Essai gratuit

FIDO Authenticate 2025 : Ce que j'ai appris sur les passkeys à grande échelle

Authentification
Murtaza Hafizji,
Authenticate 2025 with OneSpan team

La semaine dernière, j'ai assisté à ma première conférence FIDO Authenticate à Carlsbad, en Californie. Après avoir assisté au séminaire FIDO de Dallas il y a quelques mois, j'avais une bonne connaissance des principes fondamentaux des clés de sécurité. Mais trois jours de sessions, de conversations sur les stands et de discussions dans les couloirs avec des praticiens de dizaines d'entreprises ont révélé le fossé qui existe entre la compréhension des passkeys et leur déploiement à grande échelle.

Ce qui m'a le plus frappé, ce n'est pas la technologie elle-même ; les passkeys sont bien compris à ce stade, mais la maturité des conversations. C'est la maturité des conversations qui m'a le plus frappé.

Les organisations ne débattaient pas de la question de savoir si les passkeys fonctionnaient. Elles résolvaient les problèmes de production, comparaient les mesures d'adoption entre les plates-formes et partageaient les leçons durement acquises des déploiements au service de millions d'utilisateurs.

Andrew Shikiar, directeur exécutif de l'alliance FIDO, a ouvert la conférence en évoquant une étape importante qui témoigne de cet élan: Plus de 3 milliards de passkeys sont aujourd'hui utilisés dans le monde.

Ce chiffre a été atteint en moins de trois ans, ce qui constitue un exploit remarquable pour toute norme d'authentification. Le thème de la conférence, "Atteindre une sécurité utilisable tout au long du cycle de vie du compte", a parfaitement rendu compte de cette évolution.

Les organisations se sont concentrées sur le travail pratique consistant à assurer le succès des passkeys en production et à explorer ce qu'est la sécurité complète des comptes au-delà de la simple authentification.

Authenticate 2025 speaker Rolf Lindemann

Rolf Lindemann, OneSpan VP Products

Ce que personne ne vous dit sur la mise en œuvre des passkeys

Rolf Lindemann, de OneSpan, a ouvert sa session intitulée "Passkeys in Action : Leçons du monde réel en première ligne", avec un scénario que de nombreuses personnes présentes dans la salle ont reconnu. Un développeur hypothétique trouve un exemple de code pour les passkeys et dit avec assurance à son patron : "C'est si facile, donnez-moi quatre semaines pour l'implémenter."

La salle a ri en connaissance de cause. Le code est la partie facile. Ce qui prend du temps, ce sont les défis qui n'apparaissent qu'en production, notamment

  • Gérer l'inscription des utilisateurs sans friction
  • Soutenir les utilisateurs qui perdent leur appareil
  • Gérer les utilisateurs qui changent de plateforme
  • Passer de milliers à des millions d'utilisateurs

Il s'agit là de défis conceptuels et opérationnels, et non de problèmes techniques. Entre les sessions de notre stand OneSpan mettant en avant notre message "Sécurisez chaque moment de l'identité" et les conversations avec les utilisateurs de l'application : "Sécurisez chaque moment de l'identité", et les conversations avec les responsables de la mise en œuvre d'entreprises allant des startups aux entreprises du classement Fortune 20, trois tendances se sont dégagées.

Le timing fait ou défait l'adoption

Uber a mis au point une solution de laissez-passer techniquement parfaite, mais les utilisateurs ont continué à choisir des mots de passe. La solution ? L'entreprise a expérimenté le moment où elle invitait les utilisateurs à s'inscrire.

Lorsqu'ils ont proposé des passkeys immédiatement après la création d'un compte ou une connexion réussie, au moment où les utilisateurs sont déjà engagés et authentifiés, l'adoption a grimpé en flèche. Si vous présentez la même option au mauvais moment, les utilisateurs l'ignorent.

Cette constatation semble évidente rétrospectivement, mais elle met en évidence une distinction importante : le déploiement des passes-clés est un défi de conception du parcours de l'utilisateur tout autant qu'un défi de mise en œuvre technique.

La plateforme a plus d'importance que vous ne le pensez

les données d'eBay ont renforcé un point important : 55 à 60 % de l'adoption des passkeys se fait sur mobile, et seulement 20 % sur ordinateur de bureau. Il ne s'agit pas d'un échec de déploiement, mais de la réalité.

Les utilisateurs de téléphones mobiles s'attendent à une authentification biométrique et y sont déjà habitués. Ils déverrouillent déjà leur téléphone avec Face ID ou leurs empreintes digitales des dizaines de fois par jour, de sorte que les passkeys semblent être une fonctionnalité naturelle de l'expérience utilisateur (UX) dans d'autres applications. Les environnements de bureau sont encore en train de rattraper leur retard, avec des expériences de navigateur qui varient considérablement.

Ce qu'il faut retenir : les attentes spécifiques à chaque plateforme sont importantes pour mesurer le succès des passkeys.

La meilleure expérience utilisateur est invisible

La BankID norvégienne a fait migrer plus de la moitié de la population du pays vers les passkeys sans que personne ne sache qu'ils utilisaient des passkeys. Les utilisateurs ont simplement mis à jour leur application et ont continué à s'authentifier, comme ils l'ont toujours fait.

Cette histoire intéressante a renforcé un principe important : parfois, l'approche la plus efficace consiste à rendre le chemin sécurisé par défaut, sans demander aux utilisateurs de comprendre la technologie sous-jacente ou de prendre une décision d'adoption par eux-mêmes.

