⚡ Points Clés

Les banques mondiales, de China Bank Philippines à First Credit Union, retirent les mots de passe à usage unique par SMS au profit des passkeys FIDO2, et le régulateur japonais a officiellement déclaré que l'identifiant/mot de passe et les OTP SMS ne sont plus suffisants. Les banques algériennes dépendent toujours du SMS OTP comme seul second facteur. Un déploiement réaliste de 12 à 15 mois séquence l'enrôlement opt-in des passkeys, les passkeys multi-dispositifs pour la banque web, la sortie progressive du SMS OTP et des clés matérielles pour le personnel privilégié.

En résumé : Les banques et fintechs algériennes devraient lancer le déploiement des passkeys FIDO2 cette année. Les briques techniques et fournisseurs sont banalisées ; les obstacles restants sont le sponsorship exécutif et un calendrier défendable de retrait du SMS OTP.

Lire l’analyse complète ↓

Publicité

🧭 Radar de Décision

Pertinence pour l'AlgérieÉlevée
Chaque banque algérienne avec une app mobile dépend actuellement du SMS OTP. Les pressions réglementaires, de coût et de fraude qui ont fait bouger les banques aux Philippines, au Japon et aux États-Unis sont structurellement similaires à celles de l'Algérie.
Horizon d'action6-12 mois
La Phase 1 (passkeys mobile opt-in) peut réalistiquement être lancée en un trimestre. Une transition complète s'étend sur 12-15 mois pour une banque algérienne de taille moyenne.
Parties prenantesCISO bancaires, responsables digital banking, éditeurs core banking, ARPCE, Banque d'Algérie, opérateurs fintech (Baridi Mob, Yassir Pay), équipes développement mobile
Type de décisionStratégique
Le choix de retirer le SMS OTP est un programme multi-trimestres avec implications expérience client, fraude et fournisseurs — pas un simple changement tactique.
Niveau de prioritéÉlevée
Le SMS OTP est le maillon documenté le plus faible de la plupart des piles d'authentification bancaires algériennes et une source majeure de risque de compromission de compte.

Pourquoi le SMS OTP a déjà perdu

Les OTP par SMS sont aujourd'hui la colonne vertébrale du mobile banking algérien : à la connexion à CPA Mobile, BNA Direct ou Baridi Pay, l'étape finale d'authentification est un code à six chiffres envoyé au numéro de téléphone en dossier. Ça fonctionne, mais globalement ce modèle est abandonné pour trois raisons documentées.

D'abord, le SIM-swap et le push-bombing sont bon marché et industrialisés. Ensuite, le coût du SMS suit le volume de transactions, et les retards de livraison télécom créent une charge de support client chaque fois qu'un code arrive en retard. Enfin, les grands régulateurs commencent à le dire explicitement. L'autorité des services financiers japonaise, d'après Corbado, a déclaré que « l'authentification ID/mot de passe seule et même les OTP par e-mail/SMS ne sont pas suffisants » après une hausse des accès non autorisés dans les institutions financières japonaises.

Le remplacement qui gagne du terrain est FIDO2 et sa variante grand public : les passkeys. Un passkey est une paire de clés cryptographiques publique/privée liée à l'appareil de l'utilisateur et déverrouillée par biométrie (empreinte, Face ID) ou PIN local. Plus de secret partagé transitant par SMS, plus de code phishable, plus de mot de passe réutilisé entre applis.

À quoi ressemblent les déploiements qui fonctionnent déjà dans le monde

Trois déploiements bancaires concrets éclairent le chemin algérien réaliste.

