Vous êtes probablement ici parce que vous en avez assez des mots de passe.
Vous avez sans doute entendu parler de l’authentification FIDO et de la manière dont elle révolutionne la sécurité en ligne. Et vous vous demandez si FIDO2 est la solution idéale pour protéger votre vie privée ou votre entreprise.
Chez Hideez, cela fait des années que nous aidons des organisations à passer aux technologies sans mot de passe. Autant dire que nous connaissons parfaitement le fonctionnement de ces outils.
Dans ce guide, nous avons réuni l’essentiel de notre expertise pour vous expliquer comment fonctionne FIDO2 et pourquoi cela pourrait (ou non) être la meilleure option pour renforcer votre sécurité personnelle ou professionnelle.
Commençons par quelques points clés à connaître :
Si vous envisagez l’authentification sans mot de passe pour vos comptes personnels, de nombreux sites populaires prennent déjà en charge FIDO2. Bien souvent, votre téléphone mobile suffit.
Avec FIDO, le "secret" qui prouve votre identité est enfermé dans votre appareil et ne peut physiquement pas en sortir. Cela signifie qu’il n’y a rien à intercepter, pas de mot de passe à deviner, aucun secret à voler.
Toutes les applications ou services ne sont pas encore compatibles avec FIDO, surtout dans le monde B2B, où les environnements logiciels sont complexes. Mais il est tout à fait possible de faire cohabiter vos anciens systèmes à mot de passe avec les nouvelles méthodes sans mot de passe.
Qu'est-ce que FIDO2 ? Le nouveau standard sans mot de passe
FIDO signifie Fast Identity Online. C’est un consortium de grandes entreprises technologiques — comme PayPal et Lenovo — qui se sont réunies autour d’un objectif ambitieux : en finir avec les mots de passe. Ils savaient qu’il devait exister un moyen plus sûr et plus simple de prouver son identité en ligne.
FIDO2 est la dernière norme mise au point par la FIDO Alliance. Elle permet notamment l’usage moderne des Passkeys et combine les meilleures avancées des normes précédentes :
U2F : centrée sur l’utilisation de clés de sécurité physiques comme second facteur.
UAF : orientée vers l’utilisation de la biométrie (comme les empreintes digitales) sur les smartphones.
Le mélange entre U2F, UAF et FIDO2 peut sembler complexe au début, alors voici un tableau simple pour résumer les principales différences :
FIDO2 vise avant tout à éliminer ce que nous détestons tous : les mots de passe impossibles à retenir et les méthodes d’authentification à plusieurs facteurs pénibles. Finis les codes SMS à retrouver ou les notifications de validation intempestives.
Au lieu de se baser sur quelque chose que vous savez (comme un mot de passe ou un code à usage unique), l’authentification FIDO repose sur une combinaison de quelque chose que vous possédez (votre téléphone ou une clé de sécurité) et de quelque chose que vous êtes (votre empreinte digitale ou votre visage). Ces éléments sont aussi appelés Passkeys.
Même si cela semble futuriste, vous avez peut-être déjà utilisé les Passkeys pour vous connecter à votre compte Google ou Microsoft — sans réaliser qu’il s’agissait d’une authentification FIDO. Aujourd’hui, FIDO est pris en charge par tous les grands systèmes d’exploitation, notamment Windows, Android, iOS et macOS.
Comment fonctionne le protocole FIDO2 ?
Alors, comment FIDO permet-il de se passer des mots de passe ? Tout repose sur un mécanisme intelligent appelé cryptographie à clé publique.
Au lieu d’un mot de passe unique que l’on peut voler, votre appareil génère une paire de clés numériques. L’une est publique (connue du service web), l’autre est privée (elle reste secrète et ne quitte jamais votre appareil). En prouvant que vous détenez la clé privée, vous prouvez votre identité — sans jamais transmettre de mot de passe ni de secret via Internet.
Voici comment cela fonctionne sur notre propre plateforme :
Lorsque vous accédez à un site prenant en charge la connexion sans mot de passe, une option FIDO s’affiche à la place de l'identifiant et du mot de passe. Le bouton peut indiquer « Options de connexion » ou quelque chose de similaire.
Une fois sélectionnée, une fenêtre système s’ouvre pour vous demander de choisir votre appareil d’authentification. Il peut s’agir de votre ordinateur, de votre téléphone ou d’une clé de sécurité physique.
Lors de la première utilisation, un rapide enregistrement est requis. Votre appareil génère la paire de clés cryptographiques : la clé privée reste sécurisée sur votre appareil, la clé publique est envoyée au site pour être associée à votre compte. Il vous sera généralement demandé de scanner votre empreinte, de montrer votre visage ou de saisir un code PIN pour confirmer votre identité.
