de FIDO et avis d'experts : La norme mentionne spécifiquement l'authentification basée sur FIDO (qui sous-tend les passkeys) comme une méthode privilégiée pour atteindre la MFA, en grande partie en raison de ses caractéristiques robustes de résistance au phishing. Des informations supplémentaires sur ce sujet ont été partagées dans l'épisode du podcast du PCI SSC "Coffee with the Council", "Passwords Versus Passkeys: A Discussion with the FIDO Alliance" (https://blog.pcisecuritystandards.org/coffee-with-the-council-podcast-passwords-versus-passkeys-a-discussion-with-the-fido-alliance).

  Dans le podcast, Andrew Jamieson, VP Distinguished Standards Architect au PCI SSC, a souligné la valeur de ces technologies :

  "Je voudrais réitérer que je pense que l'authentification résistante au phishing est une excellente technologie. C'est quelque chose qui peut résoudre beaucoup des problèmes que nous avons avec les mots de passe. Et je suggérerais fortement que lorsque les gens examinent les technologies qu'ils vont mettre en œuvre pour l'authentification, ils se penchent sur l'authentification résistante au phishing et ce qu'elle peut apporter, mais aussi qu'ils comprennent que c'est un peu différent de ce à quoi les gens sont habitués et qu'ils cherchent comment l'intégrer correctement et en toute sécurité dans leur architecture d'authentification globale."

  Megan Shamas, directrice du marketing à la FIDO Alliance (voir Direction de FIDO), a souligné le changement fondamental que ces technologies représentent et la nécessité pour les politiques de s'adapter :

  "C'est fondamentalement différent de ce à quoi nous sommes habitués avec les mots de passe plus un facteur, un facteur, un facteur, et nous avons fait évoluer la technologie et maintenant les gens doivent aussi faire évoluer leurs exigences et leurs politiques en conséquence. Et cela aidera vraiment les organisations à se mettre sur la bonne voie pour se débarrasser de l'authentification vulnérable au phishing."

  Cette perspective commune souligne l'évolution de l'industrie vers des méthodes d'authentification plus sûres et modernes.

Bien que la norme PCI DSS 4.0 pousse fortement vers la MFA et les méthodes résistantes au phishing, elle renforce également les exigences pour les mots de passe et les phrases de passe s'ils sont encore utilisés :

• Longueur et complexité accrues : La longueur minimale du mot de passe est passée de sept caractères dans la v3.2.1 à 12 caractères dans la v4.0 (ou au moins 8 caractères si le système ne prend pas en charge 12). Les mots de passe doivent également inclure un mélange de caractères numériques et alphabétiques.
• Fréquence de changement de mot de passe : Les mots de passe doivent être changés au moins tous les 90 jours s'ils sont le seul facteur utilisé pour l'authentification (c'est-à-dire qu'aucune MFA n'est appliquée à ce compte pour cet accès). Cette exigence peut être levée si la MFA est mise en œuvre pour l'accès, ou si l'organisation emploie une authentification continue et basée sur les risques qui évalue dynamiquement l'accès en temps réel.

Le renforcement significatif des règles sur les mots de passe, associé aux mandats étendus de MFA et à l'approbation claire des approches résistantes au phishing, signale une direction stratégique de la part du PCI SSC : réduire systématiquement la dépendance aux mots de passe comme mécanisme d'authentification principal ou unique. Les mots de passe sont depuis longtemps reconnus comme un maillon faible de la sécurité, et la norme PCI DSS 4.0 cherche activement à atténuer leurs risques inhérents en rendant leur utilisation autonome plus stricte et moins attrayante, tout en promouvant simultanément des alternatives plus fortes et modernes.

Pour illustrer clairement ces changements, le tableau suivant compare les aspects clés de l'authentification entre les normes PCI DSS 3.2.1 et 4.0 :

Tableau 1 : Principales différences en matière d'authentification : PCI DSS 3.2.1 vs 4.0

Cette attention accrue portée à l'authentification dans la norme PCI DSS 4.0 donne une direction claire aux organisations pour réévaluer leurs stratégies actuelles et explorer des solutions plus résilientes comme les passkeys.

Basés sur les normes de la FIDO Alliance, les passkeys offrent une alternative fondamentalement plus sûre et conviviale aux mots de passe traditionnels et même à certaines formes de MFA héritées.

