Breez SDK Lance la Connexion par Passkey pour les Portefeuilles Bitcoin sans Graine

Breez, fournisseur de services Lightning et laboratoire de logiciels Bitcoin, a intégré la fonctionnalité Passkey Login dans son SDK Breez. Cette fonctionnalité permet aux développeurs de créer des portefeuilles auto-gérés utilisant des passkeys pour l’authentification et la dérivation de clés, éliminant ainsi l’exigence traditionnelle de phrase de récupération lors de l’utilisation normale.

Le support de la phrase de récupération reste disponible pour les utilisateurs qui la préfèrent, assurant la compatibilité avec les standards de l’industrie, mais en supprimant le « ralentisseur » dans les portefeuilles Bitcoin, qui invite les utilisateurs à sauvegarder leurs 12 mots.

Breez a expliqué la raison d’être de cette nouvelle fonctionnalité dans un communiqué partagé avec Bitcoin Magazine : « La phrase de récupération a été un obstacle à l’auto-gérance depuis le premier jour. C’est ce qui effraie les utilisateurs lambda de garder leur propre bitcoin, et c’est une raison légitime pour laquelle les gens acceptent le risque de contrepartie des échanges et des applications custodiales. » Ajoutant que « Passkey Login ne supprime pas les compromis de l’auto-gérance, mais les repositionne autour de quelque chose que les gens comprennent déjà et utilisent, à savoir la même authentification biométrique qui protège leur application bancaire et leur gestionnaire de mots de passe. Pour la plupart des utilisateurs, c’est un modèle de sécurité beaucoup plus intuitif qu’un morceau de papier dans un tiroir. »

Passkeys : paires de clés par site dans le matériel moderne

Les passkeys — une norme de sécurité relativement nouvelle qui gagne en adoption en ligne — sont des identifiants cryptographiques basés sur la norme FIDO2 WebAuthn, promue conjointement par Apple, Google, Microsoft et la FIDO Alliance depuis 2022. Chaque passkey consiste en une paire de clés publique-privée unique générée pour un site ou une application spécifique.

La clé privée reste stockée dans l’élément sécurisé ou un matériel similaire sur l’appareil de l’utilisateur, comme l’Enclave Sécurisée d’Apple, la puce Titan d’Android, le TPM de Windows, des clés de sécurité externes comme YubiKey ou le gestionnaire de mots de passe de l’utilisateur.

Les passkeys en ligne classiques ressemblent au fichier wallet.dat original de Bitcoin introduit par Satoshi Nakamoto dans ses premières versions du client Bitcoin, où les clés privées sont stockées localement sur l’appareil de l’utilisateur, tandis que les clés publiques sont partagées avec des tiers.

Cependant, la norme FIDO2 implémente cette idée de clés privées-publiques de manière plus standardisée et moderne. Les sites web envoient un défi à l’utilisateur, faisant référence à la clé publique connue pour ce compte. Le défi est signé par la clé privée de l’utilisateur, authentifiant son identité de manière respectueuse de la vie privée. Chaque service obtient une clé publique différente pour le même utilisateur, de sorte que les données compromises sur un site ne divulguent pas d’informations permettant d’accéder à d’autres sites, ni ne contiennent de données permettant d’identifier l’utilisateur.

FIDO2 est désormais largement adopté, utilisant les éléments sécurisés du dispositif, s’intégrant avec les gestionnaires de mots de passe (par exemple, iCloud Keychain, Google Password Manager), navigateurs et l’API WebAuthn du W3C. L’authentification se fait via un défi-signature, avec la clé privée liée au domaine pour résister au phishing.

Les passkeys prennent en charge le déverrouillage biométrique (Face ID, empreinte, PIN) et la synchronisation entre appareils dans un écosystème (par exemple via iCloud ou Google) — plus d’un milliard d’activations rapportées par la FIDO Alliance à la mi-2025, avec une prise en charge sur les principales plateformes et de nombreux sites de premier plan.

FIDO2 n’était pas suffisant pour les portefeuilles Bitcoin

Les passkeys standards excellent dans l’authentification (prouver son identité à un service) mais manquaient de fonctionnalités clés nécessaires à l’industrie moderne du Bitcoin.

La garde autonome de Bitcoin repose généralement sur une seule source d’entropie (phrase de récupération) pour générer de manière déterministe toutes les adresses et clés, via des standards comme BIP-39. Les utilisateurs s’attendent à ce que ces 12 mots suffisent pour récupérer tous les soldes et comptes d’un portefeuille Bitcoin. La norme Passkey devait être étendue pour supporter ce cas d’usage.

La solution de Breez : exploiter l’extension PRF

Breez répond à cela en utilisant l’extension Pseudo-Random Function (PRF) dans WebAuthn Level 3. La PRF permet à un passkey de produire une sortie cryptographique déterministe pour toute entrée donnée lors de l’authentification.

Comme décrit dans le communiqué de Breez, « C’est ce que résout l’extension PRF de WebAuthn, et c’est l’ingrédient clé de Passkey Login. La PRF est une capacité plus récente, faisant partie de la spécification WebAuthn Level 3, qui permet à votre passkey de produire une sortie cryptographique déterministe pour toute entrée. Même passkey, même entrée, même sortie. Toujours. Le passkey ne quitte jamais l’enclave sécurisée de votre appareil. »

Perte et récupération de l’appareil

En cas de perte d’un appareil, la récupération dépend de la plateforme utilisée pour stocker le passkey. Les passkeys synchronisés — via iCloud Keychain, Google Password Manager, etc. — se restaurent sur un nouvel appareil après avoir retrouvé l’accès au compte associé.

Breez propose une voie de secours compatible avec les anciennes méthodes : les utilisateurs peuvent exporter une phrase mnémotechnique BIP-39 de 12 mots pour leur portefeuille, afin de récupérer leur compte dans d’autres portefeuilles Bitcoin, conformément aux standards de l’industrie. Le communiqué précise également que « les passkeys ne sont pas encore totalement interopérables entre plateformes. Si vous devez passer à une plateforme ou un portefeuille qui ne supporte pas les passkeys, vous avez une phrase de récupération standard à utiliser. »

La spécification technique complète de Passkey Login est publique, et une application de référence appelée Glow illustre cette fonctionnalité. Breez la présente comme une étape vers une accessibilité accrue de la garde autonome de Bitcoin, en s’alignant sur l’authentification biométrique familière utilisée dans la banque et les gestionnaires de mots de passe, tout en conservant le contrôle non custodial. Les développeurs intégrant le SDK Breez peuvent désormais proposer une inscription sans l’étape traditionnelle « écrire ces mots » pour les environnements supportés.

La spécification technique complète de Passkey Login est publique, et notre application de référence Glow l’utilise déjà, étant désormais accessible à tous les développeurs du SDK Breez.