SAPS est une architecture d’authentification moderne qui corrige la faille fondamentale du modèle d’identité de l’internet : les services tiers ne devraient jamais manipuler vos identifiants primaires.
Comment les brèches surviennentL’internet fonctionne actuellement sur un modèle d’identité à identifiant unique. Ce modèle est la raison pour laquelle les brèches s’amplifient, les identités s’effondrent et les attaquants réutilisent les mots de passe volés partout.
SAPS introduit une frontière que l’internet n’a jamais eue :
Les services tiers ne le voient jamais, ne le stockent jamais et ne deviennent jamais un risque pour celui‑ci.
Cette séparation crée une frontière empêchant les compromissions globales.
Les services tiers ne reçoivent jamais de mots de passe. Ils reçoivent plutôt :
Ces jetons :
Une brèche devient un incident isolé — pas une catastrophe globale.
Le modèle traditionnel permet aux attaquants d’escalader d’un service faible vers l’identité entière.
C’est la frontière qui manque à l’internet depuis 20 ans.
SAPS corrige la cause fondamentale des compromissions d’identité :
SAPS n’est pas un produit. C’est une frontière — une règle — que l’internet aurait dû avoir dès le départ.
Voici comment une attaque se produit aujourd’hui, même lorsque vous utilisez un fournisseur de connexion comme votre banque.
Le site semble légitime. Le bouton aussi. Rien ne paraît suspect.
Même logo. Même couleurs. Même mise en page. L’URL contient une petite différence que vous ne remarquez pas.
À cet instant précis, l’attaquant l’a déjà. La redirection ne vous protège pas — l’exposition s’est produite avant.
Vous vous connectez normalement. Vous ne réalisez jamais que votre mot de passe a été volé.
Le fournisseur de connexion ne peut pas vous protéger contre une saisie sur un faux site.
Avec SAPS :
Résultat : même un site parfaitement imité ne peut rien voler. L’attaque meurt avant de commencer.
Non. La redirection ne protège pas votre mot de passe. Si vous saisissez votre vrai mot de passe bancaire sur une fausse page, l’attaquant l’obtient avant même la redirection. SAPS empêche cela, car votre mot de passe primaire ne quitte jamais le fournisseur d’identité.
Non. Les notifications arrivent après que l’attaquant ait déjà votre mot de passe. À ce stade, il peut réinitialiser la MFA, appeler la banque en se faisant passer pour vous, ou utiliser les procédures de récupération. SAPS empêche le vol du mot de passe dès le départ, donc il n’y a rien à notifier.
La MFA protège la connexion, pas le mot de passe. Une fois que l’attaquant possède votre vrai mot de passe, il peut provoquer la fatigue MFA, manipuler le centre d’appel, effectuer un SIM‑swap ou utiliser les flux de récupération. SAPS élimine le problème à la racine : l’attaquant n’obtient jamais votre vrai mot de passe.
Non. SAPS utilise l’autoremplissage sécurisé de l’appareil. Vous ne tapez jamais le mot de passe secondaire. Il s’insère automatiquement uniquement sur le vrai domaine, jamais sur un site frauduleux.
Seul le jeton spécifique à ce service est exposé. Il ne peut pas être réutilisé, ne peut pas s’élever et ne peut pas accéder à votre identité. Le service doit sécuriser son propre environnement — SAPS garantit que la brèche ne peut pas franchir cette frontière.
Non. Le mot de passe secondaire est un identifiant de service, pas un identifiant d’identité. L’utiliser pour récupérer votre identité briserait immédiatement l’isolation SAPS et le transformerait en mot de passe primaire. Si vous perdez votre primaire, vous réinstallez SAPS et revérifiez vos comptes de récupération — l’identité n’est jamais récupérée via un mot de passe de service.
Ces systèmes sont conçus pour les équipes TI en entreprise, pas pour le grand public. La plupart des utilisateurs ne transporteront pas de clés matérielles, ne géreront pas de sauvegardes et ne comprendront pas la cryptographie liée aux appareils. SAPS offre le même niveau d’isolation et de protection sans matériel, sans complexité et sans changer le comportement de l’utilisateur.
Non. Les passkeys protègent les appareils, pas l’identité. Elles dépendent toujours de flux de récupération centralisés et de l’écosystème du fabricant. SAPS protège votre identité elle‑même en l’isolant de chaque service que vous utilisez et en empêchant toute élévation de privilège.
Rien d’autre n’est compromis. Un mot de passe secondaire est limité à un seul service, ne peut pas être réutilisé, ne peut pas s’élever et ne peut pas accéder à votre identité. SAPS confine la brèche à ce service uniquement.
Oui — mais uniquement avec votre mot de passe primaire. Le primaire est votre identifiant d’identité, et c’est le seul qui peut rétablir votre configuration SAPS. Le mot de passe secondaire est un identifiant de service et ne peut pas servir à la récupération. Cette séparation empêche un attaquant d’utiliser un mot de passe de service volé pour obtenir un accès complet à votre identité.