Normes · WCAG 2.2

SC 3.3.8 Niveau AA WCAG 2.2 Nouveau dans la 2.2

Authentification accessible (minimum)

L'authentification ne doit pas obliger l'utilisateur à réaliser un test de fonction cognitive — mémorisation, transcription, reconnaissance d'objets — sauf si une alternative ou un mécanisme d'assistance est proposé. Nouveau dans WCAG 2.2.

Ce que ce critère demande

Pour s’authentifier, l’utilisateur ne doit pas être contraint d’effectuer un test de fonction cognitive — rappeler un mot de passe de mémoire, transcrire un code, identifier des objets dans des images, résoudre un puzzle — sauf si l’une des conditions suivantes est remplie :

  • Alternative : une autre méthode d’authentification ne nécessitant pas de test de fonction cognitive est disponible.
  • Mécanisme : une assistance est disponible pour aider l’utilisateur à compléter le test (auto-remplissage par un gestionnaire de mots de passe, copier-coller depuis un e-mail de vérification).
  • Reconnaissance d’objets : le test exige uniquement de reconnaître des objets, sans résoudre un puzzle (cette exception est étroite).
  • Contenu personnel : le test exige uniquement d’identifier un contenu non textuel fourni par l’utilisateur lui-même (ex. sa propre photo de profil).

L’intention est de rendre l’authentification possible pour les utilisateurs souffrant de handicaps cognitifs, de troubles de la mémoire, de dyslexie et d’aphasie, qui sont systématiquement exclus des parcours fondés sur mot de passe et CAPTCHA.

Comment le satisfaire

  • Autoriser les gestionnaires de mots de passe : ne pas bloquer le collage dans les champs de mot de passe, ne pas désactiver l’auto-remplissage, ne pas supprimer autocomplete="current-password" / autocomplete="new-password". Cette seule modification suffit souvent à satisfaire le critère.
  • Prendre en charge les passkeys / WebAuthn : un identifiant biométrique ou lié à l’appareil contourne entièrement le test cognitif.
  • Prendre en charge OAuth / l’authentification via des services tiers comme alternative.
  • Liens magiques : envoyer un lien de connexion en un clic par e-mail plutôt que d’exiger le rappel d’un mot de passe.
  • Codes e-mail / SMS : s’assurer que le copier-coller fonctionne depuis le message vers le champ, et permettre l’auto-remplissage par le système là où la plateforme le prend en charge (ex. auto-remplissage des codes SMS sur iOS).
  • Éviter les CAPTCHAs visuels (du type « cliquez sur tous les feux tricolores ») sauf si une alternative non cognitive est proposée.
  • Permettre les boutons d’affichage du mot de passe : aide les utilisateurs dyslexiques ou présentant des difficultés motrices à vérifier leur saisie.

Échecs courants

  • Les formulaires de connexion qui bloquent le collage dans le champ de mot de passe — ce seul anti-modèle fait échouer 3.3.8 pour les utilisateurs dépendants des gestionnaires de mots de passe.
  • autocomplete="off" sur les champs de mot de passe, empêchant l’auto-remplissage par le navigateur et le gestionnaire de mots de passe.
  • Les CAPTCHAs à grille d’images comme seule étape de vérification, sans alternative audio ni autre solution.
  • Les parcours multi-facteurs qui affichent un code à 6 chiffres sur un appareil et demandent à l’utilisateur de le mémoriser puis de le taper sur un autre, sans possibilité de copier-coller.
  • Les pages de connexion qui demandent à l’utilisateur d’identifier lequel de neuf images contient un objet précis.
  • Les parcours à « question de sécurité » exigeant le rappel de données personnelles obscures (« nom de votre premier animal de compagnie ») sans solution de repli.
  • Les règles de mot de passe qui interdisent les schémas courants ET le collage, forçant la saisie manuelle d’une chaîne difficile à mémoriser.
  • Les codes d’applications d’authentification sans pont d’auto-remplissage ni prise en charge de la copie, obligeant l’utilisateur à transcrire dans une fenêtre de 30 secondes.

Pourquoi c’est important

Il s’agit du critère phare introduit par WCAG 2.2 et celui qui est le plus susceptible d’imposer des changements produits aux grandes entreprises. Les handicaps cognitifs touchent plus d’1 adulte sur 10, et le modèle « mémorisez ce mot de passe » les a toujours mis en échec — ce critère formalise cet échec comme un problème de conformité.

Le chemin de mise en conformité le plus courant est aussi le moins coûteux : autoriser le collage, autoriser l’auto-remplissage, prendre en charge les passkeys et les liens magiques. De nombreuses pages de connexion existantes peuvent atteindre la conformité 3.3.8 en supprimant trois lignes de code anti-collage. Le remplacement des CAPTCHAs est le problème plus difficile — les alternatives modernes incluent le scoring de risque basé sur l’appareil (Cloudflare Turnstile, hCaptcha en mode invisible) et l’analyse comportementale, qui contournent le test cognitif pour la plupart des utilisateurs.

Le critère 3.3.8 devrait dominer les résultats d’audit 2.2 pendant plusieurs années.