Nous vivons dans un monde numérique où les mots de passe ne suffisent plus. Chaque jour, nous effectuons des transactions, accédons à des services et partageons des données personnelles en ligne. Avec autant de commodité, les risques augmentent également : fraudes, phishing, ingénierie sociale, deepfakes et attaques alimentées par l’intelligence artificielle deviennent de plus en plus sophistiqués, en particulier dans les secteurs réglementés comme la banque, la santé ou la mobilité.
Dans ce contexte, deux grands acteurs de l’authentification moderne émergent : Passkeys et Credenciales Verificables (VCs). Tous deux promettent un futur sans mots de passe, mais avec des approches différentes.
La question que beaucoup se posent est inévitable : lequel des deux est la meilleure solution pour protéger notre identité numérique ?
Passkeys : adieu aux mots de passe
Les Passkeys sont des identifiants conçus pour remplacer les mots de passe traditionnels. Ils fonctionnent grâce à la cryptographie asymétrique et utilisent votre appareil comme preuve de possession. La biométrie sur l’appareil (Face ID) permet un accès fluide et sans friction, et lorsqu’elle n’est pas disponible, un PIN à six chiffres peut être utilisé. Cela les rend résistants au phishing et très pratiques : un simple toucher et vous êtes connecté à l’application ou à la plateforme.
Avantages clés :
- Suppriment le besoin de retenir des mots de passe complexes.
- Réduisent le risque d’attaques de phishing et de vol d’identifiants.
- Rapides et faciles à utiliser sur plusieurs appareils grâce à la synchronisation cloud.
Cependant, tout n’est pas parfait. Bien que les Passkeys soient sûres et pratiques, elles ne vérifient pas réellement qui vous êtes. Elles savent que l’appareil est le vôtre, mais ne peuvent garantir que l’utilisateur derrière est bien celui qu’il prétend être. De plus, si l’infrastructure cloud qui synchronise vos Passkeys est compromise, il peut y avoir un risque d’exposition.
En résumé, les Passkeys sont excellentes pour un accès rapide et sécurisé, mais insuffisantes pour une confiance totale dans l’identité.
Identifiants vérifiables : la preuve numérique de qui vous êtes
C’est là que les Identifiants Vérifiables (VCs) interviennent, un document numérique signé cryptographiquement contenant des attributs d’identité : nom, date de naissance, âge, licences ou certifications. Contrairement aux Passkeys, les VCs d’identité (comme une pièce d’identité numérique ou un permis de conduire mobile) ont pour objectif principal de vérifier l’identité réelle de l’utilisateur, garantissant que celui qui interagit numériquement est bien celui qu’il prétend être.
Combinés avec une authentification biométrique avancée (pas seulement la biométrie sur appareil comme Face ID, mais des processus où la vérification biométrique est effectuée et validée via des canaux indépendants), les VCs permettent d’atteindre une authentification forte du client (SCA) avec un niveau élevé d’assurance (LoA). Cette approche est essentielle pour respecter les régulations telles que eIDAS 2, PSD3 ou AML5, où il ne suffit pas de s’authentifier : il est nécessaire de prouver son identité avec des garanties renforcées.
Prenons un exemple concret : imaginez demander un prêt en ligne. Avec un Photo ID au format VC, la banque peut vérifier votre identité numériquement sans avoir besoin d’envoyer des documents physiques ni de connaître votre mot de passe. Tout se fait de manière sécurisée, fiable et auditée.
Avantages clés :
- Vérification réelle de l’identité.
- Conformité réglementaire dans des secteurs strictement encadrés.
- Protection contre la fraude numérique et l’usurpation d’identité.
Les Identifiants Vérifiables permettent d’authentifier l’utilisateur tout en garantissant de manière fiable son identité numérique. Ils sont idéaux lorsque des niveaux élevés d’assurance et de conformité réglementaire sont requis, apportant traçabilité et preuve vérifiable à chaque interaction.
Résister aux menaces modernes : phishing, ingénierie sociale et fraude assistée par IA
La sécurité numérique ne se limite plus à protéger les mots de passe. Aujourd’hui, le principal vecteur d’attaque est le phishing et l’ingénierie sociale, de plus en plus sophistiqués grâce à l’IA générative. Les deepfakes, identités synthétiques et automatisation intelligente amplifient ces attaques, rendant les tentatives d’usurpation plus crédibles.
Ici, les Passkeys comme les VCs brillent car elles sont basées sur la cryptographie à clé publique, faisant d’elles des outils essentiels pour protéger les transactions à distance, la banque digitale, la santé et la mobilité, où l’identité fiable est cruciale.
Le futur sera passwordless et centré sur la confiance : nous éliminerons non seulement les mots de passe, mais garantirons également que chaque accès numérique soit légitime et vérifiable.
Identité numérique avec protection intégrale
L’évolution des Passkeys et des Identifiants Vérifiables montre que la sécurité numérique ne peut plus dépendre d’une seule couche. La fraude évolue, mais surtout le phishing et l’ingénierie sociale, désormais amplifiés par l’IA : usurpations plus crédibles, automatisation à grande échelle et attaques exploitant le facteur humain. La réponse ne peut être ponctuelle. Elle doit être end-to-end.
Chez Facephi, nous comprenons l’identité numérique comme un processus complet : de la vérification initiale de l’utilisateur à l’authentification continue et à la détection proactive de la fraude. C’est pourquoi nous parlons d’une protection intégrale basée sur plusieurs niveaux de sécurité, où l’identité vérifiée, l’authentification sans mot de passe et l’analyse comportementale avancée travaillent ensemble.
Il ne s’agit pas seulement de permettre l’accès, mais de garantir que chaque interaction numérique soit soutenue par une identité vérifiable, traçabilité et, lorsque le cas d’usage l’exige, les VCs peuvent également servir de registre de transaction (par exemple dans des schémas comme AP2), apportant une preuve cryptographique qui renforce la confiance et la conformité réglementaire.
Conclusion
Si vous souhaitez améliorer l’expérience utilisateur tout en respectant les réglementations et vous protéger contre les menaces modernes, la bonne stratégie n’est pas de choisir entre Passkeys et Identifiants Vérifiables. La stratégie consiste à les intégrer :
- Passkeys : pour des niveaux d’authentification faibles ou substantiels, en éliminant les mots de passe.
- VCs : permettent d’atteindre des niveaux élevés d’authentification lorsque la vérification renforcée de l’identité et la conformité réglementaire sont nécessaires.
En combinant les deux, vous obtenez une authentification numérique robuste, résistante aux attaques modernes et centrée sur la confiance, exactement ce dont les entreprises ont besoin pour exceller dans l’ère numérique.
La combinaison des deux offre une plus grande flexibilité, permettant d’adapter le niveau d’authentification et de vérification au contexte, au risque et au cadre réglementaire applicable, en combinant différents facteurs pour atteindre le niveau d’assurance requis.