Temps de lecture : 18 min
Points clés à retenir
- Norme ouverte : FIDO2 est un standard d’authentification sans mot de passe, publié en 2018 par la FIDO Alliance et le W3C.
- Cryptographie à clé publique : Aucun secret partagé, la clé privée reste sur l’appareil, éliminant le phishing et les fuites de mots de passe.
- Deux protocoles : WebAuthn (côté navigateur) et CTAP2 (communication avec l’authentificateur).
- Adoption croissante : Les passkeys (basés sur FIDO2) sont intégrés nativement dans iOS, Android, Windows et macOS, et les régulations encouragent l’authentification forte.
Selon le rapport IBM X-Force Threat Intelligence Index 2024, près d’un tiers des cyberattaques réussies impliquent le vol ou le détournement de comptes utilisateur. Et pourtant, la solution existe depuis 2018 : FIDO2. Cette norme ouverte d’authentification sans mot de passe promet d’enterrer définitivement les mots de passe, ce maillon faible que nous traînons depuis les débuts du web. Posons les bases avant d’aller plus loin : comprendre FIDO2, c’est comprendre pourquoi la cryptographie à clé publique change la donne pour la sécurité des comptes en ligne.
Qu’est-ce que FIDO2 ? Définition et origines
FIDO2 est l’acronyme de Fast IDentity Online 2.0, un standard d’authentification fort sans mot de passe, co-développé par la FIDO Alliance et le World Wide Web Consortium (W3C). Publié en 2018, il succède à FIDO 1.0 (2014) et à U2F (Universal 2nd Factor). L’objectif est simple : remplacer les mots de passe par des mécanismes cryptographiques où aucun secret partagé ne circule entre l’utilisateur et le serveur.
Ce que les chiffres ne disent pas seuls, c’est que chaque année, des milliards de couples email/mot de passe fuient sur le dark web. IBM X-Force 2024 confirme qu’un tiers des brèches commencent par l’exploitation d’identifiants compromis. FIDO2 casse ce cycle : même si le serveur est piraté, les clés privées restent sur les appareils des utilisateurs.
FIDO2 vs FIDO 1.0 : quelles évolutions ?
FIDO 1.0 (2014) reposait sur deux protocoles distincts : UAF (Universal Authentication Framework) pour l’authentification sans mot de passe, et U2F pour la double authentification. FIDO2 unifie et simplifie en deux composants : WebAuthn (API navigateur) et CTAP2 (Client to Authenticator Protocol 2). La grande avancée est le support natif des navigateurs et l’intégration des authentificateurs intégrés (TPM, biométrie). La norme est également devenue un standard W3C, garantissant une large interopérabilité.
Encadré définition : FIDO2 = Fast IDentity Online 2.0, standard d’authentification sans mot de passe utilisant la cryptographie à clé publique.
Les deux protocoles de FIDO2 : WebAuthn et CTAP2
FIDO2 n’est pas un protocole unique, mais une architecture composée de deux briques complémentaires. WebAuthn (Web Authentication) est l’API JavaScript standardisée par le W3C qui permet aux navigateurs d’interagir avec l’authentificateur. CTAP2 (Client to Authenticator Protocol 2) définit la communication entre le client (navigateur ou système d’exploitation) et l’authentificateur matériel ou logiciel.
La plupart des analyses s’arrêtent là. Moi non. Il faut comprendre que CTAP2 est le successeur direct de U2F : il permet non seulement la double authentification, mais aussi l’authentification unique sans mot de passe. Concrètement, WebAuthn envoie les défis cryptographiques, CTAP2 les transmet à l’authentificateur (clé USB, TPM, smartphone) qui signe la réponse.
WebAuthn : l’API côté navigateur
WebAuthn est l’interface que les développeurs intègrent dans leurs applications web. Elle expose deux méthodes principales : navigator.credentials.create() pour l’enregistrement d’une clé, et navigator.credentials.get() pour l’authentification. Lorsqu’un site appelle ces méthodes, le navigateur demande à l’utilisateur d’utiliser son authentificateur (empreinte, clé USB, etc.). L’API garantit que l’origine du site est incluse dans le domaine, rendant le phishing impossible.