Lors des connexions suivantes, le site envoie un défi cryptographique unique à votre appareil. Celui-ci utilise sa clé privée pour le signer. Cela prouve que vous possédez l’appareil, sans jamais révéler la clé privée.
Enfin, le serveur vérifie la signature à l’aide de la clé publique qu’il a enregistrée. Si tout correspond, l’accès est accordé !
Quels sont les principaux avantages de FIDO2 ?
Le véritable atout de FIDO est qu’il vous protège sur tous les fronts :
Sécurité renforcée. Il bloque les attaques basées sur le vol d’identifiants comme le phishing. Contrairement à un mot de passe que l’on peut subtiliser, la clé privée FIDO reste enfermée dans votre appareil. Même en cas de fuite de données, les pirates ne trouvent que la clé publique — inutile sans l’appareil physique.
Meilleure expérience utilisateur. L’authentification FIDO élimine les mots de passe et les OTP, accélérant ainsi les connexions. Et comme elle est résistante au phishing par nature, les couches de sécurité supplémentaires deviennent superflues.
Conformité réglementaire. FIDO est reconnu comme la méthode d’authentification la plus avancée, conforme aux exigences du RGPD, HIPAA, PSD2, NIS2, etc. Elle prend en charge une MFA résistante au phishing, conformément aux recommandations du NIST SP 800-63 et aux directives de la CISA. De nombreuses grandes entreprises et administrations — y compris les agences fédérales américaines sous l’Executive Order 14028 — adoptent activement FIDO dans leur stratégie « Zero Trust ».
Où pouvez-vous vraiment utiliser FIDO & les Passkeys ?
Le plus grand avantage du mouvement sans mot de passe, c’est que vous pouvez l’activer sur de nombreuses applications et sites que vous utilisez déjà au quotidien.
Voyons plus en détail où vous pouvez les utiliser.
Pour vos comptes personnels
Commençons par les comptes personnels. Les trois géants — Apple, Google et Microsoft — ont adopté les Passkeys sans réserve. Cela signifie que vous pouvez vous connecter à votre compte iCloud, Google ou Microsoft sans jamais taper un mot de passe. En plus de ces leaders, une multitude d'autres services, des réseaux sociaux à votre banque, prennent désormais en charge les passkeys ou les clés de sécurité physiques.
Une fois que vous avez vérifié que votre service prend en charge FIDO, la configuration prend moins d’une minute. Il vous suffit d’accéder aux paramètres de sécurité de votre compte et de chercher l’option pour ajouter une nouvelle passkey.
Notre conseil le plus important : ne vous limitez pas à un seul appareil. Nous recommandons fortement d’ajouter plusieurs passkeys dès le départ — par exemple, une pour votre téléphone et une autre pour votre ordinateur portable.
La plupart des passkeys se synchronisent automatiquement via votre écosystème, comme votre compte Google ou iCloud. C’est un vrai atout, car si vous perdez votre téléphone, vous ne serez pas bloqué. Il vous suffira d’utiliser votre ordinateur portable, de vous connecter avec votre empreinte ou votre code PIN, et le tour est joué.
Au travail (même pour les apps qui ne semblent pas compatibles)
C’est ici que les choses deviennent intéressantes. Vos applications professionnelles ne sont peut-être pas toutes compatibles avec FIDO de manière native. Mais dans bien des cas, vous pouvez tout de même les rendre sans mot de passe grâce à l’utilisation du Single Sign-On (SSO) via un fournisseur d’identité (IdP) certifié FIDO — comme Hideez.
Pensez-y comme à un « guichet de sécurité numérique ». Lorsque vous ouvrez une application, vous êtes d’abord redirigé vers ce guichet. Vous prouvez votre identité avec une authentification FIDO rapide et sécurisée, et le guichet vous délivre une autorisation vérifiée que toutes les autres apps professionnelles connectées acceptent.
Chez Hideez, nous proposons plusieurs méthodes pour se connecter en toute sécurité.
Notre méthode principale repose sur la nouvelle norme de sécurité sans mot de passe : les passkeys. Cela signifie que vous pouvez utiliser les fonctions natives de vos appareils, comme Face ID ou un capteur d’empreintes digitales sur votre téléphone ou votre ordinateur. Nous prenons également en charge les clés physiques certifiées FIDO pour ceux qui préfèrent un dispositif distinct.
Autre option flexible : nous proposons aussi un authentificateur mobile qui fonctionne avec des QR codes dynamiques. Pour vous connecter sur votre ordinateur, il vous suffit d’ouvrir l’application sur votre téléphone et de scanner le QR code affiché à l’écran. C’est un moyen rapide et sécurisé de confirmer votre identité avec l’appareil que vous avez en main.