  • China Bank (Philippines), mars 2026. Selon Philstar, China Bank est devenue la première banque des Philippines à lancer l'authentification passkey FIDO2 dans son application « My CBC ». Point critique : elles ont pratiqué une période de grâce pendant laquelle les passkeys étaient optionnels jusqu'à fin mars 2026, puis sont passées à une authentification passkey obligatoire pour tous les utilisateurs. Ce déploiement en deux étapes (opt-in puis par défaut) est le patron que la plupart des banques suivent maintenant.
  • First Credit Union (États-Unis). La FIDO Alliance a publié une étude de cas détaillée décrivant comment First Credit Union, avec l'éditeur Authsignal, a déployé des passkeys certifiés FIDO sur mobile et web. Résultats documentés : baisse des tickets de support password-reset, fraude réduite sur les vecteurs de compromission de compte, et taux de complétion de login mesurablement meilleurs.
  • Secteur bancaire japonais, 2025. Après une vague d'accès non autorisés, l'aperçu Corbado sur le Japon rapporte que les régulateurs ont poussé les grandes banques vers les passkeys comme second facteur principal, plusieurs institutions lançant des parcours de connexion exclusivement passkey pendant 2025.

Trois contextes réglementaires et techniques différents — Philippines, États-Unis, Japon — qui convergent sur le même schéma directeur.

Le plan pratique pour une banque algérienne

Voici un plan de déploiement réaliste pour une banque algérienne de taille moyenne — BNA, CPA, CNEP, Trust Bank, Al Salam — en supposant que l'application mobile soit le canal principal et que le SMS OTP soit le second facteur actuel.

Phase 0 — Inventaire (1 mois). Auditer chaque surface d'authentification : connexion à l'app mobile, confirmation de transaction mobile, login banque web, portails internes, vérification d'identité call-center. Classer chacune par méthode actuelle (mot de passe, SMS OTP, token). Cette cartographie sert de plan de séquencement au CISO.

Phase 1 — Enrôlement passkey mobile app, opt-in (3 mois). Le gain le plus rapide consiste à ajouter l'enrôlement passkey dans l'application mobile existante comme alternative au SMS OTP. Les utilisateurs qui optent pour l'enrôlement utilisent Face ID ou empreinte pour login et confirmation de transaction. Le SMS OTP reste disponible en secours. Aucune approbation réglementaire n'est requise puisque le second facteur est renforcé, pas affaibli.

Phase 2 — Banque web avec passkeys multi-appareils (3 mois). En utilisant le standard W3C WebAuthn, la banque web peut accepter les passkeys stockés sur le téléphone via un QR code scanné. C'est ainsi que fonctionnent aujourd'hui Google, Microsoft et la plupart des parcours passkey grand public. Le support éditeur dans les plateformes d'identité déjà utilisées par les banques algériennes (Microsoft Entra, Okta, Ping Identity, ForgeRock) est mature.

Phase 3 — Plan de sortie du SMS OTP (6 mois). Annoncer une date de fin de support du SMS OTP pour la connexion mobile app (pas encore la confirmation de transaction — cela peut suivre un trimestre plus tard). Commencer par exclure le SMS OTP des transactions à haut risque : virements importants, changements de bénéficiaire, enregistrement d'appareils. L'approche documentée de China Bank — période de grâce opt-in puis obligatoire — est le patron conservateur.

Phase 4 — Clés de sécurité matérielles pour le personnel privilégié (continu). Opérateurs trésorerie, administrateurs core banking, équipes SWIFT et enquêteurs fraude doivent tous passer à des clés FIDO2 matérielles (YubiKey, Feitian, Token2) comme seule authentification autorisée pour l'accès privilégié. Peu coûteux, largement déployé dans les banques pairs à l'étranger, et supprime le chemin d'attaque interne le plus dangereux : un credential admin phishé.

La séquence complète représente réellement 12 à 15 mois pour une banque disposant déjà d'une app mobile mature. La FIDO Alliance maintient l'architecture de référence, et la plupart des grands éditeurs d'identité offrent des SDK passkey pré-intégrés.

Publicité

Ce que les régulateurs bancaires algériens doivent anticiper

La Banque d'Algérie et l'ARPCE n'imposent pas encore l'authentification résistante au phishing, mais trois pressions parallèles méritent d'être anticipées.