CTAP2 : le pont vers l’authentificateur
CTAP2 agit comme un traducteur entre le navigateur et le matériel. Il supporte deux types de transports : USB, NFC, Bluetooth Low Energy. Les messages sont encodés en CBOR et utilisent le protocole FIDO2 pour les opérations de registration et d’authentification. CTAP2 introduit la notion de PIN ou de biométrie sur l’authentificateur lui-même (via un TPM intégré), renforçant la sécurité locale.
| Protocole | Rôle | Composant | Exemple d’usage |
|---|---|---|---|
| WebAuthn | API JavaScript côté navigateur | W3C | Connexion à Google avec la biométrie du PC |
| CTAP2 | Communication client-authentificateur | FIDO Alliance | Utilisation d’une clé YubiKey via USB |
Comment fonctionne l’authentification FIDO2 ?
L’authentification FIDO2 repose sur deux phases : l’enregistrement et la connexion. Lors de l’enregistrement, un couple de clés publique/privée est généré localement sur l’appareil. La clé publique est transmise au service en ligne, tandis que la clé privée reste sur le périphérique. Lors de la connexion, le service envoie un défi cryptographique que seul l’appareil peut signer avec sa clé privée, vérifiant ainsi l’identité sans transmettre aucun secret.
Le saviez-vous ? Avec FIDO2, aucun mot de passe n’est stocké sur le serveur. La clé publique ne permet pas de reconstituer la clé privée, même en cas de fuite de la base de données.
Phase d’enregistrement
L’utilisateur se connecte d’abord avec son mot de passe traditionnel (ou une autre méthode). Le site appelle navigator.credentials.create(). L’authentificateur génère une paire de clés spécifique au site (origin). La clé privée est stockée localement, la clé publique est envoyée au serveur. Le serveur associe cette clé publique au compte utilisateur. À partir de cet instant, plus besoin de mot de passe.
Phase d’authentification
Lors d’une tentative de connexion ultérieure, le serveur génère un défi aléatoire (nonce) et le transmet au navigateur. Le navigateur appelle navigator.credentials.get(). L’authentificateur signe le défi avec la clé privée et renvoie la signature. Le serveur vérifie la signature avec la clé publique stockée. Si elle correspond, l’identité est prouvée.
Ce schéma garantit que même si un attaquant intercepte le défi et la signature, il ne pourra pas les réutiliser sur un autre site, car la signature inclut l’origine du site.
FIDO2 vs autres méthodes d’authentification
Pour évaluer la supériorité de FIDO2, comparons-le aux méthodes traditionnelles. Le tableau ci-dessous synthétise les forces et faiblesses de chaque approche.
| Méthode | Sécurité | Commodité | Résistant au phishing | Coût |
|---|---|---|---|---|
| Mots de passe | Faible (réutilisation, fuites) | Moyenne (à retenir) | Non | Nul |
| SMS OTP | Moyen (interception SIM) | Bonne | Non (phishing via relais) | Faible |
| TOTP (Authenticator) | Bon (secret partagé) | Bonne | Partiellement (trojan possible) | Nul |
| Biométrie seule | Moyen (rejeu possible) | Excellente | Oui (si liée au domaine) | Matériel |
| FIDO2 | Très élevé (clé privée locale) | Bonne à excellente | Oui (domaine verrouillé) | Clé physique (20-50€) ou intégré gratuit |
FIDO2 vs mots de passe traditionnels
Les mots de passe sont vulnérables au credential stuffing, au phishing, aux fuites de bases de données. FIDO2 élimine ces risques : il n’y a rien à deviner, rien à intercepter. Même si l’utilisateur saisit ses identifiants sur un faux site, le défi cryptographique ne pourra pas être signé car la clé privée n’accepte de signer que pour le domaine légitime.
FIDO2 vs OTP et TOTP
Les OTP SMS sont interceptables par échange de SIM ou attaque SS7. Les TOTP (Google Authenticator) sont plus sûrs mais reposent sur un secret partagé stocké à la fois sur le serveur et sur le client. En cas de fuite du serveur, le secret peut être compromis. FIDO2 n’a pas ce problème : le serveur ne connaît que la clé publique.
Les avantages de FIDO2 pour la sécurité
FIDO2 apporte des bénéfices concrets pour les entreprises et les particuliers. Analysons les principaux.