Un passkey est un identifiant numérique qui permet aux utilisateurs de se connecter à des sites web et des applications sans avoir à saisir de mot de passe. Ils sont construits sur les normes FIDO2, un ensemble de spécifications ouvertes développées par la FIDO Alliance. WebAuthn est une norme du World Wide Web Consortium (W3C) qui permet aux navigateurs et aux applications web d'effectuer une authentification forte et résistante au phishing en utilisant des paires de clés cryptographiques. Essentiellement, les passkeys sont une mise en œuvre de ces normes FIDO2, tirant parti de WebAuthn pour les interactions dans les environnements web. Ils remplacent les mots de passe traditionnels par des clés cryptographiques uniques stockées en toute sécurité sur l'appareil d'un utilisateur, comme un smartphone, un ordinateur ou une clé de sécurité matérielle.

La sécurité des passkeys repose sur la cryptographie à clé publique. Lorsqu'un utilisateur enregistre un passkey auprès d'un service (la "Relying Party" ou RP), une paire de clés cryptographiques unique est générée :

• Une clé privée, qui est stockée en toute sécurité sur l'appareil de l'utilisateur. Cette clé peut résider dans un module de sécurité matériel (par exemple, un TPM ou une Secure Enclave). La clé privée ne quitte jamais ce stockage sécurisé (sauf dans le cas des passkeys synchronisés, comme nous le détaillerons plus tard).
• Une clé publique, qui est envoyée et stockée par la Relying Party (le site web ou le service d'application) et associée au compte de l'utilisateur.

Lors de l'authentification, le processus est le suivant :

1. La Relying Party envoie un "challenge" unique (une donnée aléatoire) à l'appareil de l'utilisateur.
2. Pour déverrouiller et utiliser la clé privée, l'utilisateur effectue une vérification locale sur son appareil. Cela implique généralement l'utilisation d'un identifiant biométrique (comme une empreinte digitale ou un scan facial), la saisie d'un PIN d'appareil ou le dessin d'un schéma. Il est important de noter que ces données biométriques ou ce PIN ne quittent jamais l'appareil de l'utilisateur et ne sont pas transmises à la Relying Party.
3. Une fois déverrouillée, la clé privée sur l'appareil signe le challenge reçu de la Relying Party.
4. Ce challenge signé (l'"assertion") est renvoyé à la Relying Party.
5. La Relying Party utilise la clé publique stockée correspondant à cet utilisateur pour vérifier la signature sur l' assertion. Si la signature est valide, l'authentification est réussie.

Il existe principalement deux types de passkeys :

• Passkeys synchronisés : Ces passkeys peuvent être synchronisés sur les appareils de confiance d'un utilisateur à l'aide de gestionnaires d'identifiants basés sur le cloud comme le Trousseau iCloud d'Apple ou le Gestionnaire de mots de passe Google. Cela offre une grande commodité, permettant à un passkey créé sur un appareil d'être utilisé sur un autre appareil appartenant au même utilisateur au sein du même écosystème.
• Passkeys liés à l'appareil : Ces passkeys sont liés à un authentificateur physique spécifique, tel qu'une clé de sécurité matérielle USB (par exemple, YubiKey) ou une application sur un téléphone particulier. Le passkey ne quitte pas cet appareil spécifique.

Ce fondement cryptographique et ce processus de vérification de l'utilisateur local offrent des avantages de sécurité inhérents qui répondent directement à de nombreux vecteurs d'attaque courants.

La conception des passkeys offre plusieurs avantages de sécurité par rapport aux méthodes d'authentification traditionnelles :

