Qu'est-ce que FIDO2 et comment fonctionne-t-il ? Le protocole derrière YubiKey expliqué
FIDO2 est une norme ouverte d'authentification basée sur la cryptographie à clé publique, conçue pour éliminer l'utilisation de mots de passe et rendre l'hameçonnage pratiquement inutile. C'est le protocole qui fait fonctionner la YubiKey, les clés d'accès et l'authentification biométrique de ton téléphone. Dans cet article, nous expliquons comment il fonctionne techniquement, sans avoir besoin d'être développeur pour le comprendre.
Comment fonctionne FIDO2 techniquement ?
FIDO2 est basé sur une paire de clés cryptographiques : une publique et une privée. La clé privée ne quitte jamais le dispositif — elle n'est ni envoyée sur Internet ni stockée sur aucun serveur. C'est ce qui rend FIDO2 fondamentalement différent d'un mot de passe.
🔐 La paire de clés expliquée
Clé privée : elle est générée et reste dans ta YubiKey ou ton dispositif. Elle n'est jamais transmise nulle part.
Clé publique : elle est envoyée au service (Google, GitHub, ta banque) lorsque tu enregistres la clé. Le service la conserve pour vérifier les authentifications futures.
Résultat : même si le serveur du service est piraté, la clé publique seule ne permet à personne d'accéder à ton compte.
Le processus comprend deux phases distinctes :
Lorsque tu actives FIDO2 sur un service, ton dispositif génère une nouvelle paire de clés spécifique à ce site web. La clé publique est envoyée et sauvegardée sur le serveur ; la clé privée reste dans ta YubiKey.
Chaque fois que tu te connectes, le service envoie un défi cryptographique. Ton dispositif le signe avec la clé privée et renvoie la signature. Le serveur vérifie la signature avec la clé publique qu'il avait déjà sauvegardée. Si elle correspond, tu accèdes.
À aucun moment un mot de passe ni une donnée secrète réutilisable n'est transmis — seulement une signature valide pour cette tentative précise.
FIDO2 vs U2F vs WebAuthn — est-ce la même chose ?
Ces trois termes sont liés mais ne sont pas exactement synonymes :
| Protocole | Qu'est-ce que c'est |
|---|---|
| U2F | Le protocole original de Yubico et Google (2014). Il ne fonctionnait que comme deuxième facteur — tu avais besoin d'un mot de passe + d'une clé. |
| WebAuthn | La norme web (W3C) qui définit comment les navigateurs communiquent avec les dispositifs d'authentification. C'est l'« API » utilisée par les sites web. |
| FIDO2 | L'ensemble complet : il inclut WebAuthn plus le protocole CTAP (comment le navigateur parle à ta YubiKey). Il permet la connexion sans mot de passe, pas seulement comme deuxième facteur. |
En pratique, lorsqu'une YubiKey moderne dit « FIDO2 », cela signifie qu'elle est compatible avec WebAuthn et peut être utilisée à la fois comme deuxième facteur (comme U2F) et comme méthode de connexion complète sans mot de passe.
Pourquoi FIDO2 est résistant à l'hameçonnage
La raison pour laquelle FIDO2 arrête l'hameçonnage n'est pas seulement qu'il utilise la cryptographie — c'est qu'il inclut la vérification du domaine (origin binding). Lorsque tu enregistres ta clé sur un site web, cette clé est associée exactement à ce domaine.
⚠️ Ce qui se passe avec un faux site web
Si quelqu'un crée un site web identique à ta banque mais avec un domaine différent (par exemple, « banco-segura.com » au lieu de « banco.com »), ta YubiKey ne répond simplement pas. La clé vérifie le domaine avant de signer quoi que ce soit — si elle ne correspond pas, aucune authentification n'est possible. C'est ce qui rend l'hameçonnage traditionnel inutile contre FIDO2 : tu ne peux même pas « te tromper » en entrant tes identifiants sur le faux site, car il n'y a pas d'identifiants à entrer.
