Bon, les mots de passe WordPress, on sait tous que c’est le maillon faible de nos sites : mots de passe réutilisés, phishing, SMS 2FA interceptés… Bref, un vrai casse-tête pour la sécurité ! Heureusement, WebAuthn et l’authentification biométrique arrivent pour révolutionner tout ça, et on va voir comment l’intégrer proprement dans WordPress avec du code concret. Fini les « password123 », place aux empreintes digitales et aux clés cryptographiques !
Comprendre WebAuthn et FIDO2 : Les fondations de l’authentification biométrique
Bon, alors… WebAuthn et FIDO2, c’est quoi au juste ? Je vais être honnête : la première fois que j’ai entendu parler de ces technologies, j’ai cru que c’était encore du marketing tech à la mode. Mais en fait, on parle là d’une révolution dans l’authentification web qui va vraiment changer la donne pour nos sites WordPress.
Les concepts clés : WebAuthn, FIDO2 et authenticators
Alors, commençons par démêler ce jargon technique. WebAuthn (Web Authentication), c’est une API standardisée par le W3C qui permet aux sites web d’utiliser l’authentification forte sans mot de passe. Pensez à ça comme un « langage universel » que votre navigateur comprend pour communiquer avec vos appareils biométriques.
FIDO2, lui, c’est le protocole développé par la FIDO Alliance (oui, encore un acronyme : Fast IDentity Online). En gros, FIDO2 = WebAuthn + CTAP (Client to Authenticator Protocol). C’est le protocole qui permet à vos appareils de « parler » entre eux pour l’authentification.
Maintenant, les authenticators… là ça devient concret ! On a deux types principaux :
- Platform authenticators : TouchID sur votre MacBook, FaceID sur iPhone, Windows Hello… Bref, tout ce qui est intégré dans votre appareil
- Roaming authenticators : Les clés USB comme YubiKey, les tokens NFC… Des appareils externes que vous pouvez transporter
La beauté du système ? Ces authenticators génèrent des clés cryptographiques uniques pour chaque site. Donc même si un site se fait pirater, vos autres comptes restent protégés.
Passkeys et authenticators : comment ça marche concrètement
Bon, alors les passkeys… C’est le terme qu’Apple, Google et Microsoft utilisent pour parler de l’implémentation WebAuthn dans leurs écosystèmes. Et franchement, c’est malin comme approche !
Concrètement, voici ce qui se passe (et je vais utiliser une métaphore simple) : c’est comme avoir un coffre-fort unique pour chaque site web. Quand vous créez un compte, votre appareil génère deux clés :
- Une clé privée qui reste sur votre appareil (dans le coffre-fort, si vous voulez)
- Une clé publique qui est envoyée au site web
Quand vous vous connectez, le site envoie un « défi » chiffré avec votre clé publique. Seule votre clé privée peut le déchiffrer et renvoyer la bonne réponse. C’est de la cryptographie asymétrique, mais sans les maux de tête habituels !
Le truc génial ? Votre empreinte digitale ou votre visage déverrouille juste l’accès à la clé privée. Les données biométriques ne quittent jamais votre appareil. Donc même si le site se fait hacker, impossible de voler votre « biométrie ».
Avantages sécuritaires par rapport aux mots de passe traditionnels
Allez, soyons francs : les mots de passe, c’est fini ! Et je ne dis pas ça pour faire du buzz. Les statistiques parlent d’elles-mêmes : 81% des violations de données impliquent des mots de passe faibles ou volés.
Avec WebAuthn, on élimine d’un coup plusieurs problèmes majeurs :
Fini le phishing : Impossible de « taper » votre empreinte sur un faux site. L’authenticator vérifie automatiquement que vous êtes sur le bon domaine.
Plus de réutilisation de mots de passe : Chaque site a sa propre paire de clés. Un site hacké n’impact pas les autres.
Adieu les SMS 2FA vulnérables : Plus de SIM swapping ou d’interception de SMS. L’authenticator est physiquement lié à votre appareil.