• Résistance au phishing : C'est un avantage fondamental. Les passkeys sont liés cryptographiquement à l'origine spécifique du site web (l'ID de la Relying Party ou RP ID) pour laquelle ils ont été créés. Si un utilisateur est trompé et visite un faux site de phishing qui imite un site légitime, le navigateur ou le système d'exploitation reconnaîtra que le domaine actuel ne correspond pas au RP ID associé au passkey. Par conséquent, le passkey ne fonctionnera tout simplement pas, et l'authentification échouera. Cela déplace le fardeau de l'identification des tentatives de phishing de l'utilisateur humain, souvent faillible, vers les protocoles de sécurité robustes de la technologie elle-même.
• Pas de secrets partagés : Avec les passkeys, il n'y a pas de "secret partagé" comme un mot de passe qui est connu à la fois par l'utilisateur et le serveur, et qui peut être volé. La clé privée, qui est le composant essentiel pour l'authentification, ne quitte jamais l'appareil sécurisé de l'utilisateur. La clé publique, stockée par le serveur, est mathématiquement liée à la clé privée mais ne peut pas être utilisée pour dériver la clé privée ou pour usurper l'identité de l'utilisateur. Cela signifie que même si le serveur d'une Relying Party est piraté et que les clés publiques sont volées, elles sont inutiles pour les attaquants sans les clés privées correspondantes.
• Protection contre le credential stuffing et les attaques par rejeu : Les attaques de credential stuffing, où les attaquants utilisent des listes de noms d'utilisateur et de mots de passe volés pour tenter d'accéder à divers comptes, sont rendues inefficaces car il n'y a pas de mots de passe à voler et à réutiliser. De plus, chaque authentification par passkey implique un mécanisme de challenge-réponse unique. La signature générée par la clé privée est spécifique au challenge reçu pour cette session de connexion particulière, ce qui rend impossible pour un attaquant d'intercepter une assertion d'authentification et de la rejouer plus tard pour obtenir un accès non autorisé.
• Réduction significative du risque de prise de contrôle de compte (ATO) : En neutralisant efficacement le phishing, en éliminant les secrets partagés et en empêchant le credential stuffing et les attaques par rejeu, les passkeys réduisent considérablement les principaux vecteurs d'attaque utilisés pour la prise de contrôle de compte. Comme les attaquants ne peuvent pas facilement obtenir ou utiliser à mauvais escient les identifiants d'authentification de l'utilisateur, la probabilité d'une prise de contrôle de compte réussie s'effondre.

Ce changement fondamental de l'authentification basée sur la connaissance (ce qu'un utilisateur sait, comme un mot de passe) à une combinaison d'authentification basée sur la possession (ce qu'un utilisateur a – son appareil avec la clé sécurisée) et basée sur l'inhérence ou la connaissance locale (ce qu'un utilisateur est via la biométrie, ou ce qu'il sait localement via un PIN d'appareil) brise fondamentalement les chaînes d'attaque qui reposent sur la compromission de secrets partagés utilisables à distance. Contrairement à de nombreuses mesures de sécurité qui ajoutent de la friction, les passkeys améliorent souvent l'expérience utilisateur en offrant des connexions plus rapides et plus simples sans avoir besoin de se souvenir de mots de passe complexes, un double avantage qui peut stimuler l'adoption et améliorer la posture de sécurité globale.

Les solides fonctionnalités de sécurité inhérentes aux passkeys s'alignent remarquablement bien avec les contrôles d'authentification renforcés imposés par la norme PCI DSS 4.0, en particulier ceux décrits dans l'exigence 8. Les passkeys non seulement répondent à ces exigences, mais dépassent souvent la sécurité fournie par les méthodes traditionnelles.

Les passkeys satisfont intrinsèquement aux principes fondamentaux de l'authentification multifacteur telle que définie par la norme PCI DSS 4.0 :

• Nature multifacteur : Un événement d'authentification par passkey combine généralement "quelque chose que vous possédez" (l'appareil physique contenant la clé privée, comme un smartphone ou une clé de sécurité matérielle) avec soit "quelque chose que vous êtes" (une donnée biométrique comme une empreinte digitale ou un scan facial utilisé pour déverrouiller le passkey sur l'appareil) soit "quelque chose que vous savez" (un PIN ou un schéma d'appareil). Ces facteurs sont indépendants ; compromettre un PIN d'appareil, par exemple, ne compromet pas intrinsèquement la clé cryptographique si l'appareil lui-même reste sécurisé.
• Résistance au phishing : Comme nous l'avons largement discuté, les passkeys sont résistants au phishing par conception en raison de leur nature cryptographique et de leur liaison à l'origine. La clé privée n'est jamais exposée à la Relying Party ni transmise sur le réseau, et le passkey ne fonctionnera que sur le domaine légitime pour lequel il a été enregistré. Cela s'aligne directement sur l'accent mis par la norme PCI DSS 4.0 sur l'atténuation des menaces de phishing.
• Résistance au rejeu : Chaque authentification par passkey implique un challenge cryptographique unique du serveur, qui est ensuite signé par la clé privée. La signature résultante n'est valide que pour ce challenge et cette session spécifiques, ce qui la rend résistante aux attaques par rejeu. Cela satisfait à l'exigence 8.5, qui impose que les systèmes MFA empêchent de telles attaques.

