Passkeys PayPal : L'implémentation de référence pour les paiements sans mot de passe

• D'abord disponibles au T4/2022 aux États-Unis, puis déployés progressivement dans différents pays et sur différentes plateformes
• Les passkeys PayPal renforcent la sécurité des connexions PayPal contre le phishing et le bourrage d'identifiants tout en offrant une expérience plus pratique.
• Actuellement, les passkeys sont principalement destinés aux connexions à des comptes existants, et non à l'inscription initiale pour des comptes entièrement sans mot de passe.
• La configuration des passkeys PayPal se fait manuellement via la section « Connexion et sécurité » dans les paramètres du compte.
• PayPal a été pionnier dans la synchronisation des passkeys entre son site web et ses applications natives, prenant en charge à la fois les passkeys synchronisés et ceux liés à un appareil (bien que les synchronisés soient plus courants).
• Bien qu'offrant une expérience simplifiée à l'échelle mondiale, l'implémentation en Europe est conforme à la DSP2/AFC, nécessitant parfois des étapes de vérification supplémentaires malgré l'utilisation d'un passkey (contexte A2F des passkeys PayPal). PayPal utilise la Conditional UI pour une connexion par remplissage automatique fluide et fournit une information claire aux utilisateurs. Les premiers succès incluent des taux de connexion améliorés et une réduction de la fraude, positionnant PayPal comme un leader à suivre pour les autres institutions financières.

De plus en plus d'entreprises de secteurs variés entrent dans un monde sans mot de passe et implémentent les passkeys. À travers cette série d'articles, nous visons à fournir un aperçu complet de l'expérience utilisateur des passkeys de ces entreprises. Cela devrait vous permettre d'intégrer ces enseignements et d'améliorer en conséquence la connexion à votre produit. Dans chaque article, nous nous concentrons sur une seule entreprise. Aujourd'hui, nous nous penchons sur PayPal.

Depuis octobre 2022, les utilisateurs de PayPal aux États-Unis peuvent créer des passkeys pour leurs comptes, marquant une étape significative vers l'authentification sans mot de passe dans le secteur des paiements. Suite à ce lancement initial, les passkeys PayPal ont été successivement déployés dans d'autres pays depuis début 2023. En tant que l'une des principales plateformes de paiement numérique au monde avec plus de 400 millions d'utilisateurs, l'adoption des passkeys par PayPal démontre un engagement fort à rendre les paiements et les transferts en ligne plus sûrs et conviviaux. PayPal se distingue comme un pionnier précoce dans le domaine des paiements, donnant un exemple positif aux autres banques et institutions financières.

Avis de non-responsabilité :

1. L'analyse initiale date d'août 2023. Cet article de blog a été mis à jour fin avril 2025 pour refléter les derniers changements dans l'implémentation des passkeys de PayPal, en notant ce qui a changé depuis l'analyse initiale.
2. Veuillez vous référer aux cas d'utilisation pour trouver les appareils utilisés pour l'analyse.
3. Dans cette dernière mise à jour (avril 2025), nous nous sommes concentrés sur les principales combinaisons de systèmes d'exploitation et de plateformes et n'avons pas testé chaque variante en détail.

La décision de PayPal d'adopter les passkeys est ancrée dans un impératif stratégique clair, motivé par les défis inhérents à l'authentification traditionnelle par mot de passe dans le paysage des paiements numériques.

• Lutte contre les cybermenaces : L'environnement des paiements numériques est constamment attaqué par des attaques de phishing, de bourrage d'identifiants (utilisation de listes de mots de passe volés pour tenter de se connecter sur d'autres sites) et de fraude par prise de contrôle de compte (ATO). Les mots de passe sont le maillon faible, vulnérables à ces menaces omniprésentes. En adoptant les passkeys, qui sont liés cryptographiquement au site web et à l'appareil spécifiques, PayPal réduit considérablement la surface d'attaque pour ces formes courantes de fraude.
• Réduction de la friction utilisateur et de l'abandon : Les flux de connexion traditionnels, impliquant souvent des mots de passe complexes suivis de codes à usage unique (OTP) ou de questions de sécurité, créent une friction importante pour les utilisateurs. Les mots de passe oubliés mènent à des processus de récupération frustrants, et l'authentification en plusieurs étapes peut amener les utilisateurs à abandonner les transactions, en particulier sur les appareils mobiles. Cette friction nuit directement aux taux de conversion lors du paiement. Les passkeys offrent une expérience de connexion simplifiée en une seule touche utilisant l'authentification biométrique familière ou le code PIN de l'appareil, réduisant considérablement ces points de friction.
• Amélioration de la sécurité et de l'expérience utilisateur : Fondamentalement, PayPal cherche à résoudre la tension de longue date entre sécurité et commodité. Les passkeys permettent d'offrir une sécurité nettement supérieure à celle des mots de passe tout en proposant simultanément une expérience utilisateur plus simple et plus rapide. Ce double avantage est essentiel pour une plateforme gérant des transactions financières sensibles.
• Leadership dans le secteur : En tant que membre fondateur de la FIDO Alliance, la force motrice derrière la norme des passkeys, PayPal s'engage à mener l'industrie vers une authentification plus sûre et conviviale. Être l'une des premières grandes plateformes de paiement à déployer les passkeys renforce cette position de leader et établit une référence pour les concurrents et les partenaires.