Quels sont les principaux inconvénients de la mise en œuvre de FIDO2 ?
Nous avons parlé des avantages de FIDO2, mais voyons maintenant les inconvénients. Sans langue de bois ni jargon marketing, voici les véritables défis à connaître avant de basculer vers un environnement sans mot de passe.
1. Le problème des « anciennes technologies »
Le principal obstacle est que toutes les applications ne sont pas encore prêtes pour FIDO. Vous rencontrerez forcément d’anciens systèmes — logiciels installés localement, anciens clients VPN, ou passerelles RDP — qui ne prennent en charge ni FIDO ni les SSO modernes. Pour ces cas-là, vous resterez dans l’univers des mots de passe et devrez gérer les deux méthodes en parallèle.
Nos clés matérielles sont conçues pour ce type de situation. Elles ont une double fonction : pour les services modernes, elles agissent comme des clés FIDO2 pour répondre aux défis cryptographiques ; pour les anciens systèmes, elles font office de gestionnaire de mots de passe chiffré. Elles peuvent stocker plus de 1000 identifiants par appareil et les remplir automatiquement en un clic (avec ou sans code PIN), offrant ainsi une méthode unique et sécurisée pour tout type d’accès.
2. Le mot de passe ne disparaît pas toujours
Voici une ironie frustrante avec les passkeys aujourd’hui : pour la plupart des services, votre ancien mot de passe n’est pas supprimé. Il reste disponible comme « solution de secours » en cas de perte de l’appareil de passkey.
Si cela semble pratique, cela signifie aussi que le maillon faible — le mot de passe — reste actif, et donc exploitable pour des attaques. Même si la tendance va vers la suppression complète du mot de passe, cette faille reste bien réelle dans la majorité des cas pour l’instant.
3. Toutes les passkeys ne se valent pas (synchronisées vs liées à un appareil)
Un point essentiel pour les entreprises : il existe deux types principaux de passkeys, chacun avec ses compromis entre confort et contrôle :
Passkeys synchronisées : Ce sont celles que vous obtenez via votre compte Google ou Apple. Elles sont très pratiques pour les utilisateurs car elles se synchronisent automatiquement sur tous leurs appareils via iCloud ou le gestionnaire de mots de passe Google. Cependant, pour une entreprise qui exige un contrôle strict, cela peut poser problème : on ne sait plus exactement quel appareil est utilisé.
Passkeys liées à un appareil : Elles sont associées à un matériel spécifique, comme une clé de sécurité physique ou une application d’authentification mobile qui stocke la clé localement. Cette approche offre bien plus de contrôle : l’entreprise sait que les identifiants ne peuvent pas être utilisés depuis un ordinateur personnel non autorisé. Pour les environnements hautement sécurisés, les authentificateurs générant des clés liées à un appareil sont souvent la meilleure option.
Comment activer l’authentification FIDO2 avec Hideez ?
Vous ne savez pas par où commencer avec l’authentification sans mot de passe ? Pas d’inquiétude, nous avons conçu un processus simple pour vous aider à démarrer.
En tant que membres certifiés de la FIDO Alliance, nous avons développé la plateforme Hideez Cloud Identity avec une formule gratuite permettant de configurer un accès Single Sign-On (SSO) sans mot de passe pour jusqu’à 20 utilisateurs.
Vos collaborateurs peuvent se connecter de deux façons simples : soit en utilisant les passkeys synchronisées qu’ils possèdent déjà sur leurs appareils personnels (via Google ou Apple), soit en utilisant notre application Hideez Authenticator, qui lie leur connexion à leur téléphone via des QR codes sécurisés, pour un contrôle supplémentaire.
Pour les entreprises ayant des besoins plus complexes — comme la gestion d’anciens logiciels, la sécurisation des sessions RDP, ou même le contrôle d’accès physique — nous proposons notre solution Enterprise Identity. Elle a été pensée pour connecter tous vos outils, en comblant les écarts entre vos apps cloud modernes et les infrastructures IT plus anciennes.
Le meilleur moyen de définir l’approche qui vous convient est d’en discuter avec nous. Réservez une démo personnalisée et bénéficiez d’un accompagnement sur mesure pour créer votre stratégie sans mot de passe idéale.
FAQ
1. Qu’est-ce qu’un authentificateur FIDO ?
Un authentificateur FIDO2 est un appareil ou un logiciel conforme à la norme FIDO2 pour les connexions sans mot de passe. Conçus selon les standards FIDO2, ces outils génèrent et stockent des clés cryptographiques, vous permettant d’accéder à vos comptes sans mot de passe. Ils existent sous plusieurs formes, regroupées en trois grandes catégories :
Authentification biométrique : permet aux utilisateurs de se connecter via une empreinte digitale ou la reconnaissance faciale. C’est une méthode rapide, sûre et largement disponible sur les téléphones et ordinateurs portables modernes.
