Authentification résistante au phishing : passkeys, FIDO et nouveaux standards pour les parcours financiers

Actualité Cybersécurité

Une évolution nécessaire des mécanismes d’authentification

La montée des campagnes de phishing ciblées, des fraudes BEC et des attaques assistées par IA générative met sous pression les mécanismes d’authentification utilisés dans les services financiers. Les mots de passe, les codes OTP transmis par SMS ou les validations par notification peuvent être contournés dans certains scénarios : hameçonnage en temps réel, ingénierie sociale, SIM swap, attaques de relais ou fatigue liée aux notifications d’authentification.

Dans ce contexte, les passkeys et les standards FIDO2 / WebAuthn s’imposent progressivement comme une évolution structurante. Ils ne constituent pas une solution universelle, mais ils apportent une réponse robuste à un problème bien identifié : la dépendance à des secrets que l’utilisateur peut saisir, transmettre ou valider sur un faux site.

Les travaux de la FIDO Alliance, du W3C avec WebAuthn, ainsi que les recommandations du NIST sur l’identité numérique convergent vers un principe commun : l’authentification doit progressivement s’éloigner des secrets réutilisables pour s’appuyer sur des mécanismes cryptographiques liés au terminal, au service et au contexte d’usage.

Passkeys : de quoi parle-t-on exactement ?

Une passkey est un identifiant cryptographique fondé sur les standards FIDO. Elle permet à un utilisateur de se connecter à un service avec le même geste que celui utilisé pour déverrouiller son appareil : biométrie locale, code PIN ou mécanisme de déverrouillage du terminal.

Le principe technique repose sur une paire de clés cryptographiques :

une clé privée, conservée côté utilisateur dans un terminal, un gestionnaire de passkeys ou un authentificateur matériel ;
une clé publique, enregistrée côté service.

Lors de la connexion, le service envoie un défi cryptographique. L’appareil de l’utilisateur signe ce défi avec la clé privée. Le service vérifie ensuite la signature avec la clé publique.

Aucun mot de passe n’est transmis. Aucun code OTP ne doit être recopié. Aucun secret partagé ne circule entre l’utilisateur et le service.

Ce modèle réduit fortement l’exposition aux attaques de phishing traditionnelles, car l’authentification est liée au domaine légitime du service. Un faux site ne peut pas simplement récupérer un mot de passe ou un code à usage unique pour le réutiliser.

Pourquoi parle-t-on d’authentification résistante au phishing ?

L’expression “phishing-resistant” doit être comprise précisément. Elle ne signifie pas que toute attaque devient impossible. Elle signifie que le mécanisme d’authentification ne peut pas être facilement détourné par une page frauduleuse ou par la capture d’un secret réutilisable.

Avec un mot de passe ou un OTP, l’utilisateur peut être trompé et transmettre une information exploitable. Avec une passkey, l’authentification repose sur une signature cryptographique qui ne fonctionne que dans le contexte prévu. Le standard WebAuthn, porté par le W3C, introduit notamment cette logique d’attachement au service légitime via le navigateur, le client WebAuthn et l’authentificateur.

Ce point est particulièrement important dans les parcours financiers, où les attaquants cherchent souvent à détourner l’accès au compte, initier une fraude au virement, modifier un bénéficiaire ou compromettre un espace client.

Cas d’usage dans les parcours bancaires et assurantiels

Les passkeys peuvent être envisagées dans plusieurs contextes.

Pour les clients particuliers, elles peuvent simplifier l’accès aux applications mobiles ou aux espaces bancaires en ligne, tout en réduisant la dépendance au mot de passe. Elles peuvent aussi renforcer certaines étapes sensibles, comme l’ajout d’un nouveau bénéficiaire, la modification de données personnelles ou la validation d’opérations à risque.

Pour les clients entreprises, l’intérêt porte sur les accès aux portails de cash management, aux interfaces de paiement, aux espaces de gestion de contrats ou aux services d’assurance collective. Ces environnements sont particulièrement exposés aux compromissions d’identifiants et aux fraudes par ingénierie sociale.

Pour les collaborateurs internes, les passkeys peuvent contribuer à sécuriser les accès aux environnements sensibles : postes d’administration, outils cloud, consoles IAM, applications critiques, accès distants, environnements DevOps ou systèmes de gestion des incidents.

Les comptes à privilèges constituent un cas prioritaire. Lorsqu’un administrateur, un opérateur back-office ou un collaborateur ayant accès à des fonctions critiques utilise une authentification fondée sur un secret faible ou réutilisable, le risque de compromission demeure élevé.

Authentification forte, MFA et passkeys : éviter les confusions

Il est important de distinguer les notions.

L’authentification multifacteur désigne l’utilisation de plusieurs facteurs : connaissance, possession, inhérence. Mais tous les facteurs ne se valent pas. Une authentification peut être multifactorielle tout en restant exposée au phishing si elle repose sur un code recopiable, une notification validable sous pression ou un canal faible.

L’authentification forte suppose un niveau de robustesse supérieur, incluant la résistance à certains scénarios d’attaque. Les passkeys, lorsqu’elles sont correctement mises en œuvre, se rapprochent davantage de cette logique, car elles reposent sur une preuve cryptographique non transférable par simple saisie.

