Mots de Passe et MFA: Migrer vers les Passkeys sans Casser Votre Recuperation

La premiere fois qu'un client m'a appele a 23h parce que son CFO avait jete son iPhone dans la piscine et perdu acces a tout, il est devenu evident qu'une passkey sans plan de recuperation est juste une facon elegante de s'enfermer dehors. Les passkeys resolvent le bon probleme: elles tuent la reutilisation de mots de passe, le phishing inverse et la majorite du MFA fatigue qui declenche des incidents aujourd'hui. Mais un deploiement bacle cree une nouvelle classe d'incident: utilisateur legitime bloque, pas de canal de reset fiable, helpdesk transforme en vecteur d'ingenierie sociale. Le sujet ici, c'est traiter le passkey comme un projet d'identite, pas comme un nouveau bouton sur la page de login.

Techniquement, une passkey est une paire de cles WebAuthn (ES256 ou EdDSA en general) liee a une origine. La cle privee vit dans un authenticator: Secure Enclave sur iPhone, TPM 2.0 dans Windows Hello, StrongBox sur Android, ou un token externe comme une YubiKey 5C NFC. Le serveur ne stocke que la cle publique et le credentialId. Le phishing classique echoue car la signature est liee au RP ID (domaine). Lors de tests contre des clones avec evilginx2, la passkey refuse simplement de signer pour le mauvais domaine, alors que TOTP tombe a 100% derriere un reverse proxy. Setup pratique dans Pentest Web depuis Zero: Construire un Lab Sur avec DVWA, Juice Shop et Burp Suite et contexte adverse dans Phishing Red Team Autorise : Modeles, GoPhish et Garde-fous Ethiques.

Le vrai risque n'est pas le protocole, c'est la recuperation. Cartographiez comment votre fournisseur (Apple iCloud Keychain, Google Password Manager, 1Password, Bitwarden) synchronise les credentials et a quoi ressemble la ceremonie de restore. Apple exige le passcode de l'appareil plus un contact de recuperation ou une cle de 28 caracteres. Google s'appuie sur le verrouillage d'ecran de l'appareil precedent. Si vous desactivez SMS et email comme fallback sans configurer ce chemin, c'est fini. Documentez le flux dans un modele de menace personnel avant de migrer; OPSEC pour Chercheurs en Securite: Modele de Menace Personnel contient le squelette que j'utilise avec clients a haut risque et journalistes.

Pour les equipes corporate, ma regle est deux authenticators physiques par utilisateur critique (ex: YubiKey 5C plus YubiKey 5 Nano), enroles le meme jour, l'un range dans un coffre physique. Sur Entra ID, Okta ou Google Workspace, configurez l'attestation policy pour exiger des authenticators certifies FIDO2 L1+ sur les comptes privilegies. Desactivez le self-service enrollment sans revue pour les groupes admin. Pour les comptes perso de chercheurs, combinez passkey synchronisee (confort) et security key physique (resilience). Le playbook de hardening poste dans Durcissement de Windows 11 pour Postes de Travail a Haut Risque couvre l'endpoint, et Durcissement macOS: Lockdown Mode, MDM et Reduction de Surface l'equivalent Apple.

Le helpdesk est la ou 80% des bypasses se produisent. MGM, Caesars et Cloudflare ont documente le meme pattern: attaquant appelle, simule perte d'appareil, helpdesk reset MFA. Avec passkey, le vecteur change mais ne disparait pas, ca devient reset de passkey. Imposez une verification out-of-band: video call avec piece d'identite, ou approbation du manager via canal separe. Loggez chaque operation de reset avec retention d'un an et alerte SIEM. Si vous tournez Sigma, ecrivez une regle pour reset credential hors heures suivi d'un login depuis nouvelle geo - exemple concret dans Threat Hunting avec Sigma et Elastic: De l'Indicateur a la Regle de Detection et patterns de hunting dans Hunting des Living-off-the-Land Binaries sous Windows avec KQL.

Le mot de passe disparait? Pas si vite. En pratique, gardez un password fort (>=20 caracteres, genere par gestionnaire) comme backup sur les comptes qui ne supportent pas encore passkey-only, et desactivez SMS partout ou possible. Sur les comptes qui le supportent (Google, Microsoft, GitHub, Apple, Cloudflare), basculez en passkey-only apres 30 jours de test en parallele. Rangez les codes de backup imprimes dans un coffre, separes des authenticators. Pour le chiffrement disque et coffre-fort de mots de passe, Crypto de Disque et Sauvegardes: VeraCrypt, LUKS et Strategie 3-2-1 Resiliente montre comment appliquer 3-2-1 sans tomber sur une copie unique qui devient SPOF.

Erreurs courantes en audit: 1) admin global avec une seule passkey sur un telephone personnel; 2) email de recuperation pointant vers un compte sans MFA; 3) cle de recuperation BitLocker sauvegardee dans le cloud du compte que vous essayez de recuperer - boucle parfaite; 4) helpdesk autorise a desactiver MFA par ticket sans approbation manager; 5) passkey synchronisee marquee hardware-bound dans l'inventaire. Auditez ca avec un exercice purple team trimestriel, meme cycle que dans Purple Team en Pratique: Construire une Boucle de Feedback Red vs Blue. En red team autorise, ce sont les premiers chemins qu'on teste apres l'initial access.

Takeaway pratique: vendredi prochain, ouvrez vos 5 comptes les plus critiques (email principal, banque, gestionnaire de mots de passe, IdP corporate, registrar de domaine). Pour chacun, enregistrez 2 passkeys sur des authenticators differents, imprimez les codes de backup, verifiez que vous pouvez vous logger sans l'appareil principal, et retirez SMS comme fallback. Documentez la procedure de recuperation dans une enveloppe scellee. Si vous n'y arrivez pas en 90 minutes par compte, vous n'etes pas encore pret a tuer le mot de passe - et c'est ok, ca fait partie du plan.