Comparés aux mots de passe traditionnels, les passkeys offrent un modèle de sécurité largement supérieur. Les mots de passe sont vulnérables à une multitude d'attaques : phishing, ingénierie sociale, credential stuffing dû à la réutilisation des mots de passe, attaques par force brute et vol dans des bases de données piratées. Les passkeys éliminent ces vulnérabilités en supprimant entièrement le secret partagé (le mot de passe) de l'équation. L'authentification repose sur une preuve cryptographique de possession d'une clé privée, elle-même protégée par la sécurité locale de l'appareil, plutôt que sur un secret qui peut être facilement volé ou deviné.

Le Conseil des normes de sécurité PCI a reconnu le potentiel de la technologie des passkeys. Les informations tirées du podcast "Coffee with the Council" du PCI SSC, présentant une discussion avec la FIDO Alliance, clarifient leur position :

• Pour l'accès non administratif à l'environnement des données de titulaires de cartes (CDE) depuis l'intérieur du réseau de l'entité (Exigence 8.4.2), le PCI SSC indique que des méthodes d'authentification résistantes au phishing comme les passkeys peuvent être utilisées à la place de la MFA traditionnelle. C'est une reconnaissance significative de la force des passkeys.
• Pour l'accès administratif au CDE (Exigence 8.4.1) et pour tout accès à distance au réseau (Exigence 8.4.3), bien que les passkeys (en tant qu'authentification résistante au phishing) soient recommandés, ils doivent être utilisés en conjonction avec un autre facteur d'authentification pour satisfaire à l'exigence de MFA. Cela suggère une approche basée sur les risques où les scénarios d'accès à privilèges plus élevés ou à plus haut risque exigent une couche supplémentaire.
• Le PCI SSC développe activement des directives, telles que des FAQ, pour aider les organisations à comprendre comment mettre en œuvre les passkeys de manière conforme et reconnaît que les passkeys représentent un changement fondamental par rapport à la pensée traditionnelle basée sur les mots de passe.
• De plus, la documentation de la norme PCI DSS 4.0 fait explicitement référence à l'authentification basée sur FIDO comme une méthode privilégiée, bien que non obligatoire, pour la mise en œuvre de la MFA, soulignant son alignement avec les objectifs de la norme.

Cette position permet aux organisations de déployer stratégiquement les passkeys. Pour la grande base d'utilisateurs non administratifs accédant au CDE en interne, une connexion par passkey transparente peut répondre aux exigences de conformité. Pour les administrateurs et les utilisateurs à distance, les passkeys fournissent une base solide et résistante au phishing pour une solution MFA.

Bien que les passkeys offrent une mise à niveau de sécurité significative, les évaluateurs de sécurité qualifiés (QSA) de la norme PCI DSS examineront attentivement leur mise en œuvre, en particulier pour les scénarios d'accès à haut risque comme l'accès administratif au CDE (Exigence 8.4.1), pour s'assurer que les vrais principes de l'authentification multifacteur sont respectés. Les considérations clés incluent le type de passkey, l'indépendance des facteurs d'authentification et l'utilisation de l'attestation.

Comme nous l'avons déjà vu, les passkeys se présentent sous deux formes principales :

• Passkeys synchronisés : Ils sont synchronisés sur les appareils de confiance d'un utilisateur via des services cloud comme le Trousseau iCloud d'Apple ou le Gestionnaire de mots de passe Google. Ils offrent une grande commodité car un passkey créé sur un appareil peut être utilisé sur un autre.
• Passkeys liés à l'appareil : Ils sont liés à un authentificateur physique spécifique, tel qu'une clé de sécurité matérielle USB (par exemple, YubiKey) ou le matériel sécurisé d'un téléphone spécifique. La clé privée ne quitte pas cet appareil spécifique.

La norme PCI DSS exige que les facteurs MFA soient indépendants, ce qui signifie que la compromission d'un facteur ne compromet pas les autres. Un passkey combine généralement "quelque chose que vous possédez" (l'appareil avec la clé privée) et "quelque chose que vous savez/êtes" (le PIN ou la biométrie de l'appareil local pour déverrouiller la clé).

