8 min de lecture
Passkeys synchronisés ou clés matérielles pour votre coffre d'identité
Les passkeys synchronisés vous suivent d'un appareil à l'autre ; les clés matérielles restent liées à un appareil et sous contrôle physique. CardanoWall peut utiliser l'un ou l'autre pour déverrouiller votre coffre d'identité lorsque WebAuthn PRF est pris en charge — et la graine d'identité reste votre véritable sauvegarde dans les deux cas.
Les passkeys synchronisés et les clés matérielles déverrouillent tous deux votre coffre d'identité CardanoWall, mais ils n'optimisent pas la même chose. Un passkey synchronisé constitue généralement le meilleur choix au quotidien, car il vous suit jusqu'à un nouveau téléphone ou un nouvel ordinateur portable par l'intermédiaire de votre fournisseur de passkeys. Une clé matérielle convient généralement mieux aux identités à forte valeur, car elle est liée à un appareil et placée sous contrôle physique.
L'un comme l'autre font office de facteur de déverrouillage du coffre dès lors que votre navigateur, votre système d'exploitation et votre authentificateur prennent en charge l'extension WebAuthn PRF. Et dans les deux cas, le facteur de déverrouillage relève du confort, pas de la garde : votre véritable identité, c'est la graine d'identité.
Qu'est-ce qu'un passkey synchronisé ?
Un passkey synchronisé est un passkey que votre fournisseur rend disponible sur l'ensemble de vos appareils.
Ce fournisseur peut être intégré à votre système d'exploitation, à votre navigateur, à votre gestionnaire de mots de passe ou à un compte de plateforme. L'avantage saute aux yeux : vous obtenez un nouvel appareil, vous vous connectez au même fournisseur, et le passkey est déjà là.
Pour CardanoWall, cela facilite l'usage quotidien. Vous vous connectez, vous approuvez l'invite du passkey, et le coffre d'identité chiffré s'ouvre — sans avoir à saisir la graine d'identité.
La contrepartie, c'est que vous héritez du modèle de sécurité et de récupération du fournisseur qui synchronise le passkey. La protection de son compte, sa récupération multi-appareils et ses modes de défaillance deviennent les vôtres.
Qu'est-ce qu'une clé matérielle ?
Une clé matérielle est un authentificateur physique — une clé de sécurité USB, NFC ou BLE que vous tenez en main.
Une clé matérielle liée à un appareil ne se synchronise pas d'elle-même vers de nouveaux ordinateurs. Pour déverrouiller avec elle, vous devez avoir la clé physique sous la main. C'est précisément l'objectif : l'identifiant ne peut pas exister discrètement à un endroit où vous ne l'avez pas placé.
Les clés matérielles conviennent bien aux identités sensibles :
- identités de réception de signalements pour une rédaction ou un lanceur d'alerte ;
- identités juridiques et de gestion des preuves ;
- identités d'entreprise à forte valeur ;
- identités d'API de production ou d'opérateur de gateway ;
- toute identité qui ne devrait pas dépendre d'une synchronisation cloud grand public.
La contrepartie est opérationnelle. Perdez la clé, et vous vous rabattez sur un autre facteur enregistré ou sur la graine d'identité.
Une réserve pratique : la prise en charge de PRF pour les clés itinérantes USB/NFC est moins homogène que pour les passkeys de plateforme. Début 2026, Safari sur macOS et iOS ne transmet pas de façon fiable les données PRF aux authentificateurs itinérants ; sur les appareils Apple, une clé matérielle peut donc ne pas être utilisable comme facteur de coffre, là même où un passkey de plateforme l'est. Prévoyez de tester une clé matérielle avant de vous y fier, plutôt que de présumer qu'elle fonctionnera partout.
Laquelle est la plus sûre ?
Cela dépend de votre modèle de menace — il n'y a pas de vainqueur unique.
Les passkeys synchronisés résistent remarquablement bien au hameçonnage et aux fuites de bases de mots de passe, et ils réduisent le risque de perdre l'accès lorsqu'un appareil rend l'âme. Les clés matérielles offrent un contrôle plus fort sur l'endroit où l'identifiant peut exister, ce qui convient aux équipes ayant besoin d'une garde physique, d'un suivi des actifs, de cérémonies de clé ou d'une politique claire sur qui peut déverrouiller une identité partagée.
Le confort comme le contrôle sont des propriétés de sécurité. Perdre l'accès est aussi une défaillance de sécurité. Le meilleur choix est celui que vous pouvez réellement mettre en œuvre correctement sous pression.
Comment CardanoWall les utilise-t-il ?
Comme des facteurs de déverrouillage du coffre — jamais comme l'identité elle-même.
Votre identité CardanoWall, c'est la graine d'identité : un unique secret de 32 octets dont chaque clé est dérivée. Un passkey ou une clé matérielle ne remplace pas cette graine. Il déverrouille le coffre chiffré qui la conserve pour votre compte, afin que vous puissiez vous connecter sur un nouvel appareil sans avoir à ressaisir la graine à chaque fois.
Le coffre est un unique texte chiffré au format age, adressé uniquement à vos facteurs WebAuthn-PRF — une stanza par passkey ou clé matérielle enregistrés. Il n'y a pas de stanza dérivée d'un mot de passe à attaquer par force brute, ni de stanza à clé publique qu'une future attaque quantique pourrait viser ; l'exposition pertinente est une recherche de type Grover contre des clés symétriques de 256 bits, ce qui laisse une marge effective d'environ 128 bits. Le service détient le texte chiffré mais ne peut pas le déchiffrer. Si un facteur peut produire la sortie PRF requise au cours de la cérémonie dans le navigateur, il peut ouvrir le coffre ; s'il ne le peut pas, CardanoWall ne devrait pas l'enregistrer. Pour en savoir plus sur ce contre quoi cette conception protège, voyez comment les passkeys protègent votre coffre d'identité.