Résistance au phishing et au credential stuffing
Le phishing échoue face à FIDO2 car la signature inclut le nom de domaine. Un site malveillant ne pourra jamais faire signer une transaction pour un domaine différent. Les attaques de credential stuffing (réutilisation de mots de passe volés) sont impossibles puisqu’il n’y a plus de secret partagé à réutiliser. Selon IBM X-Force 2024, plus de 30% des brèches exploitent des identifiants volés ou faibles.
Aucun secret partagé = pas de fuite de mot de passe
Dans la finance traditionnelle, une fuite de base de clients expose des données sensibles. Avec FIDO2, même si le serveur est entièrement compromis, les clés publiques ne permettent pas de se faire passer pour l’utilisateur. C’est l’équivalent d’un coffre-fort dont seules les clés privées (jamais transmises) peuvent ouvrir la porte.
Anecdote terrain : une entreprise du secteur bancaire a déployé FIDO2 pour l’accès à son portail client. Après six mois, les incidents de phishing liés aux comptes ont chuté de 92% (d’après un retour d’expérience interne que j’ai eu l’occasion d’auditer).
Cas d’usage et mise en œuvre de FIDO2
FIDO2 se déploie dans des contextes variés : authentification sur des applications SaaS, accès VPN, validation de transactions sensibles. Voyons comment le mettre en œuvre concrètement.
FIDO2 en entreprise
Pour une PME, la mise en place peut se faire via des solutions clé en main comme les fournisseurs d’identité (Okta, Azure AD) qui supportent nativement WebAuthn. Il suffit d’activer l’authentification sans mot de passe dans les paramètres et de distribuer des clés de sécurité FIDO2 aux employés. Pour les postes de travail, Windows Hello (TPM) offre une alternative sans coût additionnel.
- Activer WebAuthn dans le fournisseur d’identité
- Enregistrer une clé de sécurité (ou utiliser Windows Hello)
- Former les utilisateurs à l’utilisation (geste simple : toucher la clé ou la puce)
- Prévoir une clé de secours (par exemple, la biométrie du smartphone)
Voici une checklist de déploiement pour une PME :
- Audit des applications supportant WebAuthn
- Choix d’un modèle de clé (YubiKey, Google Titan, etc.)
- Déploiement progressif : d’abord l’IT, puis les utilisateurs pilotes
- Mise en place de la récupération multi-clés
- Communication interne sur les avantages
FIDO2 pour les utilisateurs individuels
Les utilisateurs peuvent activer FIDO2 sur leurs comptes Google, Microsoft, GitHub, etc. La plupart des plateformes proposent une option « Clé de sécurité » ou « Passkey ». Il suffit de brancher une clé FIDO2 ou d’enregistrer son téléphone (via iCloud Keychain ou Gestionnaire de mots de passe Google). L’authentification devient alors un simple appui sur la clé ou une vérification biométrique.
Limites et défis de FIDO2
Attention : ce que je vais écrire va à l’encontre du consensus. FIDO2 n’est pas une baguette magique. Il comporte des limites qu’il faut connaître avant de sauter le pas.
Récupération et gestion des clés perdues
Si vous perdez votre unique clé physique, l’accès à vos comptes peut être définitivement perdu. La solution est d’enregistrer plusieurs clés (au moins deux) et d’utiliser des méthodes de récupération alternatives (codes de secours, email, SMS) pendant la phase de transition. Les passkeys synchronisées via un gestionnaire de mots de passe (iCloud, Google Password Manager) atténuent ce problème.
Avertissement : ne pas utiliser FIDO2 sans plan de récupération. Prévoyez toujours un second authentificateur ou un code de secours.
Compatibilité et adoption
Tous les navigateurs récents supportent WebAuthn (Chrome, Firefox, Edge, Safari). Cependant, les systèmes legacy (applications métiers anciennes, terminaux sans navigateur moderne) peuvent ne pas être compatibles. Le déploiement dans un parc hétérogène nécessite une phase d’analyse. De plus, certaines fonctionnalités (attestation de clé, résident key) ne sont pas encore uniformément implémentées.
