Moderniser l'authentification avec des clés d'accès, des identifiants numériques et plus

Publié le 21 mai 2026

Lors de la conférence Google I/O 2026, nous avons évoqué un Web où la connexion n'est plus une corvée. Il doit s'agir d'un point d'entrée sécurisé et simplifié qui rassure réellement les utilisateurs. Cet article récapitule comment corriger les flux de votre compte, réduire les frictions et protéger les utilisateurs dès le départ.

Accès rapide

Pourquoi la modernisation est-elle importante ?

Les flux à forte friction (comme les formulaires d'inscription complexes, la boucle ennuyeuse "Mot de passe oublié" ou un mur de boutons de connexion) gâchent l'expérience. Ils sont des "tueurs de changement de contexte" qui font fuir les utilisateurs. Les mots de passe à l'ancienne et les mots de passe à usage unique (OTP) exposent également les utilisateurs au hameçonnage.

Chaque seconde de friction est une opportunité pour un utilisateur d'abandonner. La modernisation de votre authentification protège vos systèmes et vos utilisateurs. En simplifiant chaque point de contact du parcours d'identité, vous augmentez naturellement vos taux de conversion. Par exemple, pixiv a atteint un taux de réussite de connexion impressionnant de 99 % (soit une amélioration de 29% par rapport aux mots de passe) après avoir implémenté des clés d'accès. Passer à des identifiants plus sécurisés permet de gagner en rapidité et en sécurité.

Simplifier la création de comptes

La première interaction d'un utilisateur avec votre application donne le ton. Simplifier la création de comptes est la première étape pour améliorer l'adoption et la sécurité.

Fédération d'identité comme méthode principale de création de comptes

Vous pouvez permettre à vos utilisateurs d'ignorer les formulaires de création de comptes fastidieux en utilisant la fédération d'identité, qui leur permet de s'inscrire auprès d'un fournisseur de confiance comme Google. Cela offre une expérience d'inscription robuste et simplifiée qui permet aux utilisateurs d'accéder à votre application sans la "corvée" d'une inscription classique.

La fédération signifie que les utilisateurs n'ont pas à saisir manuellement leur nom ni leur adresse e-mail. Étant donné que le fournisseur les a déjà validés, vous pouvez ignorer les étapes redondantes pour les valider indépendamment et attirer plus de personnes.

De plus, l'adoption d'une solution d'identité fédérée vous permet d'hériter du niveau de sécurité d'un IdP (fournisseur d'identité) dédié. Étant donné que les IdP sont spécialisés dans l'identité et la sécurité, s'appuyer sur leur infrastructure élimine le risque de créer une authentification à partir de zéro.

Adopter l'API Federated Credential Management (FedCM)

Si vous agissez en tant qu'IdP, nous vous recommandons d'adopter l'API FedCM. Elle gère l'interaction via l' interface utilisateur du navigateur, ce qui protège la confidentialité en empêchant le suivi tout en offrant aux utilisateurs une connexion en un seul geste, et simplifie l' interface utilisateur en n'affichant que les comptes pertinents.

Boîte de dialogue du mode actif de connexion FedCM sur ordinateur invitant un utilisateur à se connecter avec son compte. La boîte de dialogue contient une icône de branding et des options permettant de se connecter à la RP avec le compte actuel fourni par le fournisseur d'identité, de choisir un autre compte ou d'annuler. La boîte de dialogue est centrée et plus grande que celle du mode passif.
FedCM : boîte de dialogue de l'interface utilisateur en mode actif. En savoir plus sur les modes d'interface utilisateur disponibles fournis par FedCM.

Schéma "Fédérer, puis mettre à niveau"

Le schéma "Fédérer, puis mettre à niveau" combine la rapidité de la fédération avec la sécurité à long terme des clés d'accès. Si vous demandez une clé d'accès juste après une inscription fédérée, la prochaine connexion de l'utilisateur sera résistante au hameçonnage dès le premier jour.

Optimiser les formulaires pour la saisie automatique

Si des formulaires manuels sont nécessaires, utilisez des attributs name et id descriptifs, ainsi que des valeurs autocomplete correctes pour permettre au navigateur de remplir les champs pour l'utilisateur. Cela réduit la charge cognitive et le risque de fautes de frappe lors du processus d'inscription. Pour en savoir plus sur l'optimisation des formulaires, consultez nos bonnes pratiques concernant les formulaires d'inscription pour plus de détails.

<label for="email">Email</label>
<input type="email" id="email" name="email" autocomplete="email">

<label for="password">New Password</label>
<input type="password" id="password" name="password" autocomplete="new-password">

Validation des attributs sans friction

Le fait d'obliger les utilisateurs à quitter votre application pour vérifier un code dans leur e-mail réduit les taux de conversion. Ce changement de contexte est un facteur de distraction qui fait que les utilisateurs ne reviennent jamais.

Découvrez le protocole de validation des adresses e-mail (EVP)

Le protocole de validation des adresses e-mail (EVP), une fonctionnalité émergente, permet à votre application d'obtenir une adresse e-mail validée directement via le navigateur.