En relevant ces défis clés et en tirant parti de sa position de leader au sein de la FIDO, PayPal a positionné les passkeys comme une technologie fondamentale pour sa future stratégie d'authentification.

L'implémentation des passkeys par PayPal comprend plusieurs fonctionnalités et choix de conception notables qui ont un impact sur l'expérience utilisateur et la sécurité.

PayPal a initié son parcours avec les passkeys par un déploiement progressif. La disponibilité a d'abord été introduite aux États-Unis au T4 2022, initialement pour un sous-ensemble d'utilisateurs via des tests A/B, se concentrant principalement sur les appareils Apple (iOS, iPadOS, macOS) accédant au site web. Cette phase initiale a permis à PayPal de recueillir des commentaires et d'identifier les problèmes potentiels dans un environnement contrôlé.

Les déploiements successifs ont commencé début 2023, s'étendant aux appareils Android (Android 9+) aux États-Unis, puis aux principaux marchés européens comme l'Allemagne et le Royaume-Uni à la mi-2023. Cette stratégie d'expansion progressive a permis à PayPal de s'adapter aux différentes plateformes et aux exigences réglementaires régionales tout en minimisant les risques. Le déploiement s'est poursuivi depuis, PayPal travaillant activement à accélérer la disponibilité mondiale tout au long de 2025, citant les résultats positifs de l'adoption précoce.

Un point fort significatif de l'implémentation de PayPal est la capacité de créer et d'utiliser des passkeys au sein de leurs applications mobiles natives pour les appareils Apple et Android. De plus, PayPal a été parmi les premiers à permettre une synchronisation transparente des passkeys entre le site web consulté via un navigateur et l'application mobile native correspondante sur le même appareil ou sur des appareils différents (via des trousseaux cloud comme le Trousseau iCloud ou le Gestionnaire de mots de passe de Google).

Cette synchronisation signifie qu'un utilisateur créant un passkey sur son iPhone dans l'application PayPal peut ensuite utiliser ce même passkey pour se connecter via Safari sur son MacBook ou même Chrome sur un PC Windows (s'il est synchronisé via le Gestionnaire de mots de passe de Google), à condition d'avoir son iPhone à proximité pour approuver la connexion inter-appareils de PayPal. Cela améliore considérablement la commodité et la flexibilité pour l'utilisateur. Les utilisateurs peuvent également choisir d'utiliser des passkeys liés à un appareil, potentiellement stockés sur une clé de sécurité matérielle, bien que les passkeys synchronisés soient l'approche la plus courante pour la plupart des utilisateurs en raison de leur facilité d'utilisation et de leur disponibilité via les trousseaux d'appareils.

PayPal a rapidement intégré la Conditional UI, ce qui améliore considérablement l'expérience de connexion à PayPal. Lorsqu'un utilisateur accède à la page de connexion de PayPal et clique sur le champ de saisie du nom d'utilisateur, l'invite de passkey native du navigateur ou du système d'exploitation apparaît automatiquement, suggérant le passkey stocké pour ce site.

Cela évite à l'utilisateur d'avoir à se souvenir ou à taper manuellement son nom d'utilisateur, et encore moins son mot de passe. Cela offre une expérience de connexion simplifiée, presque en un seul clic, en tirant parti des capacités de remplissage automatique inhérentes à la norme des passkeys. Cette focalisation sur la commodité de l'utilisateur dès le départ a été un facteur clé dans la promotion de l'adoption des passkeys sur la plateforme PayPal.

Dans les paramètres du compte, plus précisément dans la section « Connexion et sécurité », PayPal offre aux utilisateurs un aperçu clair de leurs passkeys enregistrés. Pour chaque passkey, des détails tels que l'appareil sur lequel il a été créé, son statut de synchronisation (par exemple, synchronisé via le Trousseau iCloud) et l'horodatage de sa création sont affichés. Cette transparence aide les utilisateurs à gérer leurs passkeys et à comprendre où et quand ils ont activé cette méthode de connexion.

PayPal fournit également des instructions claires sur la suppression des passkeys, expliquant qu'ils doivent souvent être supprimés à la fois localement de l'appareil/trousseau et du serveur PayPal pour être complètement désenregistrés.

Reconnaissant que les passkeys sont un nouveau concept pour de nombreux utilisateurs, PayPal a investi dans l'éducation des utilisateurs. Ils utilisent systématiquement le terme « passkeys » et fournissent des explications détaillées dans le flux de configuration et dans leur section FAQ dédiée. Cela inclut des informations sur ce que sont les passkeys, comment ils fonctionnent, le processus de configuration, la synchronisation et la suppression. En répondant de manière proactive aux questions et préoccupations potentielles des utilisateurs, PayPal vise à renforcer la confiance et à encourager l'adoption de cette nouvelle méthode d'authentification.

