Publié le : 21 mai 2026
Lors de Google I/O 2026, nous avons évoqué un Web où la connexion n'est pas une corvée. Il doit s'agir d'un point d'entrée sécurisé et simplifié qui rassure réellement les utilisateurs. Cet article récapitule comment corriger les flux de votre compte, réduire les frictions et protéger les utilisateurs dès le début.
Accès rapide
- Pourquoi la modernisation est-elle importante ?
- Simplifier la création de comptes
- Validation fluide des attributs
- Implémenter des clés d'accès pour une connexion fluide
- Adoption stratégique des clés d'accès
- Gestion des clés d'accès et récupération résiliente
Pourquoi la modernisation est-elle importante ?
Les parcours à friction élevée (comme les formulaires d'inscription complexes, la boucle frustrante "Mot de passe oublié" ou un mur de boutons de connexion) gâchent l'expérience. Ils sont des "tueurs de changement de contexte" qui font fuir les utilisateurs. Les mots de passe à l'ancienne et les mots de passe à usage unique (OTP) rendent également les utilisateurs très vulnérables au hameçonnage.
Chaque seconde de friction est une opportunité pour un utilisateur d'abandonner. La modernisation de votre authentification protège vos systèmes et vos utilisateurs. En fluidifiant chaque point de contact du parcours d'identité, vous augmentez naturellement vos taux de conversion. Par exemple, pixiv a enregistré un taux de 99% de réussite des connexions (soit une amélioration de 29% par rapport aux mots de passe) après avoir implémenté les clés d'accès. L'abandon des identifiants faibles permet d'accélérer et de sécuriser les opérations.
Simplifier la création de comptes
La première interaction d'un utilisateur avec votre application donne le ton. La simplification de la création de compte est la première étape pour améliorer l'adoption et la sécurité.
Fédération d'identité comme méthode principale de création de compte
Vous pouvez permettre à vos utilisateurs d'éviter les formulaires de création de compte fastidieux en utilisant la fédération d'identité, qui leur permet de s'inscrire auprès d'un fournisseur de confiance comme Google. Cela offre une expérience d'inscription robuste et simplifiée qui permet aux utilisateurs d'accéder à votre application sans la "corvée" d'une inscription classique.
La fédération permet aux utilisateurs de ne pas avoir à saisir manuellement leur nom ou leur adresse e-mail. Comme le fournisseur les a déjà validés, vous pouvez ignorer les étapes redondantes pour les valider indépendamment et accueillir plus de personnes.
De plus, l'adoption d'une solution d'identité fédérée vous permet d'hériter du niveau de sécurité d'un IdP (fournisseur d'identité) dédié. Étant donné que les IdP sont spécialisés dans l'identité et la sécurité, s'appuyer sur leur infrastructure élimine le risque de créer une authentification à partir de zéro.
Adopter l'API Federated Credential Management (FedCM)
Si vous agissez en tant qu'IdP, nous vous recommandons d'adopter l'API FedCM. Il gère l'interaction via l'interface utilisateur du navigateur, ce qui protège la confidentialité en empêchant le suivi tout en offrant aux utilisateurs une connexion en un clic et en simplifiant l'interface utilisateur en n'affichant que les comptes pertinents.
Schéma "Fédérer, puis migrer"
La fédération suivie de la mise à niveau combine la rapidité de la fédération et la sécurité à long terme des clés d'accès. Si vous demandez une clé d'accès juste après une inscription fédérée, la prochaine connexion de l'utilisateur sera résistante au hameçonnage dès le premier jour.
Optimiser les formulaires pour la saisie automatique
Si des formulaires manuels sont nécessaires, utilisez des attributs name et id descriptifs, ainsi que des valeurs autocomplete correctes pour permettre au navigateur de remplir les champs pour l'utilisateur. Cela réduit la charge cognitive et le risque de fautes de frappe lors de l'inscription. Pour en savoir plus sur l'optimisation des formulaires, consultez nos bonnes pratiques concernant les formulaires d'inscription.
<label for="email">Email</label>
<input type="email" id="email" name="email" autocomplete="email">
<label for="password">New Password</label>
<input type="password" id="password" name="password" autocomplete="new-password">
Validation des attributs sans friction
Le fait d'obliger les utilisateurs à quitter votre application pour vérifier un code dans leur e-mail réduit les taux de conversion. C'est ce changement de contexte qui distrait les utilisateurs et les empêche de revenir.
Découvrez le protocole de validation des adresses e-mail (EVP)
Le protocole de validation d'adresse e-mail (EVP, Email Verification Protocol), une fonctionnalité émergente, permet à votre application d'obtenir une adresse e-mail validée directement via le navigateur.