  • Attentes des banques correspondantes. Au fur et à mesure que les banques algériennes étendent SWIFT, trade finance et correspondances avec des institutions européennes et du Golfe, ces partenaires exigent de plus en plus une authentification forte sur les canaux admin. FIDO2 est la réponse par défaut.
  • Alignement sur la Stratégie nationale de cybersécurité. La stratégie cybersécurité 2025-2029 de l'Algérie liste la protection des infrastructures critiques et les réglementations sectorielles comme priorités. La banque est le secteur classique pour un mandat d'authentification résistante au phishing.
  • Trajectoire de la fraude consommateur. La compromission de compte par interception SMS-OTP est un problème tractable et mesurable. Quand les chiffres de fraude sont reportés, les régulateurs réagissent. Les banques qui passent préventivement aux passkeys sont mieux positionnées quand la règle tombe.

Ce que les fintechs et petites institutions peuvent faire aujourd'hui

Baridi Mob, Yassir Pay et la couche fintech émergente ont ici un avantage : bases de code plus petites, architectures plus récentes, souvent Firebase ou AWS Cognito comme substrat d'identité — tous supportent les passkeys avec un travail d'intégration modeste. Pour ces acteurs, la question n'est pas s'il faut ajouter les passkeys, mais s'il faut les mettre en avant dès l'onboarding. Une fintech lançant avec un positionnement passkey-first, SMS-OTP-fallback signale une maturité qui la distingue des concurrents legacy.

Où cela laisse les banques algériennes

Les briques techniques, fournisseurs et réglementaires des passkeys FIDO2 sont toutes banalisées. Les freins restants en Algérie sont le sponsoring exécutif, un plan de déploiement défendable et la volonté de sortir du SMS OTP sur un calendrier publié. La feuille de route ci-dessus est délibérément conservatrice — elle maintient le SMS OTP disponible pendant toute la transition — mais elle produit une banque qui, d'ici fin 2026, a mesurablement réduit l'exposition au phishing, le coût de support et la fraude, sans parier sur un verrou fournisseur ou un changement réglementaire.

À retenir : Les banques algériennes devraient lancer l'enrôlement passkey opt-in dans leurs apps mobiles cette année et publier un calendrier de sortie du SMS OTP pour les transactions à haut risque. Le personnel interne privilégié (trésorerie, core banking, SWIFT) devrait passer à des clés FIDO2 matérielles immédiatement. Les fintechs lançant de nouveaux produits devraient opter par défaut pour un onboarding passkey-first.

Suivez AlgeriaTech sur LinkedIn pour des analyses tech professionnelles Suivre sur LinkedIn
Suivez @AlgeriaTechNews sur X pour des analyses tech quotidiennes Suivre sur X

Publicité

Questions Fréquemment Posées

Les passkeys sont-ils compatibles avec les smartphones réellement utilisés par les clients algériens ?

Oui. Android 9 et plus (2018+) et iOS 16+ (2022+) supportent nativement les passkeys FIDO2. Cela couvre l'écrasante majorité des appareils actifs en Algérie, y compris les Android milieu de gamme qui dominent le marché. Les appareils plus anciens peuvent continuer à utiliser le SMS OTP en secours pendant la transition.

Les passkeys fonctionnent-ils si un client perd son téléphone ?

Oui, et c'est un avantage de déploiement par rapport au SMS OTP. Les passkeys stockés dans iCloud Keychain ou Google Password Manager se synchronisent entre les appareils du client, donc perdre un téléphone ne le verrouille pas. Pour les utilisateurs à appareil unique, le parcours de récupération de compte de la banque (vérification d'identité plus visite en agence ou KYC vidéo) est le secours documenté — le même parcours de récupération qui existe déjà pour les comptes bloqués aujourd'hui.

Qu'en est-il des clients qui n'utilisent pas la biométrie sur leur téléphone ?

Les passkeys peuvent être déverrouillés avec un PIN d'appareil local, pas uniquement la biométrie. Cela couvre les clients qui ont désactivé Face ID ou l'empreinte digitale. Pour les clients sans verrouillage d'écran, les banques doivent maintenir le SMS OTP disponible en secours pendant la transition, avec des invites douces encourageant la configuration passkey lors des connexions suivantes.

Sources et lectures complémentaires