C'est la différence fondamentale par rapport à l'authentification 2FA par SMS ou aux applications d'authentification : ces méthodes génèrent un code que tu copies et colles — et ce code peut être volé ou entré sur le mauvais site. FIDO2 élimine complètement cette étape.
Quels dispositifs utilisent FIDO2 ?
FIDO2 n'est pas exclusif à YubiKey. Voici les dispositifs les plus courants qui le supportent :
YubiKey, Google Titan et autres clés USB/NFC certifiées FIDO2. L'option la plus sécurisée car la clé privée réside dans une puce dédiée, isolée du reste du système.
Face ID, lecteur d'empreinte digitale sur Android ou iPhone. Le téléphone lui-même agit comme authentificateur FIDO2, utilisant sa puce de sécurité intégrée.
Reconnaissance faciale ou empreinte digitale sur ordinateurs portables avec Windows. Fonctionne comme un authentificateur FIDO2 intégré au système d'exploitation.
Si tu veux mieux comprendre ce qu'est physiquement une clé de ce type, consulte notre guide sur ce qu'est une security key et comment elle fonctionne.
FIDO2 et les clés d'accès — est-ce la même chose ?
Pas exactement, mais ils sont directement liés. Une clé d'accès est une accréditation FIDO2 — elle utilise le même protocole de clé publique/privée en dessous. La différence réside dans l'implémentation et l'expérience utilisateur :
🔄 La relation entre les deux
FIDO2 : le protocole technique — comment les clés sont générées et vérifiées.
Clé d'accès : le nom commercial qu'Apple, Google et Microsoft utilisent pour les accréditations FIDO2 qui se synchronisent également entre tes dispositifs via le cloud (iCloud Keychain, Google Password Manager).
Une YubiKey peut également stocker des clés d'accès — la différence est qu'avec la clé physique, la clé privée n'est synchronisée nulle part, elle reste physiquement sur le dispositif.
Questions fréquemment posées
FIDO2 fonctionne-t-il sans Internet ?
Le processus de signature cryptographique se produit localement sur ton dispositif, sans avoir besoin de connexion. Mais pour compléter la connexion, tu as besoin d'une connexion avec le service auquel tu t'authentifies — le défi et la vérification de la signature nécessitent une communication avec le serveur.
Puis-je perdre l'accès à mes comptes si je perds ma clé FIDO2 ?
Si tu n'as qu'une seule clé enregistrée et que tu n'as pas configuré une méthode alternative, oui. C'est pourquoi il est recommandé d'enregistrer toujours une deuxième clé de sauvegarde dans chaque service que tu utilises avec FIDO2.
Tous les navigateurs supportent-ils FIDO2 ?
Oui. Chrome, Firefox, Edge et Safari supportent WebAuthn/FIDO2 de manière native depuis plusieurs années. Tu n'as besoin d'installer aucune extension supplémentaire.
FIDO2 remplace-t-il complètement le mot de passe ?
Il peut le faire. Lorsqu'un service implémente FIDO2 comme méthode de connexion complète (pas seulement comme deuxième facteur), tu peux te connecter sans taper aucun mot de passe — seulement avec ta clé ou ta biométrie. De nombreux services l'offrent encore seulement comme 2FA supplémentaire au mot de passe.
Verdict
FIDO2 n'est pas une mode technique — c'est le vrai changement dans la façon dont nous nous authentifions
Contrairement aux mots de passe ou aux codes SMS, FIDO2 élimine la donnée secrète qui voyage sur Internet. Il n'y a rien qu'un attaquant puisse voler sur un serveur ou intercepter en transit qui lui servirait pour accéder à ton compte.
Comprendre le protocole n'est pas obligatoire pour l'utiliser — mais cela aide à comprendre pourquoi une YubiKey est un investissement en sécurité réelle, pas seulement un accessoire de plus.
CELA POURRAIT T'INTÉRESSER
Quelle YubiKey acheter selon ton dispositif ? Guide complet 2026