Pour activer cette fonctionnalité, ajoutez un champ de saisie masqué avec l' autocomplete="email-verification-token" et un challenge. Le navigateur analyse le domaine de l'adresse e-mail à partir de la saisie et demande à l'émetteur de l'adresse e-mail de vérifier que l'utilisateur contrôle cette adresse. Une fois la validation réussie, le navigateur présente une revendication d'adresse e-mail validée que votre backend peut valider instantanément. Pour l'utilisateur, ce flux se déroule de manière transparente. Il ne voit qu'une notification lors de la validation de l'adresse e-mail.

L'EVP élimine la friction qui fait fuir les utilisateurs (comme les liens magiques ou les OTP par e-mail) pour la connexion, l'inscription et la réinitialisation du mot de passe.

<input id="email" type="email" autocomplete="email">
<input type="hidden" name="token" challenge="1234" autocomplete="email-verification-token">

Notez qu'il appartient à chaque fournisseur de services de messagerie de prendre en charge l'EVP. Vérifiez auprès de votre fournisseur spécifique s'il prévoit de prendre en charge l'EVP. Si vous possédez un domaine personnalisé, vous pouvez l'associer à un fournisseur de messagerie compatible pour prendre également en charge l'EVP.

Comme cette fonctionnalité est encore en phase expérimentale, nous vous remercions de nous faire part de vos commentaires sur cette fonctionnalité dans le dépôt GitHub.

Exemple de flux du protocole de validation des adresses e-mail (EVP).

API Digital Credentials

Pour les informations sensibles telles que le nom légal ou l'âge, l'API Digital Credentials permet de demander des données validées à partir du portefeuille d'un utilisateur via la médiation du navigateur à l'aide de la divulgation sélective. Cela signifie que vous pouvez vérifier qu'un utilisateur a plus d'un certain âge, sans recevoir sa date de naissance complète ni son nom légal, ce qui préserve sa confidentialité.

Consultez API Digital Credentials : identité sécurisée et privée sur le Web.

Implémenter des clés d'accès pour une connexion fluide

Les clés d'accès sont plus qu'un simple remplacement des mots de passe. Elles représentent un changement fondamental vers une authentification fluide et résistante au hameçonnage.

Mode UI immédiat

Le mode UI immédiat est disponible à partir de Chrome 149. Il permet au site Web de rechercher des identifiants au moment où un utilisateur accède à votre site. Si une clé d'accès ou un mot de passe est disponible dans le gestionnaire de mots de passe, le navigateur gère immédiatement le flux avec une liste des comptes disponibles dans une boîte de dialogue de connexion.

L'utilisateur n'a donc plus besoin de sélectionner une méthode de connexion. En proposant de manière proactive l'identifiant du compte sélectionné, vous créez une expérience "en un seul geste" fluide qui semble magique pour l'utilisateur.

const credential = await navigator.credentials.get({
  password: true,
  uiMode: 'immediate',
  publicKey: publicKeyObject,
});

Consultez Mode UI immédiat pour les connexions.

Saisie automatique des formulaires avec clé d'accès : utiliser la saisie automatique des formulaires lors de la transition vers les clés d'accès

Pour les utilisateurs d'un site Web qui passe des mots de passe aux clés d'accès, la saisie automatique des formulaires avec clé d'accès permet aux clés d'accès de s'afficher dans les suggestions de saisie automatique lorsque le champ de saisie est sélectionné. Cela signifie que si un utilisateur possède déjà une clé d'accès, il peut l'utiliser dès qu'il sélectionne le champ de nom d'utilisateur dans un formulaire de connexion. Sinon, il peut toujours utiliser le mot de passe enregistré.

Exemple de sélection de clé d'accès via la saisie automatique des formulaires.

Pour activer cette fonctionnalité, annotez votre champ de nom d'utilisateur avec autocomplete="username webauthn" et définissez la valeur mediation sur 'conditional' lorsque vous appelez navigator.credentials.get().

Il s'agit d'un pont essentiel lors de la transition vers un avenir sans mot de passe, car il familiarise les utilisateurs avec les clés d'accès dans une interface connue.

Consultez la checklist d'authentification avec clé d'accès.

Adoption stratégique des clés d'accès

L'adoption est souvent une question de timing. Inviter un utilisateur au bon moment peut augmenter considérablement la probabilité qu'il enregistre une clé d'accès.

Création automatique de clés d'accès

Personne n'a envie de fouiller dans ses paramètres de sécurité juste pour configurer une nouvelle méthode de connexion. Pour les utilisateurs de mots de passe existants, comment et quand devez-vous les inviter à passer aux clés d'accès ?

C'est là qu'intervient la création automatique de clés d'accès . Avec la création conditionnelle, le navigateur peut automatiquement faire passer les utilisateurs de mots de passe aux clés d'accès au moment exact où ils se connectent avec leur gestionnaire de mots de passe.