Avec les passkeys synchronisés, bien que très sécurisés contre de nombreuses attaques, certains QSA peuvent soulever des questions concernant l'indépendance absolue du facteur de "possession" pour l'accès administratif (Exigence 8.4.1). La préoccupation est que si le compte cloud de l'utilisateur (par exemple, Apple ID, compte Google) qui synchronise les passkeys est compromis, la clé privée pourrait potentiellement être clonée sur un appareil contrôlé par un attaquant. Cela pourrait amener certains évaluateurs à considérer un passkey synchronisé, dans des contextes à haut risque, comme ne répondant potentiellement pas à l'interprétation stricte de deux facteurs entièrement indépendants si le mécanisme de synchronisation lui-même n'est pas solidement sécurisé avec sa propre MFA forte. Les directives du NIST, par exemple, reconnaissent les passkeys synchronisés comme conformes à AAL2, tandis que les passkeys liés à l'appareil peuvent atteindre AAL3, qui impliquent souvent des clés non exportables.

• Comprendre les indicateurs d'authentificateur WebAuthn : Lors d'une cérémonie WebAuthn (qui sous-tend les passkeys), les authentificateurs signalent certains indicateurs. Deux importants sont :
  • uv=1 (User Verified) : Cet indicateur signale que l'utilisateur a vérifié avec succès sa présence auprès de l'authentificateur localement, généralement en utilisant un PIN d'appareil ou une donnée biométrique. Cette vérification agit comme l'un des facteurs d'authentification – "quelque chose que vous savez" (PIN) ou "quelque chose que vous êtes" (biométrie).
  • up=1 (User Present) : Cet indicateur confirme que l'utilisateur était présent et a interagi avec l'authentificateur pendant la cérémonie (par exemple, en touchant une clé de sécurité). Bien que crucial pour prouver l'intention de l'utilisateur et prévenir certaines attaques à distance, la présence de l'utilisateur elle-même n'est généralement pas considérée comme un facteur d'authentification distinct et indépendant pour satisfaire à l'exigence multifacteur de la MFA. C'est une fonctionnalité de sécurité importante mais ne compte généralement pas comme un deuxième facteur à part entière.
• Le rôle des passkeys liés à l'appareil et des clés de sécurité matérielles :\ Pour l'accès administratif (Exigence 8.4.1) et d'autres scénarios à haute assurance, les passkeys liés à l'appareil stockés sur des clés de sécurité matérielles offrent un argument plus solide pour l'indépendance des facteurs. Comme la clé privée est conçue pour ne jamais quitter le jeton matériel, le facteur "quelque chose que vous possédez" est plus robustement protégé contre le clonage via des attaques logicielles ou la compromission de comptes cloud. Cela en fait une option privilégiée pour de nombreuses organisations cherchant à satisfaire les attentes strictes des QSA pour la MFA administrative.

L'attestation est une fonctionnalité de WebAuthn où l'authentificateur fournit des informations vérifiables sur lui-même (par exemple, sa marque, son modèle, son statut de certification, s'il est adossé à du matériel) à la Relying Party (votre serveur FIDO) pendant le processus d'enregistrement du passkey.

• Pourquoi c'est important pour la norme PCI DSS : L'attestation peut fournir des preuves cruciales aux QSA que les authentificateurs utilisés respectent les politiques de sécurité de l'organisation et sont réellement ce qu'ils prétendent être (par exemple, une clé de sécurité matérielle certifiée). Cela peut être particulièrement important pour démontrer la force et l'indépendance des facteurs d'authentification.
• Recommandation : Pour un accès à haute sécurité comme l'accès administratif au CDE, l'utilisation de passkeys sur des clés de sécurité matérielles qui prennent en charge une attestation robuste est fortement recommandée. Cela permet à l'organisation d'appliquer des politiques sur les types d'authentificateurs acceptables et de fournir une preuve de conformité plus solide.

En pratique, pour éviter les frictions lors de l'audit pour l'exigence 8.4.1, de nombreuses entreprises choisissent d'émettre des passkeys liés à l'appareil sur des clés de sécurité matérielles qui offrent de solides garanties de protection des clés et potentiellement d'attestation.

Pour illustrer clairement comment les passkeys comblent le fossé et satisfont aux contrôles détaillés dans l'exigence 8, le tableau suivant fait correspondre des fonctionnalités de passkey et des caractéristiques spécifiques aux sous-clauses pertinentes, en indiquant leur adéquation pour différents scénarios.