Et le plus beau ? C’est plus simple pour l’utilisateur ! Plus besoin de retenir 50 mots de passe différents. Un scan d’empreinte et hop, vous êtes connecté.
Bon, il faut reconnaître que l’adoption n’est pas encore généralisée. Mais avec le support natif dans tous les navigateurs modernes et l’arrivée des passkeys synchronisés dans le cloud, on y arrive doucement. Pour WordPress, c’est le moment parfait de s’y mettre !
Implémentation côté serveur : Intégrer WebAuthn dans WordPress
Bon, maintenant qu’on comprend le principe de WebAuthn, passons aux choses sérieuses : l’implémentation côté serveur. Je vais être franc avec vous, c’est là que ça devient technique, mais avec les bonnes librairies PHP, c’est tout à fait faisable.
Pour WordPress, je recommande fortement d’utiliser la librairie web-auth/webauthn-framework de Spomky-Labs (plutôt que webauthn-lib qui est deprecated). Cette librairie est robuste, bien maintenue et parfaitement adaptée à nos besoins.
// Installation via Composer
composer require web-auth/webauthn-framework
composer require web-auth/metadata-service
Pour l’intégration dans WordPress, on va créer une classe dédiée :
class WordPress_WebAuthn {
private $publicKeyCredentialSourceRepository;
private $server;
public function __construct() {
// Initialisation de la librairie WebAuthn
$this->init_webauthn();
// Hooks WordPress pour les endpoints AJAX
add_action('wp_ajax_webauthn_register_begin', [$this, 'register_begin']);
add_action('wp_ajax_webauthn_register_complete', [$this, 'register_complete']);
add_action('wp_ajax_webauthn_authenticate_begin', [$this, 'authenticate_begin']);
add_action('wp_ajax_webauthn_authenticate_complete', [$this, 'authenticate_complete']);
// Hooks publics pour le login
add_action('wp_ajax_nopriv_webauthn_authenticate_begin', [$this, 'authenticate_begin']);
add_action('wp_ajax_nopriv_webauthn_authenticate_complete', [$this, 'authenticate_complete']);
}
}
Côté base de données, on va créer une table custom pour stocker les credentials :
CREATE TABLE wp_webauthn_credentials (
id INT AUTO_INCREMENT PRIMARY KEY,
user_id BIGINT NOT NULL,
credential_id VARCHAR(255) NOT NULL UNIQUE,
public_key TEXT NOT NULL,
counter INT DEFAULT 0,
aaguid VARCHAR(255),
created_at DATETIME DEFAULT CURRENT_TIMESTAMP,
last_used DATETIME,
device_name VARCHAR(255),
INDEX idx_user_id (user_id),
INDEX idx_credential_id (credential_id)
);
La gestion des challenges est cruciale. WordPress stocke temporairement le challenge en session (ou dans des transients) :
public function register_begin() {
check_ajax_referer('webauthn_nonce', 'nonce');
$user_id = get_current_user_id();
if (!$user_id) {
wp_send_json_error('User not authenticated');
}
try {
$user = get_userdata($user_id);
// Création de l'objet utilisateur WebAuthn
$userEntity = new \Webauthn\PublicKeyCredentialUserEntity(
$user->user_login,
(string) $user_id,
$user->display_name
);
// Génération du challenge pour l'enregistrement
$publicKeyCredentialCreationOptions = $this->server->generatePublicKeyCredentialCreationOptions(
$userEntity,
\Webauthn\PublicKeyCredentialParameters::ALGORITHM_ES256
);
// Stockage du challenge en session
set_transient('webauthn_challenge_' . $user_id, $publicKeyCredentialCreationOptions->getChallenge(), 300);
wp_send_json_success([
'publicKey' => $publicKeyCredentialCreationOptions->jsonSerialize()
]);
} catch (Exception $e) {
error_log('WebAuthn registration error: ' . $e->getMessage());
wp_send_json_error('Registration failed');
}
}
Et pour l’authentification, le processus est similaire mais vérifie les credentials existants :
public function authenticate_begin() {
check_ajax_referer('webauthn_nonce', 'nonce');
try {
// Récupération des credentials existants pour tous les utilisateurs