Voir la capture d'écran suivante qui fournit plus d'informations sur le processus correct de suppression en 2 phases des passkeys.

• Limitations occasionnelles de plateforme/navigateur (historiquement) : Comme indiqué dans l'analyse initiale (août 2023), les passkeys n'étaient pas universellement disponibles sur toutes les combinaisons d'appareils et de navigateurs. Par exemple, le support de Windows faisait initialement défaut. Mise à jour avril 2025 : Cette limitation a été largement corrigée. Les passkeys PayPal sont désormais pris en charge sur la plupart des principaux systèmes d'exploitation (iOS, macOS, Android, Windows 10+) et navigateurs (Chrome, Safari, Edge, Firefox), améliorant considérablement la disponibilité et la cohérence.
• La suppression locale n'est pas toujours reconnue : Un inconvénient technique mineur observé est que si un utilisateur supprime un passkey uniquement de son appareil local sans le supprimer également des paramètres de son compte PayPal, le bouton de connexion en un clic peut toujours apparaître, ce qui peut dérouter l'utilisateur. L'affichage devrait idéalement se mettre à jour immédiatement dès la première détection de la suppression locale.
• Pas de véritable flux 'Identifier-First' sur Android (principalement Conditional UI / One-Tap) : Sur Android, bien que l'utilisation de la Conditional UI soit excellente pour l'expérience utilisateur, le flux de connexion principal de PayPal semble fortement orienté vers celle-ci ou un bouton de passkey dédié, plutôt que d'offrir un flux traditionnel 'identifier-first' qui se dégrade gracieusement si aucun passkey n'est trouvé. Bien que cela protège contre l'énumération de comptes, une implémentation plus robuste pourrait offrir des chemins plus clairs pour les utilisateurs sans passkey enregistré sur cet appareil spécifique. De plus, il n'est pas clair pourquoi cela est correctement implémenté sur iOS et pas sur Android.

L'adoption et le déploiement précoces des passkeys par PayPal ont donné des résultats positifs, démontrant les avantages tangibles de cette technologie tant pour la sécurité que pour l'expérience utilisateur.

• Augmentation des taux de réussite de connexion : Les premiers rapports ont indiqué une augmentation significative des taux de réussite de connexion (+10 %) pour les utilisateurs optant pour les passkeys par rapport aux méthodes traditionnelles par mot de passe. Cela met en évidence la réduction de la friction et le moins grand nombre d'erreurs associées à la saisie et à la récupération des mots de passe.
• Réduction de la fraude par prise de contrôle de compte (ATO) : Les passkeys sont très résistants au phishing et au bourrage d'identifiants, qui sont les principaux vecteurs de la fraude ATO. PayPal a signalé une réduction substantielle des tentatives et des succès de fraude ATO (-70 % signalés en 2023) pour les utilisateurs qui avaient activé les passkeys, démontrant les solides avantages en matière de sécurité.
• Temps de paiement plus rapides : Pour les utilisateurs qui utilisent les passkeys pour se connecter pendant le processus de paiement, le flux d'authentification simplifié réduit considérablement le temps nécessaire pour finaliser la transaction, des rapports suggérant que les temps de paiement pourraient chuter à environ 5 secondes dans des scénarios idéaux.

Ces premiers KPI soulignent le solide argument commercial en faveur des passkeys, prouvant qu'ils améliorent non seulement la sécurité, mais aussi des indicateurs commerciaux critiques comme la conversion et la réduction de la fraude.

L'implémentation des passkeys en Europe en tant que banque, fournisseur de services de paiement ou organisation de services financiers présente des défis uniques par rapport à des régions comme les États-Unis, principalement en raison des exigences strictes de la deuxième directive sur les services de paiement (DSP2) de l'Union européenne et de son mandat pour l'Authentification Forte du Client (AFC).

La DSP2 vise à renforcer la sécurité des paiements électroniques au sein de l'Espace économique européen (EEE) et du Royaume-Uni (qui a incorporé des règles similaires). Sa pierre angulaire est l'AFC, qui exige que la plupart des initiations de paiement électronique et certaines actions d'accès au compte soient authentifiées à l'aide d'au moins deux facteurs indépendants parmi trois catégories :

• Connaissance : Quelque chose que seul l'utilisateur connaît (par ex., mot de passe, PIN - bien que les mots de passe statiques seuls soient souvent insuffisants).
• Possession : Quelque chose que seul l'utilisateur possède (par ex., un appareil de confiance, un jeton, un téléphone recevant un OTP).
• Inhérence : Quelque chose que l'utilisateur est (par ex., des données biométriques comme une empreinte digitale ou une reconnaissance faciale).

De plus, pour les transactions à distance, l'AFC exige souvent un Lien Dynamique, ce qui signifie que l'authentification doit être spécifiquement liée au montant et au bénéficiaire de la transaction.

