Passkeys

🏛️ Contexte Publié le 23 avril 2026 par The Register, cet article rapporte une annonce officielle du National Cyber Security Centre (NCSC) britannique lors de sa conférence annuelle CYBERUK. Il s’agit de la première fois que l’agence recommande explicitement d’abandonner les mots de passe au profit des passkeys. 🔑 Contenu de la recommandation Le NCSC a publié un rapport technique concluant que les passkeys sont « au moins aussi sécurisés, et généralement plus sécurisés » qu’une combinaison mot de passe + vérification en deux étapes (2SV). La nouvelle guidance officielle stipule que les mots de passe ne doivent plus être utilisés là où les passkeys sont disponibles. ...

Selon BleepingComputer, Bitwarden a annoncé la prise en charge de la connexion aux appareils Windows 11 en utilisant des passkeys stockées dans le coffre-fort du gestionnaire, afin d’activer une authentification résistante au phishing. 🔐 Fonctionnalité annoncée : prise en charge de la connexion à Windows 11 grâce à des passkeys conservées dans le coffre Bitwarden. 🎯 Objectif principal : proposer une authentification résistante au phishing, en s’appuyant sur des passkeys au lieu de mots de passe traditionnels. ...

Selon l’extrait d’actualité du 16 janvier 2026, Moxie Marlinspike (créateur de Signal) lance Confer, un assistant IA privé et open source misant sur le chiffrement de bout en bout et un environnement d’exécution de confiance (TEE) pour protéger les conversations. Le contexte évoque les risques de stockage centralisé des chatbots grand public et rappelle une ordonnance de juin 2025 imposant à OpenAI de conserver indéfiniment les conversations de ChatGPT, alimentant la défiance. Le billet de blog de Confer et des échanges avec Ars Technica sont cités. ...

Selon BleepingComputer, Microsoft annonce que Windows 11 prend désormais en charge nativement les gestionnaires de passkeys tiers, afin de simplifier l’authentification sans mot de passe. 🔐 Windows 11 ajoute une prise en charge native des gestionnaires de passkeys tiers, ce qui rend l’authentification sans mot de passe plus facile pour les utilisateurs. Contexte Microsoft renforce l’authentification passwordless dans Windows 11 en ajoutant un support natif pour les gestionnaires de passkeys tiers. Cette évolution, intégrée dans la mise à jour de sécurité de novembre 2025, résulte d’un travail conjoint entre l’équipe sécurité de Windows, 1Password et Bitwarden, et repose sur une nouvelle API dédiée. ...

Source: SANS Internet Storm Center (Diary du 2025-09-21) par Johannes Ullrich. Contexte: retour sur une campagne de phishing en cours contre des comptes développeurs NPM et sur les méthodes d’authentification résistantes au phishing. — Faits rapportés: des e‑mails de phishing bien rédigés et une page de destination convaincante ont suffi pour piéger des développeurs NPM. Le domaine « npmjs.help » a été utilisé, et « npmjs.cam » (TLD .CAM et non .COM) a été enregistré peu après, même si ce dernier n’est pas joignable au moment évoqué. 🎣 ...

Source et contexte: Recherche publiée par Marek Tóth (présentée à DEF CON 33), initialement le 9 août 2025 et mise à jour le 20 août 2025, portant sur une nouvelle technique de clickjacking ciblant les interfaces injectées par des extensions de navigateur. La recherche décrit une nouvelle technique générale de DOM-based Extension Clickjacking: un script malveillant rend invisibles (opacity/pointer-events/overlays/Popover API) les éléments d’UI injectés par les extensions dans le DOM, tout en restant cliquables. Testée sur 11 gestionnaires de mots de passe, la méthode a montré que tous étaient vulnérables à ce type d’attaque (et certains aussi à la variante IFRAME via web_accessible_resources mal configurés). ...

Selon un article publié le 10 mai 2025, le gouvernement britannique a annoncé son intention de déployer la technologie des passkeys pour ses services numériques, remplaçant ainsi le système actuel de vérification par SMS. Cette annonce a été faite lors de l’événement CYBERUK, une conférence phare en matière de cybersécurité. Les passkeys sont des clés numériques uniques associées à des appareils spécifiques, comme un téléphone ou un ordinateur portable, permettant aux utilisateurs de se connecter en toute sécurité sans nécessiter de message texte ou de code supplémentaire. Cette méthode est considérée comme plus sécurisée car la clé reste stockée sur l’appareil et ne peut pas être facilement interceptée ou volée, ce qui les rend résistantes au phishing. ...