2fa-authenticationINFO

Firmware YubiKey 5.8 : CTAP 2.3 et la nouvelle génération de passkeys

Yubico dévoile en avant-première le firmware YubiKey 5.8 avec le support de FIDO CTAP 2.3, des passkeys nouvelle génération, les digital wallets et l'authentification liée aux paiements. Ce qu'il apportera et ce que cela change pour les clés hardware en 2026.

Par Eric Gerard · Éditeur · PwdFortress5 min de lecturePhoto : Unsplash

Yubico dévoile en avant-première une prochaine version de firmware pour ses clés de sécurité hardware : le YubiKey 5.8. D'après l'annonce de Yubico, ce firmware ajoutera le support de FIDO CTAP 2.3 ainsi qu'un ensemble de capacités passkey de nouvelle génération. Un point de contexte d'abord, dit honnêtement : à l'heure où nous écrivons, le YubiKey 5.8 est une préversion à venir et n'est pas encore largement disponible. Tout ce qui suit décrit ce que Yubico dit que la version apportera, sur la base de sa communication publique - pas un produit que vous pouvez acheter pour un usage quotidien aujourd'hui.

Nouveau sur les clés hardware ? Commencez par notre guide de configuration YubiKey FIDO2. Pour comprendre le modèle d'identifiant derrière tout ceci, lisez qu'est-ce qu'un passkey.

Ce que le YubiKey 5.8 apportera

Yubico présente le 5.8 comme la base des passkeys de "nouvelle génération". D'après sa description publique, le firmware devrait introduire :

  • Le support de FIDO CTAP 2.3, la révision plus récente du protocole entre la clé et le client.
  • Une extension de signature WebAuthn (en préversion).
  • Des signatures numériques respectueuses de la vie privée via passkeys.
  • Des expériences passkey de type autofill pour une connexion plus fluide.
  • Un support IDP (fournisseur d'identité) d'entreprise élargi.
  • Le support des digital wallets de nouvelle génération.

Comme il s'agit d'une préversion, considérez cette liste comme une feuille de route communiquée par Yubico, pas comme un inventaire de fonctions déjà utilisables.

Pourquoi CTAP 2.3 compte

CTAP est le protocole qui permet à un authentificateur (la YubiKey) de communiquer avec le client (votre navigateur ou système d'exploitation). Passer à CTAP 2.3 est important parce que Yubico indique qu'il apporte :

  • Une meilleure découverte des identifiants - le client trouve le bon passkey de façon plus fiable.
  • Une UX passkey améliorée avec moins d'invites PIN.
  • Des signatures adossées au matériel, ancrées dans l'élément sécurisé.
  • Le support des digital wallets.
  • L'authentification liée aux paiements, reliant la clé à une étape de paiement.

Sur une clé hardware, le secret cryptographique reste dans la puce sécurisée : ces améliorations visent donc à rendre la connexion résistante au phishing moins pénible sans affaiblir le modèle de sécurité. Si vous hésitez entre matériel et logiciel, notre article sur la question de savoir si les passkeys sont sûrs détaille les compromis.

Un circuit imprimé illuminé vu de près, ses pistes brillant dans un boîtier sombre.
Un circuit imprimé illuminé vu de près, ses pistes brillant dans un boîtier sombre.

Améliorations d'UX passkey

Un fil conducteur de la préversion Yubico : réduire les frictions. Le firmware 5.8 et CTAP 2.3 sont décrits comme apportant :

  • Le Conditional Mediation - le flux de type autofill où le navigateur propose les passkeys disponibles directement dans le champ de connexion.
  • Le support PPUAT, partie de la nouvelle plomberie d'authentification.
  • L'extension ThirdPartyPayment pour les paiements sécurisés.

L'objectif affiché par Yubico est une expérience passkey qui ressemble davantage à sélectionner un identifiant enregistré, tout en gardant la clé privée inextractable sur le matériel.

Paiements et digital wallets

La direction la plus marquante est l'authentification liée aux paiements. CTAP 2.3, tel que décrit par Yubico, ajoute le support des digital wallets et la liaison de l'authentification à un paiement via l'extension ThirdPartyPayment et PPUAT. En pratique, l'idée est que la même clé résistante au phishing servant à se connecter puisse aussi aider à confirmer une transaction. C'est une orientation de feuille de route, pas un tunnel de paiement en direct testable aujourd'hui.

Le hackathon développeur du 5 août 2026

Yubico a annoncé un hackathon développeur virtuel pour la communauté FIDO Alliance le 5 août 2026. L'événement offrira un aperçu anticipé du firmware 5.8 et des capacités CTAP 2.3. Yubico a indiqué que les participants reçoivent une YubiKey 5C NFC en édition limitée tournant sous le firmware 5.8. Si vous intégrez de l'authentification dans des produits, c'est la fenêtre d'observation la plus claire sur ce que permet CTAP 2.3. Pour l'inscription et l'éligibilité, consultez les canaux officiels de Yubico plutôt que des résumés de seconde main.

