🏛️ Contexte

Publié le 23 avril 2026 par The Register, cet article rapporte une annonce officielle du National Cyber Security Centre (NCSC) britannique lors de sa conférence annuelle CYBERUK. Il s’agit de la première fois que l’agence recommande explicitement d’abandonner les mots de passe au profit des passkeys.

🔑 Contenu de la recommandation

Le NCSC a publié un rapport technique concluant que les passkeys sont « au moins aussi sécurisés, et généralement plus sécurisés » qu’une combinaison mot de passe + vérification en deux étapes (2SV). La nouvelle guidance officielle stipule que les mots de passe ne doivent plus être utilisés là où les passkeys sont disponibles.

Points clés de la recommandation :

  • Les passkeys créent une paire de clés cryptographiques entre l’appareil de l’utilisateur et le compte protégé
  • Ils ne peuvent pas être devinés ni hameçonnés (résistance au phishing)
  • Ils sont jusqu’à huit fois plus rapides à utiliser que les mots de passe
  • Là où les passkeys ne sont pas disponibles, la combinaison mot de passe + 2SV + gestionnaire de mots de passe reste recommandée

🏢 Adoption industrielle

L’agence avait envisagé cette décision l’année précédente, mais avait attendu que l’industrie résolve plusieurs obstacles :

  • Nommage incohérent des passkeys selon les plateformes
  • Support matériel peu fiable
  • Compatibilité limitée avec les gestionnaires de credentials

Google, eBay et PayPal sont cités comme plateformes ayant facilité l’adoption, avec environ 50 % des utilisateurs Google britanniques ayant enregistré au moins un passkey. Microsoft avait déjà adopté les passkeys comme standard par défaut près d’un an auparavant.

📊 Contexte de menace

Richard Horne, CEO du NCSC, a indiqué que le nombre de cyberattaques d’importance nationale touchant le Royaume-Uni reste à des niveaux similaires à ceux d’octobre (environ quatre par semaine). Il a également évoqué la sophistication croissante des modèles d’IA frontier comme facteur aggravant pour les défenseurs.

📋 Nature de l’article

Article de presse spécialisée rapportant une recommandation de sécurité officielle du NCSC britannique, visant à informer les professionnels et le grand public sur l’évolution des standards d’authentification.

🧠 TTPs et IOCs détectés

TTP

  • T1566 — Phishing (Initial Access)
  • T1110 — Brute Force (Credential Access)
  • T1539 — Steal Web Session Cookie (Credential Access)
  • T1552 — Unsecured Credentials (Credential Access)

🟡 Indice de vérification factuelle : 40/100 (moyenne)

  • ⬜ theregister.com — source non référencée (0pts)
  • ✅ 3891 chars — texte complet (fulltext extrait) (15pts)
  • ⬜ aucun IOC extrait (0pts)
  • ⬜ pas d’IOC à vérifier (0pts)
  • ✅ 4 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ⬜ aucun acteur de menace nommé (0pts)
  • ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://www.theregister.com/2026/04/23/ncsc_passkey_tech_now_reliable/