Les passkeys synchronisés sont techniquement bien équipés pour répondre aux exigences de l'AFC. Une seule action d'authentification par passkey combine intrinsèquement deux facteurs :

• Possession : L'utilisateur possède l'appareil qui stocke la clé privée.
• Inhérence (ou Connaissance) : L'utilisateur déverrouille cet appareil à l'aide de la biométrie (Inhérence) ou d'un code PIN/mot de passe de l'appareil (Connaissance) pour autoriser l'utilisation du passkey.

Cependant, il n'existe aucune directive officielle des régulateurs sur la manière dont la nature synchronisée des passkeys et le facteur de possession correspondent. Par conséquent, de nombreuses organisations de services financiers européennes s'abstiennent de déployer les passkeys (pour l'instant) en raison de cette incertitude.

Veuillez également consulter nos autres articles de blog sur la DSP2 et les passkeys pour une lecture détaillée :

• Passkeys liés à l'appareil vs synchronisés
• Analyse des exigences de la DSP2 et de l'AFC
• Ce que les exigences de l'AFC signifient pour les passkeys
• Implications de la DSP3 / PSR pour les passkeys

L'implémentation de PayPal en Europe semble adaptée pour s'intégrer à leur infrastructure de conformité AFC existante. Contrairement au potentiel d'une connexion par passkey en une seule étape aux États-Unis, les utilisateurs européens peuvent parfois faire l'expérience d'un processus en plusieurs étapes pour la connexion ou les actions sensibles :

1. S'authentifier avec un passkey : Cela remplace la saisie du mot de passe et satisfait deux facteurs (Possession + Inhérence / Connaissance).
2. Vérification supplémentaire (si déclenchée) : En fonction de l'évaluation des risques ou de nouveaux appareils, du montant de la transaction ou d'autres déclencheurs de l'AFC, PayPal peut toujours exiger une étape de vérification supplémentaire, telle que :

• Saisir un OTP envoyé par SMS.
• Approuver une notification push via l'application mobile PayPal.

Cela signifie que dans certains scénarios européens, le passkey agit comme une partie du processus d'authentification, mais ne peut pas toujours éliminer le besoin d'un facteur distinct ultérieur pour se conformer pleinement à la manière dont l'AFC est interprétée et appliquée pour des cas d'utilisation spécifiques. Cela contraste avec l'expérience idéale sans friction où le passkey est l'authentification complète.

PayPal utilise le stockage local ou les cookies pour se souvenir des appareils de confiance où un passkey synchronisé a été utilisé, ce qui réduit la fréquence de ces vérifications AFC supplémentaires lors des interactions ultérieures, mais les connexions initiales ou à haut risque nécessitent souvent une preuve de possession supplémentaire.

PayPal reconnaît la friction potentielle que cette approche en couches introduit en Europe par rapport à d'autres régions. Par conséquent, ils plaident activement pour une évolution des règles de l'AFC. Début 2025, PayPal a publiquement recommandé que les réglementations de l'AFC encouragent les méthodes d'authentification qui peuvent être effectuées entièrement sur un seul appareil (comme les passkeys exploités via l'authentificateur intégré d'un appareil), sans imposer d'interaction avec un appareil distinct (comme la réception d'un OTP par SMS). PayPal appelle cela l'authentification forte du client basée sur les résultats.

Ce plaidoyer signale l'objectif stratégique de PayPal d'harmoniser l'expérience utilisateur à l'échelle mondiale et d'atteindre le plein potentiel de réduction de la friction des passkeys dans le cadre réglementaire européen.

Il est important de distinguer les passkeys de PayPal de l'authentification biométrique purement locale au sein de l'application native PayPal pour iOS / Android. Bien que les passkeys reposent souvent sur l'authentification biométrique (comme Face ID ou Touch ID sur les appareils Apple, ou la lecture d'empreintes digitales / du visage sur Android) pour autoriser l'utilisation de la clé privée stockée en toute sécurité sur l'appareil, le passkey lui-même est plus qu'une simple analyse biométrique.

• Authentification biométrique locale : Cette méthode authentifie l'utilisateur sur l'appareil ou l'application locale à l'aide de la biométrie. Cependant, cela ne vérifie pas cryptographiquement l'identité de l'utilisateur auprès d'un service en ligne comme PayPal d'une manière résistante au phishing. Cela prouve seulement que la personne utilisant l'appareil est le propriétaire légitime.
• Passkeys PayPal : Les passkeys utilisent la cryptographie à clé publique. L'analyse biométrique (ou le code PIN de l'appareil) déverrouille l'enclave sécurisée de l'appareil pour accéder à la clé privée. Cette clé privée est ensuite utilisée pour signer un défi du serveur PayPal, prouvant la possession de la paire de clés. Ce processus cryptographique est résistant au phishing et vérifie l'identité de l'utilisateur auprès de PayPal.

Par conséquent, bien que la biométrie soit souvent le déclencheur convivial pour une connexion par passkey, la technologie sous-jacente du passkey fournit une authentification en ligne forte et résistante au phishing, contrairement à l'authentification biométrique locale seule.

