Normes · WCAG 2.2

SC 3.3.9 Niveau AAA WCAG 2.2 Nouveau dans la 2.2

Authentification accessible (renforcée)

L'authentification ne doit exiger aucun test de fonction cognitive, y compris la reconnaissance d'objets ou l'identification de contenu personnel. Upgrade AAA du critère 3.3.8 — les passkeys, la biométrie et les identifiants liés à l'appareil deviennent les chemins pratiques. Nouveau dans WCAG 2.2.

Ce que ce critère demande

Ce critère AAA supprime les deux exceptions étroites autorisées au niveau AA (3.3.8) : la reconnaissance d’objets et l’identification de contenu personnel sont également interdites. L’authentification ne doit requérir aucun test de fonction cognitive, sans exception — à moins qu’une méthode d’authentification alternative ne nécessitant aucun test de fonction cognitive ne soit disponible.

En pratique, cela signifie qu’une option d’authentification entièrement accessible doit exister quelque part dans le parcours, même si d’autres options demeurent.

Comment le satisfaire

  • Proposer les passkeys / WebAuthn comme option de premier plan — ils utilisent le déverrouillage biométrique ou le code PIN de l’appareil, sans test cognitif requis.
  • Proposer la connexion par lien magique via e-mail comme alternative sans test cognitif.
  • Prendre en charge OAuth / l’authentification via des services tiers.
  • Prendre en charge les clés de sécurité matérielles (FIDO2).
  • S’assurer que, quel que soit le point d’entrée de l’utilisateur, au moins l’un de ces chemins est accessible sans CAPTCHA ni solution de repli basée sur la mémorisation.

Échecs courants

  • Les sites qui satisfont 3.3.8 uniquement en autorisant les gestionnaires de mots de passe, sans option biométrique, passkey ou lien magique pour les utilisateurs qui n’en utilisent pas.
  • L’authentification qui exige d’identifier la propre photo de profil de l’utilisateur (reconnaissance d’objets / contenu personnel) — acceptable pour AA, mais échec au niveau AAA.
  • L’authentification renforcée pour les actions sensibles qui recourt systématiquement à un test basé sur la mémorisation.

Pourquoi c’est important

Le niveau AAA est rarement une cible de conformité, mais pour les services à enjeux élevés — banque, portails de santé, systèmes d’identité gouvernementaux — satisfaire le critère 3.3.9 est de plus en plus la bonne décision produit. Les passkeys sont désormais largement pris en charge sur iOS, Android, Windows et macOS, et ils satisfont le critère pour les populations d’utilisateurs qui en avaient le plus besoin. Le chemin de 3.3.8 à 3.3.9 consiste généralement en un seul investissement produit : ajouter la prise en charge des passkeys comme méthode d’authentification principale.