Ce que cela change pour vous (honnêtement)

Une nuance à dire clairement : le firmware d'une YubiKey est figé à la fabrication et ne peut pas être mis à jour a posteriori. C'est une décision de sécurité délibérée de Yubico. CTAP 2.3 arrivera donc sur des clés nouvellement fabriquées, pas sous forme de mise à jour poussée vers une YubiKey que vous possédez déjà. Si vous voulez les capacités du 5.8, prévoyez d'acheter une nouvelle clé une fois qu'elle sera commercialisée, pas de patcher une clé existante.

Pour la plupart des gens, la conclusion pratique aujourd'hui est simple : les fondamentaux de la sécurité par clé hardware n'ont pas changé, et il n'y a aucune raison d'attendre. Une clé YubiKey série 5 actuelle vous offre déjà une connexion FIDO2 résistante au phishing. Si vous choisissez une clé maintenant, notre comparatif des meilleures clés de sécurité hardware reste valable, et vous pourrez toujours ajouter plus tard une clé au firmware plus récent comme second facteur.

La préversion 5.8 est un signal de la direction que prend l'écosystème - passkeys plus fluides, authentification liée aux paiements, digital wallets - pas une raison de retarder la sécurisation de vos comptes. Mettez en place une clé hardware dès aujourd'hui, gardez une clé de secours, et revenez à CTAP 2.3 quand le firmware sera largement déployé.

Activer Bitwarden Premium pour utiliser votre YubiKey dès aujourd'hui →10 $/an · Enregistrez une clé YubiKey FIDO2 comme 2FA du coffre · Open source audité

Questions fréquentes

Le YubiKey 5.8 est-il disponible aujourd'hui ?

Non. À la mi-2026, le **firmware YubiKey 5.8 est une préversion à venir** décrite dans la communication publique de Yubico. Il n'est pas encore largement disponible. Tout ce qui est annoncé (CTAP 2.3, passkeys nouvelle génération, digital wallets) décrit ce que la version **apportera**, pas un produit déjà livré à tous aujourd'hui.

Qu'est-ce que FIDO CTAP 2.3 ?

**CTAP (Client to Authenticator Protocol)** est le protocole FIDO qui permet à un authentificateur - comme une YubiKey - de dialoguer avec le client (votre navigateur ou système d'exploitation). **CTAP 2.3** est une révision plus récente qui, selon Yubico, apportera une meilleure découverte des identifiants (credential discovery), une expérience passkey améliorée avec moins d'invites PIN, des signatures adossées au matériel, les digital wallets et l'authentification liée aux paiements.

Ma YubiKey actuelle recevra-t-elle CTAP 2.3 via une mise à jour firmware ?

Non. **Le firmware d'une YubiKey est figé à la fabrication et ne peut pas être mis à jour a posteriori** - c'est un choix de sécurité délibéré de Yubico. Les nouveautés comme CTAP 2.3 arrivent sur des **clés nouvellement fabriquées**, pas sous forme de mise à jour poussée vers une clé que vous possédez déjà. Prévoyez toute évolution comme l'achat d'une nouvelle clé, pas comme un patch de l'ancienne.

Qu'est-ce que le Conditional Mediation ?

Le **Conditional Mediation** est une fonction WebAuthn qui alimente la connexion passkey de type autofill : le navigateur peut proposer les passkeys disponibles directement dans le champ identifiant, si bien que la connexion ressemble davantage à choisir un mot de passe enregistré. Yubico le range parmi les améliorations d'UX passkey liées au firmware 5.8 et à CTAP 2.3.

Qu'est-ce que l'extension ThirdPartyPayment ?

Yubico décrit des paiements sécurisés via une extension **ThirdPartyPayment**, avec le support de **PPUAT**. Concrètement, l'objectif est de lier une authentification passkey à une étape de paiement, pour que la même clé hardware résistante au phishing aide à confirmer une transaction. Cela fait partie de la direction paiements de CTAP 2.3, et reste au stade préversion.

Comment essayer le firmware YubiKey 5.8 en avance ?

Yubico a annoncé un **hackathon développeur virtuel pour la communauté FIDO Alliance le 5 août 2026**, offrant un aperçu anticipé du firmware 5.8 et des capacités CTAP 2.3. Yubico a indiqué que les participants reçoivent une YubiKey 5C NFC en édition limitée tournant sous le firmware 5.8. Consultez les canaux officiels de Yubico pour l'éligibilité et l'inscription.