// (on ne sait pas encore qui essaie de se connecter)
$allowedCredentials = $this->get_all_credentials();
$publicKeyCredentialRequestOptions = $this->server->generatePublicKeyCredentialRequestOptions(
\Webauthn\UserVerificationRequirement::USER_VERIFICATION_PREFERRED,
$allowedCredentials
);
// Stockage temporaire du challenge
$challenge_key = 'webauthn_auth_challenge_' . wp_generate_password(12, false);
set_transient($challenge_key, $publicKeyCredentialRequestOptions->getChallenge(), 300);
wp_send_json_success([
'publicKey' => $publicKeyCredentialRequestOptions->jsonSerialize(),
'challenge_key' => $challenge_key
]);
} catch (Exception $e) {
wp_send_json_error('Authentication initialization failed');
}
}
La validation côté serveur est la partie la plus critique. Il faut vérifier la signature cryptographique et mettre à jour le counter pour éviter les attaques de replay :
public function authenticate_complete() {
check_ajax_referer('webauthn_nonce', 'nonce');
$credential_response = sanitize_textarea_field($_POST['credential']);
$challenge_key = sanitize_text_field($_POST['challenge_key']);
try {
// Récupération du challenge stocké
$stored_challenge = get_transient($challenge_key);
if (!$stored_challenge) {
wp_send_json_error('Invalid or expired challenge');
}
// Validation de la réponse
$publicKeyCredential = $this->server->loadAndCheckAssertionResponse(
$credential_response,
$stored_challenge,
$this->publicKeyCredentialSourceRepository
);
// Récupération de l'utilisateur associé au credential
$user_id = $this->get_user_by_credential($publicKeyCredential->getId());
if ($user_id) {
// Mise à jour du counter et connexion
$this->update_credential_counter($publicKeyCredential);
wp_set_current_user($user_id);
wp_set_auth_cookie($user_id);
wp_send_json_success(['redirect' => admin_url()]);
}
} catch (Exception $e) {
// Nettoyage du challenge utilisé
delete_transient($challenge_key);
wp_send_json_error('Authentication failed');
}
}
Attention : la gestion des erreurs est cruciale en sécurité. On ne doit jamais révéler trop d’informations dans les messages d’erreur publics, mais on peut (et on doit) logger les détails pour le debug.
Une dernière chose importante : assurez-vous que votre serveur supporte HTTPS (obligatoire pour WebAuthn) et que les en-têtes de sécurité sont correctement configurés. Sans ça, rien ne fonctionnera !
Interface utilisateur et JavaScript : L’expérience côté client
Maintenant qu’on a notre backend PHP bien en place, passons à la partie JavaScript. Et là, attention : l’expérience utilisateur peut vite devenir un casse-tête si on ne prend pas les bonnes précautions dès le départ.
Détection de la compatibilité navigateur
Avant de proposer l’authentification WebAuthn à vos utilisateurs, il faut d’abord vérifier que leur navigateur supporte cette technologie. Bon, en 2026, la plupart des navigateurs sont compatibles, mais on n’est jamais trop prudent :
function isWebAuthnSupported() {
return window.PublicKeyCredential &&
navigator.credentials &&
navigator.credentials.create &&
navigator.credentials.get;
}
// Détection plus poussée
async function checkWebAuthnFeatures() {
if (!isWebAuthnSupported()) {
return { supported: false };
}
try {
const available = await PublicKeyCredential.isUserVerifyingPlatformAuthenticatorAvailable();
return {
supported: true,
platformAuthenticator: available,
conditionalMediation: PublicKeyCredential.isConditionalMediationAvailable ?
await PublicKeyCredential.isConditionalMediationAvailable() : false
};
} catch (error) {
console.warn('Erreur lors de la détection WebAuthn:', error);
return { supported: true, platformAuthenticator: false };
}
}
Cette détection vous permet d’adapter l’interface selon les capacités du device (Touch ID, Windows Hello, clé de sécurité externe).