Cette correspondance démontre que les passkeys ne sont pas seulement une solution théorique, mais une solution pratique et robuste pour répondre aux exigences d'authentification avancées de la norme PCI DSS 4.0.

Le paysage de la sécurité des paiements est complexe et en constante évolution. La norme PCI DSS 4.0 reflète cette réalité, en établissant une barre plus haute pour les contrôles de sécurité, en particulier dans le domaine de l'authentification. Alors que les organisations s'efforcent de répondre à ces nouvelles exigences plus strictes, les passkeys — basés sur les normes FIDO/WebAuthn — émergent non seulement comme une solution conforme, mais aussi comme une technologie transformatrice prête à redéfinir l'accès sécurisé.

Tout au long de cette analyse, deux questions centrales ont guidé notre exploration :

1. Alors que la norme PCI DSS 4.0 relève la barre en matière d'authentification, comment les organisations peuvent-elles répondre efficacement à ces nouvelles exigences strictes sans surcharger les utilisateurs ou les équipes de sécurité ? Les preuves suggèrent fortement que les organisations peuvent répondre efficacement aux exigences d'authentification de la norme PCI DSS 4.0 en adoptant stratégiquement des solutions d'authentification multifacteur (MFA) résistantes au phishing comme les passkeys. Ces technologies équilibrent intrinsèquement une sécurité robuste, vérifiée par cryptographie, avec des expériences utilisateur considérablement améliorées et souvent plus rapides. De plus, la possibilité offerte par la norme PCI DSS 4.0 de recourir à des "mises en œuvre personnalisées" permet aux organisations d'adapter ces solutions avancées à leurs environnements et profils de risque spécifiques, dépassant ainsi une approche unique. Les propres directives du PCI SSC facilitent encore cela, en permettant une conformité simplifiée pour un large segment d'utilisateurs tout en réservant des approches plus stratifiées pour les accès administratifs et à distance à plus haut risque.
2. Les technologies émergentes comme les passkeys peuvent-elles non seulement satisfaire aux contrôles d'authentification robustes de la norme PCI DSS 4.0, mais aussi offrir des avantages tangibles au-delà de la simple conformité, tels qu'une sécurité renforcée et une meilleure efficacité opérationnelle ? La réponse est un oui catégorique. Il est démontré que les passkeys sont capables de satisfaire aux contrôles d'authentification fondamentaux de l'exigence 8 de la norme PCI DSS 4.0, y compris ses critères de MFA, de résistance au phishing et de résistance au rejeu. Cependant, leur valeur s'étend au-delà de la simple conformité. La conception inhérente des passkeys — éliminant les secrets partagés et liant l'authentification à des origines spécifiques — réduit considérablement le risque d'attaques de phishing réussies et de prises de contrôle de compte, entraînant des réductions tangibles des pertes liées à la fraude. Sur le plan opérationnel, l'abandon des mots de passe se traduit par moins de tickets d'assistance liés aux mots de passe, ce qui permet de réaliser des économies et de libérer des ressources informatiques. Les utilisateurs bénéficient d'une expérience de connexion plus simple, plus rapide et moins frustrante, ce qui peut améliorer la productivité et la satisfaction des clients. De plus, lorsque les mots de passe sont entièrement remplacés par des passkeys pour des chemins d'accès spécifiques, la charge d'audit pour les contrôles spécifiques aux mots de passe est éliminée, ce qui peut potentiellement rationaliser les efforts de conformité dans ces domaines.

Le chemin vers un écosystème de paiement véritablement sécurisé est continu. La norme PCI DSS 4.0 pose de nouveaux jalons, et l'authentification par passkey fournit un véhicule puissant pour les atteindre. Les organisations qui traitent, stockent ou transmettent des données de titulaires de cartes sont vivement encouragées à évaluer et à commencer à planifier l'adoption des passkeys. Il ne s'agit pas simplement d'adhérer à la dernière version d'une norme ; il s'agit d'adopter une approche de l'authentification plus sûre, plus efficace et centrée sur l'utilisateur, qui s'aligne sur l'avenir de l'identité numérique. En mettant en œuvre stratégiquement les passkeys, les entreprises peuvent renforcer leurs défenses contre les menaces en évolution, protéger les précieuses données de paiement et renforcer la confiance de leurs clients dans un monde de plus en plus numérique.