Une remise en cause du MFA classique face aux attaques modernes
Les mécanismes d’authentification traditionnels reposant sur des mots de passe et des facteurs supplémentaires (OTP SMS, applications d’authentification, notifications push) ont longtemps constitué un standard dans les institutions financières.
Cependant, les retours opérationnels récents montrent une montée significative des contournements :
- attaques de type MFA fatigue (validation frauduleuse via push),
- interception d’OTP (SIM swap, malware, phishing en temps réel),
- attaques de relais (Adversary-in-the-Middle),
- ingénierie sociale ciblant les utilisateurs finaux.
Les analyses publiées par la CISA et les rapports de menace de Microsoft Digital Defense indiquent que ces techniques permettent aujourd’hui de compromettre des comptes protégés par MFA classique, notamment dans des contextes BEC ou d’accès aux environnements cloud.
Dans ce contexte, la notion d’authentification dite “phishing-resistant” s’impose progressivement comme un standard cible.
Passkeys et FIDO2 : principes techniques
Les passkeys reposent sur les standards FIDO2 (Fast Identity Online) et WebAuthn, définis par le W3C et portés par l’écosystème industriel de la FIDO Alliance.
Le principe est fondamentalement différent des modèles traditionnels :
- authentification basée sur une clé cryptographique asymétrique,
- clé privée stockée localement (terminal, secure enclave, TPM),
- clé publique enregistrée côté service,
- absence de secret partagé (pas de mot de passe transmis).
Lors de l’authentification :
- le serveur envoie un challenge,
- le terminal signe ce challenge avec la clé privée,
- la signature est vérifiée avec la clé publique.
Ce mécanisme présente plusieurs propriétés clés :
- résistance native au phishing (le challenge est lié au domaine),
- impossibilité de réutilisation des identifiants,
- absence de transmission de secrets exploitables.
Les spécifications WebAuthn précisent que la validation inclut le binding au domaine (origin binding), ce qui empêche un attaquant de reproduire une authentification sur un site frauduleux.
Pourquoi les passkeys sont considérées comme “phishing-resistant”
Contrairement aux OTP ou aux notifications push, les passkeys ne reposent pas sur une action humaine transférable.
Dans les scénarios d’attaque classiques :
- un utilisateur peut transmettre un OTP,
- valider une notification frauduleuse,
- ou être trompé par une interface imitant un service légitime.
Avec FIDO2 :
- la signature est générée localement,
- elle est liée au domaine exact du service,
- elle ne peut pas être réutilisée ailleurs.
Les travaux de la FIDO Alliance et les recommandations du NIST (SP 800-63) classent ces mécanismes parmi les méthodes d’authentification les plus robustes face au phishing
Limites opérationnelles des passkeys
Malgré leurs avantages, les passkeys ne constituent pas une solution universelle.
1. Dépendance aux terminaux
Les clés privées sont stockées sur des dispositifs :
- smartphones,
- ordinateurs,
- tokens matériels.
Cela introduit des problématiques de :
- perte de terminal,
- renouvellement des équipements,
- gestion des accès multi-devices.
2. Expérience utilisateur et adoption
Dans les parcours clients :
- compréhension limitée du fonctionnement,
- dépendance à des écosystèmes (Apple, Google, Microsoft),
- friction potentielle lors de la migration.
Les retours de déploiement indiquent que l’adoption dépend fortement de la qualité du parcours utilisateur.
3. Gestion des comptes et récupération
L’absence de mot de passe implique de repenser :
- les mécanismes de récupération de compte,
- les procédures de support,
- les contrôles d’identité en cas de perte d’accès.
Ces scénarios deviennent critiques dans le secteur bancaire, où les exigences de sécurité sont élevées.
4. Couverture fonctionnelle
Certaines situations restent complexes :
- accès depuis des environnements non maîtrisés,
- intégration avec des systèmes legacy,
- compatibilité avec certains workflows métiers.
Cas d’usage dans la finance
1. Authentification client (retail banking)
Les passkeys peuvent être utilisées pour :
- accès aux applications mobiles,
- validation de transactions sensibles,
- remplacement progressif des mots de passe.
Objectif :
réduire les fraudes liées au phishing et aux identifiants compromis.
2. Accès aux environnements internes
Pour les collaborateurs :
- accès aux postes de travail,
- authentification aux applications critiques,
- sécurisation des accès distants.
Les recommandations de la CISA et du NIST encouragent l’usage de méthodes phishing-resistant pour les comptes sensibles.
3. Comptes à privilèges
Cas prioritaire :
- administrateurs,
- équipes IT,
- accès aux systèmes critiques.
Les attaques récentes montrent que ces comptes sont des cibles privilégiées dans les intrusions.
4. Accès aux infrastructures cloud
Les environnements cloud (AWS, Azure, GCP) sont particulièrement exposés aux attaques par vol d’identifiants.
L’utilisation de passkeys permet de :
- limiter les risques de compromission,
- renforcer les mécanismes IAM.