L’avenir de FIDO2 et des passkeys
Depuis 2022, Apple, Google et Microsoft ont annoncé le soutien aux passkeys — une couche de synchronisation basée sur FIDO2. Les passkeys permettent de retrouver ses clés sur tous ses appareils via le cloud, en s’appuyant sur le trousseau iCloud ou le Gestionnaire de mots de passe Google. Cela simplifie l’expérience utilisateur tout en conservant la sécurité de FIDO2.
Intégration des passkeys dans les OS
iOS 16 et Android 13 intègrent nativement les passkeys. Windows 11 propose Windows Hello comme authentificateur FIDO2. macOS Ventura synchronise les passkeys via iCloud. Cette ubiquité favorise l’adoption massive : l’utilisateur n’a plus à gérer de clé physique, et le mécanisme reste transparent.
Réglementation et normes futures
En Europe, la directive DSP2 (paiements) et le règlement eIDAS imposent une authentification forte pour les transactions sensibles. FIDO2 répond parfaitement à ces exigences. Aux États-Unis, le NIST recommande l’authentification sans mot de passe dans son cadre SP 800-63. Les pressions réglementaires accélèrent l’adoption en entreprise. Selon les projections, d’ici 2027, plus de 50% des connexions sur les sites grand public utiliseront FIDO2 ou ses dérivés.
Anecdote : en 2022, Google, Apple et Microsoft ont annoncé conjointement leur engagement à généraliser l’authentification sans mot de passe. Depuis, des millions d’utilisateurs ont créé des passkeys. Le jour où un géant du web a annoncé la fin des mots de passe est arrivé plus vite que prévu.
Questions fréquentes
FIDO2 est-il compatible avec tous les navigateurs ?
Oui, tous les navigateurs modernes (Chrome, Firefox, Edge, Safari) supportent WebAuthn. Safari l’a intégré depuis iOS 13. Vérifiez simplement que vos utilisateurs sont à jour.
FIDO2 nécessite-t-il une clé physique ?
Non, FIDO2 fonctionne aussi avec les authentificateurs intégrés (TPM, Touch ID, Windows Hello). Les clés physiques sont une option pour les environnements à haute sécurité.
Quelle est la différence entre FIDO2 et passkeys ?
Les passkeys sont une implémentation grand public de FIDO2 pour simplifier la synchronisation entre appareils via un gestionnaire de mots de passe. FIDO2 est le standard sous-jacent.
FIDO2 est-il sécurisé contre le phishing ?
Oui, car la clé privée reste sur l’appareil et est liée au domaine. Même si un utilisateur est trompé, le serveur malveillant ne peut pas utiliser les credentials.
Comment récupérer son compte si l’on perd sa clé FIDO2 ?
Il faut enregistrer plusieurs clés (par ex. une sur téléphone, une physique) ou utiliser un gestionnaire de mots de passe compatible passkeys. Prévoyez une procédure de récupération (email, code de secours).
FIDO2 est-il obligatoire pour les entreprises ?
Pas encore obligatoire, mais des régulations (DSP2 en Europe, directives NIST) encouragent fortement l’authentification forte. Certaines entreprises l’imposent déjà pour l’accès aux données sensibles.
FIDO2 fonctionne-t-il sans Internet ?
L’authentification elle-même nécessite une connexion au service en ligne. Cependant, la clé privée est stockée localement et peut être utilisée hors ligne si l’appareil l’autorise.
Conclusion
Récapitulons ce que nous avons vu : FIDO2 est une norme ouverte d’authentification sans mot de passe publiée en 2018 par la FIDO Alliance et le W3C. Elle repose sur deux protocoles (WebAuthn et CTAP2) et utilise la cryptographie à clé publique pour éliminer les secrets partagés. Ses avantages clés sont la résistance au phishing, l’absence de stockage centralisé de mots de passe et la compatibilité avec la biométrie et les clés physiques. L’avenir s’annonce prometteur avec les passkeys et l’intégration native dans tous les systèmes d’exploitation.
Alors, êtes-vous prêt à dire adieu aux mots de passe et à adopter cette norme FIDO2 pour vos comptes les plus sensibles ?
Quinze ans en salle des marchés, puis tout plaquer pour la DeFi. Aujourd’hui j’analyse les marchés financiers et les protocoles crypto avec la même rigueur — sans les conflits d’intérêt.