Pour accepter d'utiliser cette fonctionnalité, ajoutez un champ de saisie masqué avec l'attribut autocomplete="email-verification-token" et avec un challenge. Le navigateur analyse le domaine de l'adresse e-mail à partir de la saisie et demande à l'émetteur de l'adresse e-mail de vérifier que l'utilisateur contrôle cette adresse e-mail. Une fois la validation effectuée, le navigateur présente une revendication d'adresse e-mail validée que votre backend peut valider instantanément. Pour l'utilisateur, ce flux se déroule de manière fluide. Il ne voit qu'une notification lors de la validation de l'adresse e-mail.
L'EVP élimine les frictions qui font fuir les utilisateurs (comme les liens magiques ou les codes secrets à usage unique envoyés par e-mail) pour la connexion, l'inscription et la réinitialisation du mot de passe.
<input id="email" type="email" autocomplete="email">
<input type="hidden" name="token" challenge="1234" autocomplete="email-verification-token">
Notez que c'est aux fournisseurs de services de messagerie individuels qu'il revient de prendre en charge l'EVP. Contactez votre fournisseur spécifique pour savoir s'il prévoit de prendre en charge l'EVP. Si vous possédez un domaine personnalisé, vous pouvez l'associer à un fournisseur de messagerie compatible pour prendre également en charge l'EVP.
Comme cette fonctionnalité est encore en phase expérimentale, nous vous remercions de nous faire part de vos commentaires à son sujet dans le dépôt GitHub.
API Digital Credentials
Pour les informations sensibles telles que le nom légal ou l'âge, l'API Digital Credentials permet de demander des données validées depuis le portefeuille d'un utilisateur via la médiation du navigateur à l'aide de la divulgation sélective. Cela signifie que vous pouvez vérifier qu'un utilisateur a plus d'un certain âge, sans recevoir sa date de naissance complète ni son nom légal, ce qui préserve sa confidentialité.
Consultez API Digital Credentials : une identité sécurisée et privée sur le Web.
Implémenter des clés d'accès pour une connexion fluide
Les clés d'accès ne sont pas qu'un simple remplacement des mots de passe. Elles représentent un changement fondamental vers une authentification fluide et résistante au hameçonnage.
Mode UI immédiat
À partir de Chrome 149, le mode UI immédiat est disponible. Il permet au site Web de rechercher des identifiants dès qu'un utilisateur accède à votre site. Si une clé d'accès ou un mot de passe sont disponibles dans le gestionnaire de mots de passe, le navigateur gère immédiatement le flux avec une liste des comptes disponibles dans une boîte de dialogue de connexion.
L'utilisateur n'a donc pas besoin de sélectionner une méthode de connexion. En proposant de manière proactive les identifiants du compte sélectionné, vous créez une expérience "en un clic" fluide qui semble magique pour l'utilisateur.
const credential = await navigator.credentials.get({
password: true,
uiMode: 'immediate',
publicKey: publicKeyObject,
});
Consultez Mode UI immédiat pour les connexions.
Remplissage automatique des formulaires avec des clés d'accès : utilisez le remplissage automatique des formulaires lors de la transition vers les clés d'accès
Pour les utilisateurs d'un site Web qui passe des mots de passe aux clés d'accès, la saisie automatique des formulaires de clés d'accès permet aux clés d'accès d'apparaître dans les suggestions de saisie automatique lorsque le champ de saisie est sélectionné. Cela signifie que si un utilisateur possède déjà une clé d'accès, il peut l'utiliser dès qu'il sélectionne le champ du nom d'utilisateur dans un formulaire de connexion. Si ce n'est pas le cas, ils peuvent toujours utiliser le mot de passe enregistré.
Pour ce faire, annotez le champ de votre nom d'utilisateur avec autocomplete="username webauthn" et définissez la valeur mediation sur 'conditional' lorsque vous appelez navigator.credentials.get().
Il s'agit d'une passerelle essentielle lors de la transition vers un avenir sans mot de passe, car elle familiarise les utilisateurs avec les clés d'accès dans une interface connue.
Consultez la checklist d'authentification par clé d'accès.
Adoption stratégique des clés d'accès
L'adoption est souvent une question de timing. Inviter un utilisateur au bon moment peut augmenter considérablement la probabilité qu'il enregistre une clé d'accès.
Création automatique de clés d'accès
Personne n'a envie de parcourir ses paramètres de sécurité juste pour configurer une nouvelle méthode de connexion. Pour les utilisateurs de mots de passe existants, comment et quand devez-vous les inviter à passer aux clés d'accès ?
C'est là qu'intervient la création automatique de clés d'accès. Avec Conditional Create, le navigateur peut automatiquement migrer les utilisateurs de mots de passe vers les clés d'accès au moment exact où un utilisateur se connecte avec son gestionnaire de mots de passe.