Consultez également notre article de blog sur les passkeys vs. la biométrie locale pour plus de détails.

L'authentification par passkey de PayPal ne se limite pas aux connexions directes au compte PayPal. Elle peut également être utilisée via le SDK du fournisseur de paiement de PayPal dans les flux de paiement de tiers sur les sites web et les applications des commerçants. Cela permet aux commerçants qui utilisent PayPal pour le traitement des paiements d'offrir à leurs clients une expérience d'authentification transparente, sécurisée et sans mot de passe directement dans leurs flux de paiement. L'utilisation des passkeys via le SDK de PayPal simplifie considérablement le processus de paiement, réduit la friction et améliore la sécurité en atténuant les risques de phishing et les attaques par bourrage d'identifiants. Pour un guide complet et des détails techniques sur l'implémentation des passkeys dans des contextes tiers, veuillez vous référer à notre article dédié sur l'intégration de SDK tiers avec les passkeys.

L'implémentation technique de PayPal se concentre fortement sur l'exploitation des fonctionnalités modernes des passkeys pour simplifier l'expérience utilisateur, principalement par le biais de la Conditional UI et de boutons de passkey dédiés.

• Conditional UI / Connexion en un clic : Comme nous l'avons vu, PayPal active la Conditional UI sur sa page de connexion. Lorsqu'un utilisateur se concentre sur le champ de saisie du nom d'utilisateur, le navigateur/système d'exploitation propose automatiquement le passkey comme option de remplissage automatique, présentant l'e-mail de l'utilisateur lié au passkey. PayPal utilise également un bouton dédié « Se connecter avec un passkey », particulièrement visible lorsqu'aucun nom d'utilisateur n'est pré-rempli ou lors de connexions ultérieures. Cela permet une connexion à PayPal sans avoir à taper d'identifiant au préalable.
• Pas de flux traditionnel 'Identifier-First' sur Android : Sur Android, le flux de PayPal semble conçu autour du passkey comme méthode principale s'il en existe un. Il n'y a pas de flux 'identifier-first' proéminent et explicite où un utilisateur tape son e-mail, puis le système vérifie la présence d'un passkey et se rabat potentiellement sur un mot de passe si aucun n'est trouvé. Bien que cette conception aide à prévenir l'énumération de comptes (des attaquants devinant des adresses e-mail valides), elle pourrait être moins intuitive pour les utilisateurs qui fournissent leur identifiant et doivent ensuite choisir une méthode de connexion (ou dans le cas de PayPal, ne peuvent pas utiliser de passkeys mais seulement un mot de passe). Pour iOS, le flux 'identifier-first' avec le démarrage automatique de la connexion par passkey a été correctement implémenté.
• Implémentation dans l'application native : Dans les applications natives de PayPal, l'expérience passkey est encore plus intégrée. La Conditional UI est souvent déclenchée automatiquement lorsque l'application s'ouvre ou navigue vers l'écran de connexion, présentant immédiatement l'e-mail de l'utilisateur associé au passkey et demandant une authentification biométrique ou un code PIN.
• Mémorisation de l'appareil et AFC subséquente : PayPal implémente une logique pour « se souvenir » d'un appareil de confiance après une connexion par passkey réussie, en particulier en Europe pour gérer la conformité à l'AFC. Cela repose sur le stockage local (cookies ou stockage de l'application). Si l'utilisateur efface le stockage ou désactive explicitement la fonction « se souvenir de cet appareil », les connexions par passkey ultérieures sur cet appareil pourraient déclencher des étapes AFC supplémentaires.

PayPal a publié une FAQ complète qui fournit une explication détaillée des passkeys et guide les utilisateurs à travers le processus de configuration. Cela reflète leur reconnaissance de la nécessité d'éduquer les utilisateurs sur la technologie et la fonctionnalité derrière les passkeys, car tout le monde n'est peut-être pas encore familier avec eux.

Pour enregistrer de nouveaux passkeys pour votre compte PayPal, suivez ces étapes :

1. Cliquez sur l'icône des paramètres (navigateur web) ou l'icône de profil (application) dans le coin supérieur droit
2. Cliquez sur Sécurité (navigateur web) ou Connexion et sécurité (application)

3. Cliquez sur Passkey

4. Cliquez sur le bouton Créer un passkey

Explication de la création de passkey en août 2023

Au fil du temps, PayPal a amélioré ses messages et le texte utilisateur lors de la création d'un passkey comme suit

Explication de la création de passkey en avril 2025

Notez que nous n'avons effectué les cas d'utilisation qu'avec des appareils compatibles avec les passkeys (par exemple, pas d'iPhone antérieur à iOS 16.0, pas de MacBook antérieur à macOS Ventura, pas d'appareil Windows antérieur à Windows 10). Nous utilisons le même compte PayPal pour chaque cas d'utilisation.

