--- url: 'https://www.corbado.com/fr/faq/les-passkeys-peuvent-elles-etre-piratees' title: 'Les passkeys peuvent-elles être piratées ?' description: 'Découvrez si les passkeys peuvent être piratées, leur niveau de sécurité et ce qui en fait une alternative plus sûre pour l''authentification des utilisateurs. Comprenez les risques potentiels et les protections.' lang: 'fr' keywords: 'piratage passkey, passkey piratée' --- # Les passkeys peuvent-elles être piratées ? ## Les passkeys peuvent-elles être piratées ? Les passkeys, par conception, sont significativement plus sécurisées que les mots de passe traditionnels et sont beaucoup plus difficiles à pirater en raison de leur nature cryptographique. Cependant, comme toute technologie, elles ne sont pas entièrement à l'abri de certaines vulnérabilités. > - **Les passkeys sont plus sécurisées que les mots de passe** grâce à leur base > cryptographique. > - Les passkeys **éliminent** les risques associés aux attaques de **phishing**, > **man-in-the-middle**, **brute-force**, **replay** et **credential stuffing**. --- ### Comprendre la sécurité des passkeys Les passkeys sont construites sur la norme WebAuthn et utilisent la cryptographie à clé publique pour authentifier les utilisateurs sans recourir aux mots de passe traditionnels. Cela les rend intrinsèquement plus sécurisées contre les menaces courantes telles que le [phishing](https://www.corbado.com/glossary/phishing), le [credential stuffing](https://www.corbado.com/glossary/credential-stuffing) et les attaques par force brute. Voici pourquoi les passkeys sont considérées comme sécurisées : - **Infrastructure à clé publique :** Les passkeys utilisent une paire de clés publique-privée, où la clé privée ne quitte jamais l'appareil de l'utilisateur, ce qui rend son interception par des attaquants presque impossible. - **Élimination des mots de passe :** Étant donné que les passkeys ne reposent pas sur des secrets partagés (comme les mots de passe), elles éliminent le risque de réutilisation des identifiants, une vulnérabilité courante dans les systèmes basés sur les mots de passe. - **Protection contre le phishing :** Les attaques de [phishing](https://www.corbado.com/glossary/phishing) sont inefficaces contre les passkeys car une passkey est toujours liée à l'origine (ID de la [relying party](https://www.corbado.com/glossary/relying-party)) pour laquelle elle a été créée. - **Pas de credential stuffing :** Les passkeys sont uniques pour chaque service et seule la clé publique est stockée côté serveur. Cela signifie qu'en cas de violation d'une [relying party](https://www.corbado.com/glossary/relying-party), cela n'a aucun impact sur les autres relying parties. - **Pas d'attaques par force brute :** Les passkeys reposent sur la cryptographie asymétrique et ne peuvent pas être devinées, ce qui les rend immunisées contre les attaques par force brute. - **Pas d'attaques Man-in-the-Middle :** Les attaques Man-in-the-Middle ne sont pas réalisables avec les passkeys car la clé privée utilisée pour l'[authentification](https://www.corbado.com/fr/blog/comment-passer-totalement-sans-mot-de-passe) ne quitte jamais l'appareil de l'utilisateur, garantissant qu'aucune information sensible n'est transmise qui pourrait être interceptée ou altérée. - **Pas d'attaques Replay :** Les attaques Replay ne sont pas possibles avec les passkeys car chaque session d'[authentification](https://www.corbado.com/fr/blog/comment-passer-totalement-sans-mot-de-passe) génère un challenge cryptographique unique et à usage unique qui ne peut pas être réutilisé ou répliqué par un attaquant. Cependant, bien que les passkeys offrent une sécurité supérieure, elles ne sont pas entièrement à l'abri du piratage : - **Attaques de la chaîne d'approvisionnement (Supply Chain Attacks) :** Un appareil compromis au niveau du fabricant pourrait potentiellement être altéré pour divulguer des clés cryptographiques. - **Ingénierie sociale (Social Engineering) :** Bien que le [phishing](https://www.corbado.com/glossary/phishing) soit moins efficace, les attaquants pourraient toujours utiliser des techniques d'ingénierie sociale pour inciter les utilisateurs à créer des passkeys pour des sites web malveillants. - **Vol de session (Session Theft) :** Les passkeys rendent la partie [authentification](https://www.corbado.com/fr/blog/comment-passer-totalement-sans-mot-de-passe) sécurisée et simple pour les utilisateurs. Cependant, selon l'implémentation de la [relying party](https://www.corbado.com/glossary/relying-party), la session pourrait toujours être volée et utilisée à des fins malveillantes. ---