Flux de demande de clé d'accès avec création conditionnelle.

En transmettant mediation: 'conditional' à l'navigator.credentials.create() API, déclenchée par la connexion récente de l'utilisateur à l'aide du mot de passe enregistré dans le gestionnaire de mots de passe, le navigateur génère une nouvelle clé d'accès de manière native sans l'obliger à passer par des écrans de configuration supplémentaires.

L'enregistrement sans friction signifie que les utilisateurs n'ont pas à prendre de décision consciente pour améliorer leur sécurité. Il se produit automatiquement, ce qui les protège sans nécessiter d'effort supplémentaire. Par exemple, adidas a constaté une augmentation de 8% des créations de clés d'accès en utilisant cette stratégie sans invite .

await navigator.credentials.create({
  mediation: 'conditional',
  publicKey: { ... },
});

Consultez la checklist d'enregistrement des clés d'accès.

Gestion des clés d'accès et récupération résiliente

Il est important que les utilisateurs aient leurs identifiants facilement disponibles sur tous les appareils, sites Web et services. Ils doivent également pouvoir les gérer et s'assurer qu'ils peuvent récupérer leurs comptes en cas de perte ou de vol d'un appareil.

Cohérence multiplate-forme

Si vous possédez plusieurs propriétés (par exemple, une application Android et un site Web, ou plusieurs sites Web) qui partagent un système de connexion, vous pouvez améliorer l'expérience de vos utilisateurs. Grâce au partage continu d'identifiants, les gestionnaires de mots de passe peuvent suggérer l'identifiant approprié à votre utilisateur sur toutes vos propriétés.

Le partage fluide des identifiants repose sur deux technologies : les Digital Asset Links pour les mots de passe et les requêtes d'origine associée pour les clés d'accès.

L'utilisation de Digital Asset Links garantit que les mots de passe créés sur le Web sont disponibles dans votre application Android, et vice versa. Elle permet également aux gestionnaires de mots de passe de suggérer un identifiant déjà enregistré sur différents domaines que vous possédez et qui partagent le même backend d'authentification.

Utilisez les requêtes d'origine associée pour rendre les clés d'accès disponibles sur différents domaines et applications via le gestionnaire d'identifiants de votre utilisateur.

Il s'agit d'un moyen supplémentaire de simplifier l'expérience de connexion pour vos utilisateurs.

Offrir aux utilisateurs une page de gestion des clés d'accès

Exemple de page de gestion des clés d&#39;accès montrant les bonnes pratiques.

Pour une expérience sophistiquée avec les clés d'accès, nous vous suggérons de créer une page de gestion des clés d'accès dédiée compatible avec des noms de fournisseurs clairs, des durées d'utilisation et des commandes. Cela permet aux utilisateurs de gérer leurs paramètres en toute confiance. La transparence renforce la confiance.

Consultez la checklist de gestion des clés d'accès.

Récupération de compte résiliente

Les appareils peuvent être perdus ou mis à niveau. Les clés d'accès sont intrinsèquement résilientes, car elles utilisent une protection au niveau matériel et sont généralement synchronisées dans le cloud, ce qui permet aux utilisateurs de les restaurer sur un nouvel appareil. Toutefois, disposer d'une solution de secours comme une adresse e-mail validée permet de s'assurer que vos utilisateurs ne perdent jamais l'accès à leur vie numérique.

Au lieu de faire attendre un utilisateur au téléphone pour contacter le service d'assistance, vous pouvez prouver qu'il est le propriétaire à l'aide de signaux auxquels vous faites déjà confiance, tels que la fédération d'identité ou la validation de l'adresse e-mail.

La combinaison de ces signaux dans une stratégie de récupération vous permet de restaurer l'accès immédiatement. Une fois l'accès rétabli, enregistrez immédiatement une nouvelle clé d'accès pour que l'utilisateur soit à nouveau protégé contre le hameçonnage.

Protéger les sessions avec DBSC

Pour protéger les utilisateurs contre le piratage de compte, la protection de leurs cookies de session constitue une autre couche de défense importante. Les identifiants de session liés à l'appareil (DBSC) vous permettent de lier une session au matériel. Cela atténue le piratage de session, car même si un cookie est volé, seul le même appareil peut demander une nouvelle émission du cookie, ce qui ajoute une couche de sécurité supplémentaire à votre session.

DBSC est une fonctionnalité expérimentale, désormais disponible sur Windows. Pour en savoir plus sur cette mise à jour, consultez l'annonce Identifiants de session liés à l'appareil sur Windows. Nous travaillons également à étendre la prise en charge de DBSC à macOS.

Compétences agentiques pour les clés d'accès

Nous avons inclus des compétences pour les clés d'accès qui couvrent de nombreux aspects décrits dans cet article dans notre projet Modern Web Guidance. Nous publierons bientôt un article de blog spécifique sur les compétences pour les clés d'accès.

Prêt à construire l'avenir de l'authentification ?

Consultez nos guides détaillés et commencez à moderniser votre système dès aujourd'hui :