C'est pourquoi il importe de détecter les capacités avant de vous engager sur un facteur.
Pourquoi la prise en charge de PRF importe-t-elle ?
Parce que tous les passkeys ne peuvent pas déverrouiller un coffre chiffré.
WebAuthn simple peut prouver à un site web qui vous êtes. Ouvrir le coffre demande davantage : l'authentificateur doit fournir au navigateur le matériel de clé permettant de déchiffrer le texte chiffré local. Cette capacité supplémentaire, c'est l'extension WebAuthn PRF, et sa prise en charge varie selon le navigateur, le système d'exploitation et l'authentificateur.
CardanoWall détecte la capacité PRF avant d'enregistrer un facteur, plutôt que de la deviner d'après le nom du navigateur, et il vous orientera vers le parcours réservé à la graine si votre configuration ne sait pas faire de PRF. Ce parcours n'est pas un mode dégradé — c'est la fondation portable. La graine d'identité fonctionne sur n'importe quel appareil, dans n'importe quel outil conforme, sans fournisseur ni service dans la boucle.
Que devraient choisir les utilisateurs ordinaires ?
En général, un passkey de plateforme synchronisé.
Pour une identité personnelle de tous les jours, un passkey synchronisé offre le meilleur compromis : facile à utiliser, facile à récupérer d'un appareil à l'autre, et il vous évite de coller votre graine en permanence. Une configuration sensée ressemble à ceci :
- enregistrez la graine d'identité dans un gestionnaire de mots de passe ou un endroit hors ligne sécurisé ;
- ajoutez un passkey de plateforme synchronisé ;
- ajoutez un deuxième facteur si vous utilisez plusieurs appareils ;
- évitez de déverrouiller des identités à forte valeur sur des machines auxquelles vous ne faites pas confiance — si vous y êtes contraint, utilisez un mode ordinateur public qui ne conserve aucune donnée.
Le passkey, c'est le confort. La graine, c'est la récupération et la portabilité. Enregistrez la graine quel que soit le facteur de déverrouillage que vous retenez.
Que devraient choisir les équipes ?
Des clés matérielles, assorties d'une garde documentée de la graine.
Les équipes se soucient en général moins du confort occasionnel que du contrôle. Une identité d'équipe peut être partagée à dessein, mais partagée à dessein n'est pas la même chose que facile à copier en silence. Une configuration d'équipe raisonnable :
- deux clés matérielles détenues par des personnes responsables différentes ;
- une graine d'identité imprimée dans un coffre-fort ;
- une politique d'accès écrite ;
- une procédure de rotation pour les changements de garde ;
- une identité distincte par flux de travail majeur ;
- la désactivation des identités qui ne devraient plus signer.
Une limite honnête pour les identités partagées : quiconque détient la graine peut signer et déchiffrer en tant que cette identité. Les clés matérielles protègent l'accès au coffre sur un appareil donné ; elles ne rendent pas une graine partagée partielle ou révocable. Si la graine elle-même a circulé de main en main, le contrôle sur elle est perdu — c'est une propriété de la graine, pas du facteur de déverrouillage.
Que se passe-t-il si vous en perdez un ?
Utilisez un autre facteur, ou rabattez-vous sur la graine.
Si vous perdez un appareil synchronisé mais que vous disposez encore du fournisseur de passkeys sur un autre appareil, vous pouvez généralement continuer. Si vous perdez une clé matérielle, retirez ce facteur : le coffre se rechiffre vers vos facteurs restants et l'ancien texte chiffré est supprimé définitivement. Si tous les facteurs ont disparu, la graine d'identité est le chemin de récupération. Et s'ils ont tous disparu, l'usage futur de cette identité disparaît aussi — mais tout ce qu'elle a déjà publié reste vérifiable pour toujours à partir des seules données publiques.
Le retrait constitue une véritable révocation pour le coffre actuel, mais il n'est pas rétroactif — c'est un contrôle au niveau du service, pas une machine à remonter le temps. Si un facteur a pu être volé et utilisé avant que vous ne le retiriez, traitez la situation comme une possible compromission de la graine : retirer le facteur l'empêche d'ouvrir le coffre rechiffré, mais cela ne peut pas annuler un usage antérieur. La bonne réponse à une compromission présumée de la graine est une nouvelle identité, assortie de la désactivation de l'ancienne, et non une réinitialisation. Le cycle de vie correspondant — active, désactivée, supprimée — fait l'objet d'un sujet à part.
En résumé
Les passkeys synchronisés sont pratiques et vous suivent d'un appareil à l'autre. Les clés matérielles sont mieux contrôlées et restent là où vous les placez. CardanoWall peut utiliser l'un ou l'autre comme facteur de déverrouillage du coffre lorsque WebAuthn PRF est disponible.
Pour un usage personnel quotidien, un passkey synchronisé est généralement le bon choix. Pour des identités à forte valeur ou d'équipe, les clés matérielles peuvent valoir la cérémonie supplémentaire — là où PRF fonctionne avec elles. Dans tous les cas, enregistrez la graine d'identité : le passkey déverrouille le coffre, mais la graine est l'identité.
Pour aller plus loin
- FIDO Alliance — Présentation des passkeys : https://fidoalliance.org/passkeys/
- W3C — Web Authentication (WebAuthn) Level 3 : https://www.w3.org/TR/webauthn-3/
- Yubico — A Developer's Guide to Deriving Keys with WebAuthn PRF : https://developers.yubico.com/WebAuthn/Concepts/PRF_Extension/Developers_Guide_to_PRF.html