● Journal du Net 📅 16/04/2026 à 15:00

Cybersécurité 👤 Fabrice De Vésian

🏷️ Tags : phishing cert pto rte

Face aux enjeux européens 2030-2035, les passkeys et la cryptographie post-quantique (PQC) réinventent la sécurité : une authentification matérielle, sans mot de passe et résiliente face au futur. La récente feuille de route de la Commission européenne définit une voie claire : achever la migration des cas d'usage critiques d'ici 2030 et viser une adoption généralisée de la cryptographie post-quantique (PQC) pour les systèmes restants d'ici 2035. L'année 2025 a été marquée par les discussions autour de la fin des mots de passe traditionnels et de la montée rapide des passkeys. Ce changement représente une réinvention de la sécurité numérique, promettant une authentification plus forte et une réduction des frictions tant pour les utilisateurs que pour les entreprises. L'élan mondial autour des passkeys, porté par l'Alliance FIDO, est indéniable. Cette technologie utilise la cryptographie à clé publique et la vérification biométrique pour remplacer les mots de passe vulnérables, éliminant ainsi les menaces courantes comme le phishing et les compromissions de données. Exploiter tout le potentiel du sans mot de passe exige d'innover au-delà de la simple connexion. Les défis fondamentaux incluent la résistance au quantique et l'extension des passkeys au chiffrement, à la signature et à l'identité numérique. Parvenir à une adoption universelle exige une interopérabilité et une standardisation mondiales sur tous les systèmes d'exploitation et appareils afin d'assurer une expérience utilisateur fluide. L'évolution des passkeys Les clés de sécurité matérielles ont été développées à la fin des années 2000 avec l'objectif ambitieux de fournir un mécanisme d'authentification robuste et centré sur la vie privée, accessible aux utilisateurs du monde entier. Celui-ci tire parti de la puissance de la cryptographie asymétrique à grande échelle, établissant avec succès une norme d'authentification intrinsèquement résistante aux attaques de phishing, et créant une réalité pour dépasser définitivement les mots de passe. Les organisations disposent ainsi d’une solution non seulement très sécurisée, mais aussi relativement simple à mettre en œuvre. Fruit d'une collaboration étroite entre l'industrie et les organismes de normalisation, le protocole initial U2F a cédé la place aux standards WebAuthn/FIDO2. Au-delà de la sécurisation du bureau au mobile, cette transition consacre l'avènement du passwordless, levant ainsi les verrous techniques du standard U2F qui rendaient cet usage impossible. En marge du déploiement de ces normes, un effort stratégique de rebranding a été lancé, en désignant les références FIDO par le terme plus accessible et descriptif de « passkeys ». Les passkeys représentent un bond en avant tant dans l'expérience utilisateur que dans la posture globale de sécurité. En simplifiant une connexion sans mot de passe, elles surpassent les limites de l’authentification multi-facteurs (MFA) traditionnelle et éliminent les risques liés à l'usage de codes comme facteur de sécurité principal. Ainsi, le maillon faible de la sécurité numérique, la dépendance à des secrets partagés et mémorisables (mots de passe), est supprimé grâce à l'enracinement de l'authentification dans des preuves cryptographiques. Le déploiement de l’identité numérique post-quantique en conditions réelles Les passkeys s'appliquent bien au-delà des simples scénarios de connexion. Une application concrète consiste à utiliser une clé de sécurité physique, intégrée à un portefeuille numérique standardisé, pour vérifier les identifiants. Dans ce modèle, la base de sécurité résistante au phishing, initialement dédiée à l'authentification, sert également à confirmer ou approuver des actions sensibles. Cette approche se distingue d'abord par l'adaptabilité de la plateforme, puisque les développeurs peuvent concevoir des expériences utilisateur avancées et sécurisées sans remplacer les cadres existants. Elle garantit ensuite une réelle facilité d'utilisation en s'appuyant sur un modèle d'interaction cohérent et une clé de sécurité déjà familière. Enfin, elle renforce la confidentialité en liant les opérations sensibles à un appareil physique restant sous le contrôle exclusif de l'utilisateur. Dans ce contexte, les passkeys et les identifiants vérifiables sont complémentaires plutôt que compétitifs, travaillant ensemble pour renforcer la sécurité numérique et l'assurance de l'identité. L'avenir post-quantique des clés de sécurité Les signatures post-quantique sur les clés de sécurité matérielles sont conçues pour paraître banales du point de vue de l'utilisateur : toucher l'appareil, produire une signature, et continuer normalement. En coulisses, la cryptographie est plus complexe, car elle vise à résister à d'éventuelles attaques futures d'ordinateurs quantiques. Le travail de normalisation au sein de FIDO, Internet Engineering Task Force (IETF) et des organismes associés progresse, mais la préparation au post-quantique dépasse les signatures. Elle implique également des protocoles PIN, des attestations, des flux d'enregistrement et la conception de systèmes flexibles. Les solutions actuelles sont encore des démonstrations techniques, pas des produits prêts à l’emploi. Elles soulignent aussi le besoin de nouveaux équipements, car les algorithmes PQ dépassent les capacités des clés de sécurité actuelles. En pratique, ces capacités permettent de valider des actions sensibles de façon très sécurisée, telles que les déploiements de code ou des virements, le tout via une simple interaction physique avec une clé de sécurité matérielle. Elles favorisent également une meilleure protection de la vie privée, en gardant les données sur les appareils contrôlés par l’utilisateur plutôt que dans le cloud. Le matériel post-quantique peut renforcer davantage les passkeys grâce à l'utilisation de preuves vérifiables : on prouve à la fois qu’on possède un appareil et certaines informations spécifiques, sans pour autant tout révéler. Le tout se fait via une seule interaction matérielle simple et familière. Alors, l'engagement continu envers l'agilité crypto est une nécessité. Adopter la PQC prendra du temps, mais cette adaptation est normale et nécessaire. La sécurité évolue. L’utilisateur ne prouve plus seulement un mot de passe, il démontre qu’il possède quelque chose et qu’il agit volontairement, tout en partageant un minimum d’informations. Les identifiants matériels restent la manière la plus fiable d'atteindre cet équilibre à grande échelle avec un objectif clair : de rendre la sécurisation des identités plus forte mais aussi plus simple à utiliser.

🔗 Lire l'article original 👁️ 0 lecture