Gestion des erreurs et fallbacks UX
La gestion d’erreurs WebAuthn, c’est crucial. Les utilisateurs peuvent annuler, avoir des problèmes de timeout, ou simplement ne pas avoir d’authenticator disponible :
class WebAuthnErrorHandler {
static getErrorMessage(error) {
switch (error.name) {
case 'NotSupportedError':
return 'Votre navigateur ne supporte pas cette fonctionnalité';
case 'SecurityError':
return 'Problème de sécurité détecté. Vérifiez que vous êtes sur le bon site';
case 'AbortError':
case 'NotAllowedError':
return 'Authentification annulée ou refusée';
case 'ConstraintError':
return 'Votre authenticator ne répond pas aux exigences';
case 'InvalidStateError':
return 'Cette clé est déjà enregistrée';
case 'UnknownError':
default:
return 'Une erreur inattendue s\'est produite. Réessayez';
}
}
static showFallback() {
// Afficher le formulaire de connexion classique
document.getElementById('password-login-form').style.display = 'block';
document.getElementById('webauthn-form').style.display = 'none';
}
}
L’important, c’est de toujours proposer une solution de repli. Si WebAuthn échoue, l’utilisateur doit pouvoir se connecter avec son mot de passe.
Interface d’enregistrement et d’authentification
Pour l’enregistrement d’une nouvelle passkey, voici le code JavaScript qui communique avec notre endpoint WordPress :
async function registerWebAuthn(username) {
try {
// 1. Récupérer les options depuis le serveur
const response = await fetch('/wp-admin/admin-ajax.php', {
method: 'POST',
headers: { 'Content-Type': 'application/x-www-form-urlencoded' },
body: new URLSearchParams({
action: 'webauthn_register_begin',
username: username,
nonce: wpWebAuthn.nonce
})
});
const options = await response.json();
if (!options.success) throw new Error(options.data);
// 2. Conversion des données binaires
const publicKeyOptions = {
...options.data,
challenge: Uint8Array.from(atob(options.data.challenge), c => c.charCodeAt(0)),
user: {
...options.data.user,
id: Uint8Array.from(atob(options.data.user.id), c => c.charCodeAt(0))
}
};
// 3. Création de la credential
const credential = await navigator.credentials.create({
publicKey: publicKeyOptions
});
// 4. Envoi de la réponse au serveur
await this.sendCredentialToServer(credential, 'webauthn_register_complete');
} catch (error) {
console.error('Erreur enregistrement WebAuthn:', error);
throw error;
}
}
Pour l’authentification, le processus est similaire mais utilise navigator.credentials.get(). La clé, c’est de bien gérer la conversion des données binaires entre base64 et ArrayBuffer.
Tests de compatibilité et debugging
Pour tester votre implémentation, je vous recommande de créer une page de debug dédiée :
class WebAuthnDebugger {
static async runTests() {
const tests = [
{ name: 'Support WebAuthn', test: () => isWebAuthnSupported() },
{ name: 'Platform authenticator', test: async () => {
return await PublicKeyCredential.isUserVerifyingPlatformAuthenticatorAvailable();
}},
{ name: 'Conditional mediation', test: async () => {
return PublicKeyCredential.isConditionalMediationAvailable ?
await PublicKeyCredential.isConditionalMediationAvailable() : false;
}}
];
for (const test of tests) {
try {
const result = await test.test();
console.log(`✅ ${test.name}: ${result}`);
} catch (error) {
console.error(`❌ ${test.name}: ${error.message}`);
}
}
}
}
Dans les outils développeur, surveillez particulièrement l’onglet Console pour les erreurs WebAuthn et l’onglet Network pour vérifier que vos requêtes AJAX se passent bien. Testez sur différents devices : iPhone (Touch ID), Android (empreinte), Windows (Windows Hello), et avec des clés de sécurité externes type YubiKey.