Pour les établissements financiers, l’enjeu n’est donc pas de remplacer un acronyme par un autre, mais d’évaluer la résistance réelle du mécanisme face aux scénarios d’attaque observés : phishing en temps réel, interception de session, manipulation de l’utilisateur, compromission du support client ou attaque sur les procédures de récupération de compte.

Limites opérationnelles des passkeys

Les passkeys améliorent significativement la posture d’authentification, mais elles introduisent aussi des questions opérationnelles.

La première concerne la récupération de compte. Si un utilisateur perd son terminal, change de smartphone ou n’a plus accès à son gestionnaire de passkeys, l’établissement doit proposer une procédure de récupération suffisamment robuste. Or, une procédure de récupération faible peut devenir le nouveau point d’entrée des attaquants.

La deuxième concerne la synchronisation. Certaines passkeys peuvent être synchronisées entre plusieurs appareils via des écosystèmes fournisseurs. Cela améliore l’expérience utilisateur, mais déplace une partie du risque vers le gestionnaire de passkeys et le compte qui protège cette synchronisation. Les passkeys liées à un dispositif matériel offrent généralement un modèle plus strict, mais parfois moins fluide pour l’utilisateur.

La troisième concerne l’intégration avec les systèmes existants. Les banques et assurances disposent souvent d’environnements hétérogènes : applications historiques, portails clients, outils internes, systèmes mobiles, prestataires IAM et parcours réglementés. La migration vers les passkeys nécessite donc une trajectoire progressive.

Enfin, les passkeys ne protègent pas contre tous les risques. Elles ne remplacent pas la détection comportementale, la supervision des sessions, l’analyse de fraude, la protection des terminaux ou les contrôles sur les opérations sensibles.

Parcours client : sécurité et expérience utilisateur

L’un des intérêts des passkeys est de concilier sécurité et simplicité. Pour l’utilisateur, l’expérience peut être plus fluide qu’un mot de passe ou qu’un code OTP. Ce point est important dans les services financiers, où les mécanismes de sécurité trop complexes peuvent conduire à des abandons, à une surcharge du support ou à des contournements.

Mais l’expérience utilisateur doit être conçue avec prudence. Les messages d’enrôlement doivent être clairs, les cas de perte doivent être anticipés, les exceptions doivent être limitées et les parcours de récupération doivent faire l’objet de contrôles renforcés.

Le déploiement ne doit pas uniquement être piloté par l’IAM. Il doit associer les équipes fraude, expérience client, conformité, juridique, support et cybersécurité.

Parcours internes : priorité aux accès sensibles

Dans les environnements internes, une approche pragmatique consiste à prioriser les populations les plus exposées :

administrateurs ;
équipes IT et cloud ;
opérateurs back-office ;
équipes SOC / CSIRT ;
utilisateurs de plateformes de paiement ;
collaborateurs ayant accès à des données sensibles ;
fonctions dirigeantes exposées aux attaques BEC.

Pour ces populations, les passkeys ou authentificateurs FIDO matériels peuvent réduire le risque de compromission par phishing ou vol d’identifiants. Leur efficacité dépend toutefois de la qualité de l’intégration IAM, de la gestion des terminaux, de la journalisation et de la capacité à détecter les comportements anormaux après authentification.

Articulation avec la lutte contre la fraude

Les passkeys réduisent le risque d’accès frauduleux au compte, mais elles ne suffisent pas à empêcher toutes les fraudes financières.

Un client légitimement authentifié peut toujours être manipulé pour effectuer un virement. Un collaborateur correctement authentifié peut être victime d’une demande frauduleuse crédible. Une session valide peut être exploitée si le terminal est compromis ou si les procédures métiers sont faibles.

Les passkeys doivent donc s’articuler avec :

la détection comportementale ;
l’analyse de risque transactionnel ;
les contrôles sur les nouveaux bénéficiaires ;
la vérification des changements sensibles ;
la supervision des sessions ;
les dispositifs de lutte contre la fraude APP et BEC.

Dans un parcours financier, l’authentification est un point de contrôle important, mais elle n’est pas le seul.

Migration : une trajectoire progressive

Une migration réussie vers les passkeys repose généralement sur plusieurs étapes.

La première consiste à cartographier les parcours à risque : accès client, accès collaborateur, comptes à privilèges, portails entreprises, opérations sensibles.

La deuxième consiste à définir les cas d’usage prioritaires. Le déploiement peut commencer sur les accès internes sensibles ou sur certains parcours clients à forte exposition.

La troisième consiste à maintenir une phase de coexistence, tout en évitant de conserver indéfiniment des mécanismes faibles qui annuleraient le bénéfice de la migration.

La quatrième consiste à tester les scénarios de récupération, d’enrôlement, de changement de terminal, de révocation et de support.

La cinquième consiste à mesurer les résultats : baisse des compromissions, réduction des demandes liées aux mots de passe, taux d’adoption, incidents de récupération, retours utilisateurs et évolution des fraudes.