Pour configurer initialement le premier passkey pour notre compte PayPal, nous cliquons sur « Créer un passkey » comme montré précédemment dans la section 3.

Il est à noter qu'à ce stade, l'utilisateur est à nouveau informé de ce que sont les passkeys. Cela montre que PayPal veut éduquer les utilisateurs qui ne connaissent pas encore les passkeys.

Après avoir cliqué sur « Créer un passkey », PayPal exige la confirmation de notre identité par une authentification à deux facteurs.

Août 2023

Avril 2025

Une fois cette vérification réussie, un passkey peut être créé, et la fenêtre contextuelle par défaut d'Apple pour les passkeys apparaît, nous invitant à utiliser Face ID.

Une fois enregistré avec succès, nous recevons une notification confirmant la génération réussie du passkey.

Dans les paramètres « Connexion et sécurité », nous pouvons maintenant voir les détails sur le passkey ou même le supprimer à nouveau. Les propriétés incluent des informations sur l'appareil sur lequel le passkey a été créé et s'il a été synchronisé, ainsi qu'un horodatage de création.

Si vous souhaitez supprimer un passkey, PayPal offre d'excellents conseils aux utilisateurs sur le fait que les passkeys doivent être supprimés localement et côté serveur.

Lors de l'utilisation de la même combinaison navigateur-système d'exploitation pour laquelle un passkey a déjà été stocké, PayPal le détecte et n'affiche pas l'option « Créer un passkey ». Ce n'est qu'après que le passkey a été à nouveau retiré de l'appareil que vous pouvez en installer un nouveau.

Si nous voulons nous connecter à l'application iOS de PayPal, nous utilisons le passkey précédemment créé sur cet appareil. Dès que nous ouvrons l'application, la fenêtre contextuelle par défaut d'Apple pour les passkeys apparaît et nous invite à utiliser Face ID pour nous connecter. Si le champ du nom d'utilisateur est vide, la fenêtre du passkey n'apparaîtra pas immédiatement, mais grâce à la conditional UI activée, le passkey stocké sera automatiquement suggéré et pré-rempli dès que nous cliquons sur le champ.

Après avoir vérifié notre identité avec Face ID, le passkey est récupéré avec succès, nous donnant accès à notre compte.

En août 2023, il n'était pas encore possible de créer un passkey sur un MacBook (ceci est corrigé en avril 2025). Cependant, nous pouvions nous connecter avec un passkey synchronisé sur le Trousseau Apple. Dans ce cas d'utilisation, nous avons récupéré le passkey que nous avons enregistré sur notre iPhone dans le cas d'utilisation 1.

Dès que nous entrons sur la page PayPal dans le navigateur, la fenêtre contextuelle familière de Safari pour les passkeys nous est présentée. Ici, nous avons sélectionné « Appareil iPhone, iPad ou Android », ce qui inclut l'iPhone sur le trousseau qui détient le passkey du cas d'utilisation 1.

Nous scannons le code QR avec l'appareil sur lequel notre passkey est stocké (dans ce cas, celui du cas d'utilisation 1).

Après nous être connectés avec le passkey sur l'iPhone, nous devons encore confirmer notre identité avec l'A2F lorsque nous l'utilisons pour la première fois pour notre MacBook également, avant d'être ensuite connectés à notre compte PayPal.

Dans ce cas d'utilisation, nous générons un passkey sur un appareil Android à l'aide de l'application PayPal et le stockons dans le Gestionnaire de mots de passe de Google. Le processus de génération du passkey pour l'application Android de PayPal est le même que celui pour l'application iOS de PayPal sur iPhone, la seule différence étant que nous créons le passkey sur Android en utilisant les capacités tactiles biométriques d'Android au lieu de Face ID et qu'à cette étape, il est possible de spécifier le compte Google où la clé maîtresse créée sera stockée. Une fois notre empreinte digitale enregistrée avec succès, nous recevons une notification confirmant la génération réussie du passkey. Le passkey est maintenant affiché dans la section Passkeys dans les paramètres de connexion et de sécurité.

Contrairement à l'iPhone, le téléphone Android ne reconnaît pas qu'un passkey existe déjà sur l'appareil et continue d'afficher l'option « Créer un passkey ». Si les utilisateurs veulent alors configurer un passkey, PayPal le détecte et empêche la création d'un nouveau passkey et l'écrasement d'un passkey existant.

De plus, en août 2023, le téléphone ne reconnaissait pas s'il y avait déjà un passkey pour un autre téléphone Android stocké dans le Gestionnaire de mots de passe de Google et permettait la création d'un deuxième passkey. Cela a été corrigé d'ici avril 2025.

Si nous voulons nous connecter à l'application Android de PayPal, nous utilisons le passkey précédemment créé sur cet appareil. Dès que nous ouvrons l'application, la fenêtre contextuelle par défaut d'Android pour les passkeys apparaît et nous invite à utiliser Touch ID pour nous connecter. Si le champ du nom d'utilisateur est vide, la fenêtre du passkey n'apparaîtra pas immédiatement, mais grâce à la Conditional UI activée, le passkey stocké sera automatiquement suggéré et pré-rempli dès que nous cliquons sur le champ.