Verrouillage d’écran : En l’absence de capteurs biométriques, les utilisateurs peuvent s’authentifier via un code PIN ou le schéma de verrouillage de l’appareil. C’est une bonne alternative pour les ordinateurs de bureau ou les appareils plus anciens, assurant une authentification sécurisée et accessible.
Clés de sécurité physiques : Également appelées tokens matériels ou clés FIDO2, ce sont des dispositifs externes qui permettent de se connecter sans mot de passe via USB, NFC ou Bluetooth. Des exemples populaires incluent les YubiKeys, les Hideez Keys, etc. Les utilisateurs insèrent ou tapotent leur clé pour s’authentifier, parfois en combinaison avec un code PIN. Certaines clés intègrent aussi des capteurs biométriques, combinant ainsi la sécurité matérielle et la simplicité de la biométrie.
2. Types et exemples d’authentificateurs FIDO
Les authentificateurs de plateforme sont intégrés à votre appareil et ne peuvent pas être séparés. Ils sont simples et pratiques : tout le processus d’authentification se fait sur le même appareil que celui utilisé pour initier la connexion.
Exemple : scanner votre empreinte digitale via le lecteur intégré de votre ordinateur portable. Aucun appareil externe n’est nécessaire — une simple pression, et vous êtes connecté.
Exemple d’authentification de plateforme
Les authentificateurs multi-plateformes, ou authentificateurs itinérants, sont des dispositifs externes conçus pour fonctionner sur plusieurs appareils. Par exemple, vous pouvez utiliser votre smartphone ou une clé de sécurité comme la Hideez Key pour vous connecter à une application sur un ordinateur de bureau.
Exemple : Les clés physiques sont toujours considérées comme multi-plateformes, tandis que les smartphones peuvent jouer les deux rôles selon l’usage (interne ou externe).
3. Quels systèmes et navigateurs prennent en charge FIDO2 ?
N’oubliez pas que votre appareil et votre navigateur doivent être compatibles. En 2025, pratiquement tous les systèmes d’exploitation modernes (Windows, macOS, iOS, Android) et navigateurs (Chrome, Safari, Edge, Firefox) sont compatibles. L’interface peut varier d’un appareil à l’autre, mais la sécurité est la même.
La capture d’écran ci-dessous donne un aperçu des plateformes prises en charge :
4. FIDO2 vs U2F — Quelle est la différence ?
La différence principale entre FIDO2 et FIDO U2F réside dans leur portée. FIDO2 a été conçu pour permettre une authentification sans mot de passe, tandis que FIDO U2F a été spécifiquement créé comme un second facteur venant renforcer les connexions basées sur des mots de passe, agissant comme une 2FA FIDO.
Avec l’arrivée de FIDO2, U2F a été intégré au sein du cadre FIDO2 sous l’appellation CTAP1 (Client to Authenticator Protocol 1). Cela permet aux dispositifs U2F existants de rester compatibles dans un environnement FIDO2, notamment pour la 2FA. Les sites compatibles FIDO2 proposent souvent des connexions sans mot de passe, mais certains utilisent encore U2F dans des scénarios d’authentification renforcée.
FIDO2 a en outre introduit CTAP2 et WebAuthn comme standards modernes. CTAP2 permet les fonctionnalités avancées d’authentification sans mot de passe. Les appareils compatibles CTAP2 sont considérés comme des authentificateurs FIDO2, et s’ils prennent également en charge CTAP1, ils assurent la rétrocompatibilité avec U2F.
5. FIDO2 vs WebAuthn
FIDO2 et WebAuthn sont étroitement liés mais ont des rôles distincts. FIDO2 est la norme globale qui englobe WebAuthn (développé par le W3C) et CTAP2 (développé par la FIDO Alliance). WebAuthn est l’API web qui permet aux navigateurs et aux serveurs de communiquer avec les authentificateurs FIDO2, facilitant l’identification sans mot de passe. C’est donc le protocole qui rend FIDO2 utilisable sur les sites et applications. Tandis que WebAuthn gère les échanges côté web, CTAP2 définit comment les authentificateurs interagissent avec les appareils clients.
6. FIDO2 vs FIDO
FIDO (Fast Identity Online) est l’ensemble de normes développé par l’alliance du même nom, incluant FIDO U2F, FIDO2 et les différents protocoles associés. FIDO2 est une évolution du cadre initial FIDO, étendant ses capacités vers une authentification entièrement sans mot de passe grâce à WebAuthn et CTAP2. À l’inverse, FIDO U2F se concentrait uniquement sur l’authentification en tant que second facteur de sécurité.