Points d’attention pour les RSSI et directions risques

Les passkeys doivent être intégrées dans une gouvernance IAM complète.

Les questions clés sont les suivantes : quels parcours doivent être priorisés ? Quels types de passkeys sont acceptés ? Les passkeys synchronisées sont-elles autorisées pour tous les usages ? Les comptes à privilèges doivent-ils utiliser des authentificateurs matériels ? Comment traiter les exceptions ? Comment journaliser les enrôlements et les récupérations ? Comment articuler le dispositif avec les exigences de conformité et les scénarios de fraude ?

Dans un contexte DORA, la maîtrise des accès est un composant de la résilience opérationnelle numérique. Les passkeys peuvent contribuer à réduire certains risques ICT, mais leur déploiement doit être documenté, contrôlé et intégré à la cartographie des risques.

Perspective pour les banques et assurances

Les passkeys représentent une évolution importante des mécanismes d’authentification. Elles réduisent la dépendance aux mots de passe et aux codes réutilisables, tout en améliorant la résistance aux scénarios de phishing.

Mais leur adoption doit rester réaliste. Le principal risque serait de les présenter comme une solution complète à la fraude ou à la compromission de comptes. Elles doivent être vues comme un composant d’une stratégie plus large : authentification forte, IAM, détection comportementale, gouvernance des accès, protection des terminaux et contrôle des opérations sensibles.

Pour les banques et assurances, l’enjeu n’est pas seulement d’adopter un nouveau standard, mais de l’intégrer correctement dans les parcours financiers, internes et clients, avec une approche fondée sur le risque.

1. Qu’est-ce qu’une passkey ?

Une passkey est un identifiant cryptographique utilisé pour s’authentifier sans mot de passe.

Elle repose sur une paire de clés :

une clé privée conservée côté utilisateur ;
une clé publique enregistrée côté service.

Lors de la connexion, le service envoie un défi cryptographique que le terminal signe avec la clé privée. Le service vérifie ensuite cette signature avec la clé publique. Aucun mot de passe ni code OTP n’est transmis

2. Quelle différence entre passkeys, FIDO2 et WebAuthn ?

3. Pourquoi les passkeys sont-elles considérées comme résistantes au phishing ?

4. Les passkeys remplacent-elles l’authentification forte ?

NOS ACTUALITÉS

Actualité Cybersécurité

Assistants IA internes, prompt injection et shadow AI : nouveaux risques pour les banques et assurances

25/05/2026

L’adoption des assistants IA internes s’accélère dans les banques et les assurances. Copilotes bureautiques,...

Actualité Cybersécurité

DORA TLPT et TIBER-EU : comment préparer des tests réalistes sans transformer l’exercice en audit de façade

13/05/2026

La mise à jour du cadre TIBER-EU par la Banque centrale européenne en février...

Actualité Cybersécurité

Sécurité interbancaire et back-office : contrôles SWIFT, séparation des rôles et détection d’anomalies dans les opérations sensibles

06/05/2026

Les systèmes interbancaires et les environnements back-office restent parmi les actifs les plus sensibles...

Actualité Cybersécurité

Supply chain logicielle : SBOM, sécurisation CI/CD, contrôle des dépendances et détection d’introduction malveillante

23/04/2026

La sécurité des systèmes d’information bancaires et assurantiels ne se limite plus aux applications...

Actualité Cybersécurité

Tests “Threat-Led” (TLPT) : cadrage, scénarios, critères de succès et exploitation des résultats

15/04/2026

Table des matières Vers une approche orientée menaces dans la résilience cyberLes dispositifs de...

Actualité Cybersécurité

Passkeys dans les parcours financiers : bénéfices, limites et conditions de déploiement

06/04/2026

Table des matières Un nouveau standard, mais pas une solution isoléeLes passkeys s’imposent progressivement...

Actualité Cybersécurité

Sécurité des assistants IA internes : prompt injection, data leakage, RAG et contrôle des accès

27/03/2026

Table des matières L’intégration d’assistants IA internes — copilotes métiers, agents conversationnels, outils d’aide...

Actualité Cybersécurité

Risque de concentration et “exit plan” : exigences réelles de réversibilité cloud/SaaS et tests associés

19/03/2026

Table des matières La généralisation du cloud et des services SaaS dans le secteur...

Actualité Cybersécurité

DORA en pratique : classification d’incident, preuves, reporting et coordination inter-fonctions

12/03/2026

Table des matières Depuis son entrée en application le 17 janvier 2025, DORA a...

Actualité Cybersécurité

Fraude aux paiements “APP” et Verification of Payee : implications cyber, processus et contrôle

05/03/2026

Table des matières La fraude APP, un risque en forte visibilité en Europe La...

Actualité Cybersécurité

Ransomware, sauvegardes hors ligne et résilience : enseignements des attaques 2025 – début 2026

19/02/2026

Table des matières Les rapports publiés fin 2025 par l’ENISA dans son Threat Landscape,...

Actualité Cybersécurité

Phishing augmenté par l’IA : vers une nouvelle génération de campagnes BEC ciblant la place financière

11/02/2026

Table des matières Le Business Email Compromise (BEC) demeure, selon le FBI Internet Crime...