Android et Chrome

Application native iOS

iOS et Safari lors de la saisie du nom d'utilisateur

iOS et Safari au chargement de la page

Après avoir vérifié notre identité avec Face ID, le passkey est récupéré avec succès, nous donnant accès à notre compte.

PayPal s'est imposé comme un chef de file incontesté dans l'adoption des passkeys au sein des secteurs des services financiers et des paiements. Leur lancement précoce, leur déploiement mondial progressif et leur engagement envers les fonctionnalités de base des passkeys comme la Conditional UI et l'offre d'une expérience de connexion par passkey en un clic démontrent une approche avant-gardiste pour améliorer à la fois la sécurité et l'expérience utilisateur.

En positionnant stratégiquement les passkeys comme un remplacement des mots de passe, PayPal s'attaque directement aux menaces prévalentes comme le phishing et le bourrage d'identifiants, ce qui se traduit par des avantages tangibles tels que la réduction de la fraude et l'augmentation des taux de réussite de connexion. Le processus de connexion simplifié de PayPal, impliquant souvent juste une analyse biométrique rapide, offre une amélioration significative de l'utilisabilité par rapport aux flux traditionnels de mot de passe et d'OTP.

Bien que l'intégration des passkeys en Europe nécessite de gérer les complexités de la DSP2 et de l'AFC, ce qui entraîne parfois des flux d'authentification en plusieurs étapes qui diffèrent de l'expérience passkey idéale, le plaidoyer actif de PayPal pour une évolution réglementaire souligne leur engagement à atteindre une expérience mondiale plus harmonisée et sans friction. Leur implémentation technique, axée sur la Conditional UI et l'intégration dans les applications natives, présente les meilleures pratiques pour le déploiement des passkeys.

Le parcours de PayPal avec les passkeys fournit un modèle convaincant pour d'autres banques, fournisseurs de paiement et institutions financières. Il démontre que l'adoption de cette norme d'authentification moderne est non seulement réalisable dans un environnement hautement réglementé, mais qu'elle offre également des avantages significatifs en matière de sécurité, d'affaires et d'expérience utilisateur. Alors que PayPal continue d'accélérer son déploiement mondial de passkeys en 2025 et au-delà, ils ouvrent la voie à un avenir plus sûr et sans mot de passe pour les paiements en ligne. Espérons que beaucoup d'autres suivront leur exemple. N'hésitez pas à nous contacter pour toute question relative aux passkeys dans le domaine des paiements.

Que sont les passkeys PayPal ?

Les passkeys PayPal sont une méthode moderne et sécurisée pour vous connecter à votre compte PayPal sans avoir besoin de mot de passe. Ils utilisent la cryptographie et sont stockés de manière sécurisée sur votre appareil (comme votre smartphone ou votre ordinateur) ou dans un gestionnaire de passkeys synchronisé dans le cloud (comme le Trousseau iCloud ou le Gestionnaire de mots de passe de Google).

Comment les passkeys PayPal améliorent-ils la sécurité ?

Les passkeys PayPal sont résistants au phishing car ils sont liés au site web spécifique de PayPal et ne peuvent pas être trompés pour fonctionner sur de faux sites. Ils protègent également contre le bourrage d'identifiants et les violations de données car votre clé privée ne quitte jamais votre appareil. Cela offre une sécurité plus forte que les mots de passe traditionnels et peut remplacer des méthodes moins sûres comme les OTP par SMS, agissant comme une forme robuste d'A2F.

Comment configurer un passkey PayPal ?

Vous pouvez configurer un passkey depuis la section « Connexion et sécurité » dans les paramètres de votre compte PayPal sur le site web de PayPal ou dans l'application mobile native. Le processus implique de vérifier votre identité, puis d'utiliser la méthode de déverrouillage de l'écran de votre appareil (comme l'empreinte digitale ou la reconnaissance faciale, ou le code PIN de l'appareil) pour créer et enregistrer le passkey.

Puis-je utiliser les passkeys PayPal sur plusieurs appareils ?

Oui, si vous utilisez un gestionnaire de passkeys qui se synchronise entre les appareils (comme le Trousseau iCloud pour les appareils Apple ou le Gestionnaire de mots de passe de Google pour Android et Chrome), votre passkey PayPal peut être utilisé pour une connexion transparente à PayPal sur tous vos appareils synchronisés. Vous pourriez avoir besoin d'approuver la connexion sur un autre appareil à proximité dans certains cas.

Les passkeys PayPal remplacent-ils entièrement les mots de passe ?

Pour les utilisateurs qui ont configuré un passkey, il offre une connexion à PayPal sans mot de passe. Actuellement, les passkeys sont principalement destinés à la connexion aux comptes existants et vous ne pouvez pas créer un nouveau compte PayPal sans définir initialement un mot de passe. Cependant, l'objectif stratégique est de tendre vers un avenir sans mot de passe où les passkeys sont la principale méthode d'authentification.

