Même combiné à l’authentification multifactorielle (MFA), le mot de passe reste un secret que l’utilisateur peut être amené à divulguer ou à valider sous l’effet d’une manipulation, notamment lors d’une tentative de phishing. Dans ce contexte, de plus en plus d’entreprises se tournent vers une approche alternative, l’authentification sans mot de passe (passwordless), fondée notamment sur les passkeys et la biométrie.
Du secret partagé à l’authentification cryptographique
Le principal changement introduit par les passkeys rompt avec le modèle traditionnel du secret partagé. Dans les systèmes classiques, le mot de passe est une information connue à la fois par l’utilisateur et par le service. S’il est compromis, l’accès au compte l’est aussi. Les passkeys reposent au contraire sur une architecture à clé publique. Lors de l’enregistrement, l’appareil de l’utilisateur génère une paire de clés : une clé privée conservée localement sur le terminal ou dans un token sécurisé, et une clé publique transmise au service.
Lors de la connexion, l’utilisateur valide simplement son identité sur son appareil, souvent via un facteur biométrique. Le terminal signe alors la requête avec la clé privée, que le service vérifie grâce à la clé publique. Aucun identifiant n’est saisi ni transmis, ce qui réduit considérablement les risques de phishing. De plus, chaque passkey est cryptographiquement liée au domaine du service, l’empêchant ainsi de fonctionner sur un site frauduleux imitant une interface légitime.
L’apport de la biométrie dans l’authentification sans mot de passe
Dans ce modèle, la biométrie ne remplace pas la cryptographie mais sert à déverrouiller la clé privée stockée sur l’appareil, ajoutant ainsi un facteur d’authentification fondé sur l’identité biologique de l’utilisateur.
Ce dernier n’a plus besoin de mémoriser ou de saisir des identifiants, et l’entreprise bénéficie alors d’une authentification liée à l’utilisateur et à son terminal. Cette approche simplifie aussi l’expérience utilisateur, notamment en réduisant les tickets de support liés à la gestion des mots de passe (oubli, réinitialisation, etc.). En éliminant ces frictions, la solution sans mots de passe renforce la sécurité tout en améliorant l'efficacité globale.
Se prémunir contre les attaques de présentation
L’authentification biométrique présente un défi technique majeur, celui de distinguer un signal authentique d’une tentative de fraude. Les attaques de « présentation » utilisent des artefacts physiques ou numériques tels que des photos, des vidéos, des masques ou encore des reproductions d’empreintes. Or, avec la montée des deepfakes, ces techniques deviennent de plus en plus accessibles.
Pour contrer cela, les systèmes biométriques intègrent des mécanismes de « liveness detection » qui vérifient que le signal provient bien d’une personne réelle. Deux approches existent : la détection active, qui demande à l’utilisateur d’effectuer une action comme cligner des yeux ou tourner la tête, et la détection passive, qui analyse des éléments comme la texture de la peau ou la profondeur du visage, sans interaction supplémentaire.
Chaque approche présente des compromis : si les méthodes actives offrent une détection plus précise des fraudes, elles peuvent nuire à l’expérience utilisateur. Les méthodes passives, quant à elles, garantissent une expérience plus fluide, mais sont sensibles à la qualité de l’implémentation.
Les enjeux de conformité et de protection des données
L’adoption de la biométrie en entreprise soulève des questions réglementaires importantes. Les données biométriques étant sensibles, leur collecte et leur traitement sont encadrés par des réglementations strictes. Pour limiter les risques, les systèmes modernes évitent de stocker les données biométriques exploitables, en utilisant des représentations mathématiques ou des empreintes cryptographiques impossibles à reconstruire.
La conformité dépend du cadre juridique applicable à chaque organisation et territoire. Les entreprises doivent s’assurer que leurs choix technologiques respectent les exigences réglementaires locales et les politiques internes de protection des données.
Une transition progressive vers le passwordless
Bien que la disparition totale du mot de passe soit progressive, les technologies pour une authentification sans mot de passe sont désormais largement disponibles. L’enjeu pour les entreprises est désormais architectural, à savoir intégrer ces mécanismes dans des environnements d’identité complexes, composés de multiples applications et dispositifs.
Dans un contexte où les identités sont la cible principale des cybercriminels, les stratégies d’authentification évoluent rapidement. Les passkeys et la biométrie deviennent des leviers clés pour renforcer la sécurité tout en simplifiant l’accès aux services numériques.
La question n’est peut-être plus de savoir si le mot de passe disparaîtra, mais à quelle vitesse les organisations seront capables d’en réduire la dépendance.
Par Bruno Durand, Vice-président régional pour l’Europe du Sud chez Sophos