Au-delà de l'authentification : Instaurer une confiance totale

Deux thèmes essentiels sont apparus, qui vont au-delà de la mise en œuvre d'une clé de sécurité de base :

1. La résistance au phishing nécessite un engagement. La présentation d'Apple a délivré un message qui a résonné tout au long de la conférence : L'ajout de clés de sécurité en option ne rend pas automatiquement un système résistant à l'hameçonnage. Une véritable résistance au phishing nécessite l'élimination de toutes les méthodes d'authentification et de récupération d'un compte qui peuvent être utilisées pour le phishing. Un flux de récupération par SMS ou un lien "mot de passe oublié" affaiblit la protection offerte par les passkeys.

Pour ce faire, les équipes chargées des produits, de l'assistance informatique et de la sécurité doivent s'aligner sur une stratégie susceptible d'augmenter temporairement les coûts ou les frictions. Mais comme le montrent les données de PayPal, le jeu en vaut la chandelle. Les pertes liées à l'hameçonnage ont diminué de près de moitié après le déploiement des clés de sécurité.

Cette constatation clarifie la vraie question : Les entreprises sont-elles prêtes à supprimer les méthodes peu sûres que les clés de sécurité devraient remplacer ?

2. L'authentification n'est qu'un début. Le discours d'ouverture d'Ashish Jain, directeur technique de OneSpan, a exprimé ce que de nombreuses sessions ont renforcé : "L'authentification seule n'est pas synonyme de confiance. À l'ère des attaques pilotées par l'IA et des fraudes de plus en plus sophistiquées, la confiance numérique nécessite d'autres piliers, tels que la vérification de l'identité pour savoir à qui vous avez affaire et la détection des fraudes pour s'assurer qu'ils agissent avec de bonnes intentions."

Ashish Jain OneSpan at Authenticate 2025

Ashish Jain, CTO de OneSpan

Les organisations les plus performantes utilisent les passkeys pour faciliter les flux de travail de haute sécurité sur leurs plateformes. Elles repensent la manière dont la confiance est établie et maintenue au-delà de la porte de connexion et tout au long du parcours de l'utilisateur.

L'avenir de l'authentification

Toutes les conférences proposent des sessions sur les "tendances futures", mais trois sujets abordés lors d'Authenticate 2025 ont retenu mon attention parce qu'ils permettent déjà de résoudre des problèmes réels aujourd'hui.

  • Lesjustificatifs numériques vérifiables complètent les passe-partout au lieu de les concurrencer. Les passkeys vous authentifient, tandis que les certificats numériques fournissent une divulgation portable et sélective de vos attributs. Comme l'a expliqué l'équipe de Google, les passkeys ne résolvent pas entièrement la question de la création et de la récupération des comptes, mais, avec l'ajout de justificatifs numériques, les entreprises peuvent mettre en place un cycle de vie des comptes entièrement sécurisé.
  • L'authentification par l'IA agentique est passée de la théorie à l'urgence très rapidement. Avec des agents d'IA qui réservent des voyages, font des achats et accèdent à des systèmes, nous devons authentifier non seulement l'agent, mais aussi le contexte et l'autorité qui sous-tendent ses actions.
  • Lasécurité post-authentification concerne ce qui se passe après la connexion. Les sessions ont mis en lumière les technologies émergentes qui empêchent le vol de jetons et le détournement de session - des attaques qui peuvent contourner même l'authentification la plus forte. Les clés d'accès sécurisent le point d'entrée, mais un travail important est en cours pour maintenir cette sécurité tout au long de la session.

Principaux enseignements d'Authenticate 2025

À l'issue de ma première conférence Authenticate, certaines choses sont claires :

  1. 1. Les clés USB sont passées d'un statut émergent à un statut courant. Les organisations qui comptent 100 millions d'utilisateurs inscrits sont des indicateurs avancés, et non des cas marginaux. Cela correspond à ce que Gartner a décrit dans le Hype Cycle™ de juillet 2025 pour l'identité numérique, et a été confirmé par ce que j'ai vu à Authenticate.
  2. 2. Un déploiement réussi exige plus que du code. Les spécifications techniques sont bien documentées. La valeur réelle vient de la compréhension des considérations organisationnelles, de conception et opérationnelles qui font que les passkeys fonctionnent de manière transparente pour les utilisateurs réels à l'échelle.
  3. 3. L'écosystème est dynamique. Des grandes plateformes technologiques aux vendeurs spécialisés et aux institutions financières, le nombre d'organisations déployant activement les passkeys est impressionnant. L'aspect communautaire - des gens qui s'entraident sincèrement pour résoudre des problèmes - est remarquable.

J'ai quitté Authenticate plein d'énergie, et pas seulement sous le soleil californien. Le paysage de l'authentification évolue plus rapidement que je ne l'avais imaginé, et des événements comme celui-ci rendent le changement plus visible et plus tangible.

Beyond passwordless: Preparing for what’s next in digital identity
Blog

Beyond passwordless: Preparing for what’s next in digital identity

Read my analysis of the Gartner Hype Cycle to see how Identity and Access Management (IAM) leaders can prepare for what’s next.

Read now
Murtaza Hafizji
Murtaza Hafizji

Murtaza Hafizji is the U.S.-based Technical Product Marketing Manager for OneSpan’s Security Business Unit, focused on FIDO, identity, and authentication. With over 15 years in cybersecurity and deep expertise in the identity space, he brings a clear, technical perspective to solving real-world challenges in secure access and digital trust.

Contenu
Inscrivez-vous pour recevoir les mises à jour OneSpan
Partager