Les passkeys PayPal sont-ils un type d'A2F ?

Les passkeys fournissent intrinsèquement une authentification multi-facteurs (quelque chose que vous avez - l'appareil avec la clé, et quelque chose que vous êtes - la biométrie, ou quelque chose que vous savez - le code PIN de l'appareil). Lorsqu'ils sont utilisés pour la connexion à PayPal, ils remplacent le mot de passe et servent de méthode d'authentification très forte qui peut répondre aux exigences de l'A2F. En Europe, en raison des règles de l'AFC, une étape supplémentaire peut parfois être requise même après l'utilisation d'un passkey.

Puis-je utiliser une clé de sécurité physique comme passkey PayPal ?

Oui, la norme des passkeys prend en charge l'utilisation de clés de sécurité FIDO2 (comme les YubiKeys) pour stocker les passkeys. Bien que moins courant pour l'utilisateur moyen par rapport aux passkeys synchronisés dans le cloud, c'est une méthode prise en charge pour ceux qui préfèrent un passkey adossé à du matériel.

Les passkeys PayPal sont-ils disponibles dans mon pays ?

PayPal a commencé à déployer les passkeys aux États-Unis fin 2022 et s'est progressivement étendu à d'autres pays, y compris les principaux marchés européens comme l'Allemagne et le Royaume-Uni depuis mi-2023. PayPal accélère le déploiement mondial en 2025. Vérifiez les paramètres de votre compte ou le centre d'aide de PayPal pour connaître la dernière disponibilité dans votre région.

Que dois-je faire si mon passkey PayPal ne fonctionne pas ?

Si votre passkey PayPal ne fonctionne pas, confirmez d'abord la compatibilité de votre appareil et de votre navigateur (Chrome, Safari, Edge, Firefox avec les dernières mises à jour). Essayez de supprimer et de rajouter votre passkey via les paramètres de votre compte. Vider le cache ou redémarrer votre navigateur/appareil peut également résoudre les problèmes courants.

Les passkeys PayPal sont-ils disponibles en Australie ?

Oui, PayPal a progressivement étendu la disponibilité des passkeys à l'Australie depuis début 2024. Les utilisateurs australiens peuvent activer les passkeys via la section « Connexion et sécurité » dans les paramètres de leur compte PayPal. Assurez-vous que votre appareil prend en charge les passkeys (iOS 16+, Android 9+, macOS Ventura, Windows 10+) pour une expérience optimale.

Quels navigateurs prennent en charge les passkeys PayPal ?

Les passkeys PayPal sont largement pris en charge par les navigateurs modernes, y compris Chrome, Safari, Edge et Firefox. Assurez-vous que votre navigateur est mis à jour à la dernière version pour une compatibilité et une sécurité optimales.

Comment activer la connexion par passkey pour PayPal ?

Pour activer les passkeys PayPal, connectez-vous à votre compte, accédez à « Connexion et sécurité », sélectionnez « Passkeys », et suivez les instructions pour créer et enregistrer votre passkey en utilisant l'authentification biométrique intégrée de votre appareil ou son code PIN.

Puis-je utiliser les passkeys PayPal avec Firefox ?

Oui, les passkeys PayPal sont pris en charge dans Firefox. Assurez-vous que votre navigateur Firefox est mis à jour à la dernière version. Vous pouvez créer et gérer les passkeys via les paramètres de votre compte PayPal, en utilisant le support natif des passkeys de Firefox.

Comment fonctionne la connexion par code QR avec les passkeys PayPal ?

Lorsque vous vous connectez à PayPal depuis un appareil sans passkey enregistré, vous pouvez scanner un code QR affiché à l'écran à l'aide d'un appareil qui possède votre passkey. Le code QR déclenche l'authentification sur votre appareil principal, vous connectant en toute sécurité sans saisir de mot de passe.

Les passkeys PayPal sont-ils disponibles au Royaume-Uni ?

Oui, les passkeys PayPal sont disponibles au Royaume-Uni depuis mi-2023. Les utilisateurs britanniques peuvent configurer des passkeys via les paramètres de leur compte PayPal et profiter de connexions sécurisées et sans mot de passe sur les appareils pris en charge.

Puis-je utiliser une YubiKey pour les passkeys dans PayPal ?

Oui, PayPal prend en charge les clés de sécurité matérielles comme la YubiKey pour l'authentification par passkey. Vous pouvez enregistrer votre YubiKey via la configuration des passkeys de PayPal sous « Connexion et sécurité », offrant une sécurité robuste et adossée à du matériel pour votre compte.

Pourquoi dois-je fournir un code A2F après avoir utilisé un passkey ?

Dans certaines régions comme l'Europe, les exigences réglementaires de la DSP2/AFC peuvent imposer une étape de vérification supplémentaire même après une authentification par passkey réussie. Cette étape A2F supplémentaire garantit la conformité et renforce la sécurité du compte, en particulier pour les connexions depuis des appareils nouveaux ou à haut risque.