En transmettant mediation: 'conditional' à l'API navigator.credentials.create(), déclenchée par la récente connexion réussie de l'utilisateur à l'aide du mot de passe enregistré dans le gestionnaire de mots de passe, le navigateur génère une clé d'accès nativement sans l'obliger à passer par des écrans de configuration supplémentaires.
L'inscription sans friction signifie que les utilisateurs n'ont pas besoin de prendre une décision consciente pour améliorer leur sécurité. Cela se fait automatiquement, ce qui les protège sans qu'ils aient à faire quoi que ce soit. Par exemple, adidas a enregistré une augmentation de 8% des créations de clés d'accès en utilisant cette stratégie sans invite.
await navigator.credentials.create({
mediation: 'conditional',
publicKey: { ... },
});
Consultez la checklist d'enregistrement des clés d'accès.
Gestion des clés d'accès et récupération résiliente
Il est important que les utilisateurs aient leurs identifiants facilement disponibles sur les appareils, les sites Web et les services. Vous pouvez également les gérer et vous assurer qu'ils peuvent récupérer leurs comptes en cas de perte ou de vol d'un appareil.
Cohérence multiplate-forme
Si vous possédez plusieurs propriétés (par exemple, une application Android et un site Web, ou plusieurs sites Web) qui partagent un système de connexion, vous pouvez améliorer l'expérience de vos utilisateurs. Grâce au partage continu d'identifiants, les gestionnaires de mots de passe peuvent suggérer le bon identifiant à votre utilisateur sur toutes vos propriétés.
Le partage fluide d'identifiants repose sur deux technologies : Digital Asset Links pour les mots de passe et Related Origin Requests pour les clés d'accès.
L'utilisation de Digital Asset Links garantit que les mots de passe créés sur le Web sont disponibles dans votre application Android, et inversement. Il permet également aux gestionnaires de mots de passe de suggérer des identifiants déjà enregistrés pour différents domaines vous appartenant qui partagent le même backend d'authentification.
Utilisez les demandes d'origine associée pour rendre les clés d'accès disponibles sur différents domaines et applications via le gestionnaire d'identifiants de votre utilisateur.
Il s'agit d'un moyen supplémentaire de rendre l'expérience de connexion plus fluide pour vos utilisateurs.
Fournir aux utilisateurs une page de gestion des clés d'accès
Pour une expérience sophistiquée avec les clés d'accès, nous vous suggérons de créer une page de gestion des clés d'accès dédiée, avec la prise en charge des noms de fournisseurs clairs, des heures d'utilisation et des commandes. Cela permet aux utilisateurs de gérer leurs paramètres en toute confiance. La transparence renforce la confiance.
Consultez la checklist de gestion des clés d'accès.
Récupération de compte résiliente
Les appareils peuvent être perdus ou remplacés. Les clés d'accès sont intrinsèquement résilientes, car elles utilisent une protection matérielle et sont généralement synchronisées dans le cloud, ce qui permet aux utilisateurs de les restaurer sur un nouvel appareil. Toutefois, disposer d'une solution de secours, comme une adresse e-mail validée, permet de s'assurer que vos utilisateurs ne perdent jamais l'accès à leur vie numérique.
Au lieu de faire attendre une personne au téléphone pour un appel au service d'assistance, vous pouvez prouver qu'elle est propriétaire à l'aide de signaux auxquels vous faites déjà confiance, tels que la fédération d'identité ou la validation par e-mail.
En combinant ces signaux dans une stratégie de récupération, vous pouvez rétablir l'accès immédiatement. Une fois qu'il est de retour, enregistrez immédiatement une nouvelle clé d'accès pour qu'il soit à nouveau protégé contre le hameçonnage.
Protéger les sessions avec les identifiants de session liés à l'appareil
Pour protéger les utilisateurs contre le piratage de compte, il est également important de sécuriser leurs cookies de session. Les identifiants de session liés à l'appareil (DBSC) vous permettent de lier une session au matériel. Cela permet d'éviter le piratage de session, car même si un cookie est volé, seul le même appareil peut demander sa réémission, ce qui ajoute une couche de sécurité supplémentaire à votre session.
Les identifiants de session liés à l'appareil sont une fonctionnalité expérimentale désormais disponible sur Windows. Pour en savoir plus sur cette mise à jour, consultez l'annonce concernant les identifiants de session liés à l'appareil sur Windows. Nous nous efforçons également d'étendre la prise en charge de DBSC à macOS.
Compétences de l'agent pour les clés d'accès
Nous avons inclus des compétences liées aux clés d'accès qui couvrent de nombreux aspects décrits dans cet article dans notre projet Modern Web Guidance. Nous publierons bientôt un article de blog sur les compétences liées aux clés d'accès.
Prêt à façonner l'avenir de l'authentification ?
Consultez nos guides détaillés et commencez à moderniser vos applications dès aujourd'hui :