Sécurité · matériel recommandé

Clés matérielles recommandées.

Une clé FIDO2 matérielle reste la forme la plus solide de second facteur et de déverrouillage de coffre. Nous mettons en avant des fabricants européens, alignés avec le positionnement souverain d'Aegirex, et précisons les réserves connues pour les autres.

Document de réassurance · révisé le 18/05/2026 · mis à jour à chaque évolution majeure du catalogue fabricant.

Critères d'évaluation. Pour chaque modèle, nous examinons quatre éléments : le pays de l'éditeur et la juridiction applicable, l'ouverture du code (firmware et matériel), l'exposition au CLOUD Act ou autres lois extra-territoriales, et la maturité du programme communautaire. Toutes les clés citées sont compatibles WebAuthn / FIDO2 et fonctionnent immédiatement avec Aegirex.

L'objectif n'est pas de dénigrer une marque mais de proposer une hiérarchie cohérente avec la promesse souveraine d'Aegirex. Les organisations déjà équipées peuvent continuer à utiliser leurs clés existantes : tout le panel ci-dessous interopère.

01 / Recommandation principale

Nitrokey 3 - Berlin, Allemagne.

Notre recommandation principale pour les nouvelles organisations. Hardware et firmware intégralement open source, gamme mature et programme communautaire actif.

Pourquoi cette clé en premier

Firmware Trussed open source, écrit en Rust, partagé avec SoloKey. L'auditabilité publique du code embarqué retire toute zone grise sur le comportement du composant sécurisé.
Hardware open source : schémas électroniques publiés, design libre. Une organisation peut, en théorie, faire fabriquer la clé chez un tiers de confiance.
Juridiction allemande, alignée RGPD, sans exposition CLOUD Act ni FISA. L'entreprise éditrice est basée à Berlin.
WebAuthn PRF supporté depuis le firmware 1.5, ce qui rend la clé compatible avec le déverrouillage du coffre Aegirex sans re-saisie du mot de passe maître.
Programme communautaire actif : documentation libre, traceurs de bugs publics, cadence de release régulière.

Voir le catalogue Nitrokey

02 / Alternative open source

SoloKey v2 - Berlin, Allemagne.

Alternative européenne au profil très similaire à Nitrokey, avec une gouvernance plus distribuée et un accent éditorial sur la radicalité open source.

Profil et différences avec Nitrokey

100 % open source de bout en bout, firmware Trussed partagé avec Nitrokey. Les deux projets sont historiquement proches et contribuent au même socle technique.
Gouvernance distribuée, communauté active, équipe plus petite. Le rythme de release est moins commercial et plus communautaire.
Juridiction allemande, positionnement souverain européen équivalent.
Cas d'usage privilégié : pour les organisations qui veulent un fournisseur dédié encore plus minimaliste, ou qui souhaitent diversifier entre deux acteurs européens partageant un même socle.

Voir le catalogue SoloKey

03 / Alternative suisse

Token2 Release 2 - Vevey, Suisse.

Éditeur suisse indépendant, gamme plus modeste mais intéressante pour les organisations qui privilégient la juridiction suisse ou recherchent un format carte à puce.

Profil et positionnement

Juridiction suisse, hors UE mais en équivalence d'adéquation RGPD. Sans exposition CLOUD Act.
FIDO2 et cartes à puce. Catalogue plus court que Nitrokey, mais inclut des formats spécifiques (cartes contactless) utiles pour certains usages physiques en entreprise.
Maturité produit éprouvée, couverture documentaire correcte, mais communauté plus restreinte que les deux options berlinoises.
Cas d'usage privilégié : diversification du fournisseur ou exigence d'alignement avec une politique groupe suisse.

Voir le catalogue Token2

04 / Compatible, avec réserve

YubiKey 5 - États-Unis.

Standard de facto historique du FIDO2 grand public. Fonctionne techniquement sans réserve avec Aegirex. Nous documentons explicitement la réserve juridique qui justifie sa position dans cette page.

Réserve souveraine

Yubico est une société américaine, soumise au CLOUD Act et plus largement aux lois extra-territoriales fédérales. La clé matérielle elle-même reste un composant local et la cryptographie FIDO2 fonctionne hors ligne ; toutefois, l'écosystème logiciel, les services de management et la chaîne d'approvisionnement relèvent d'une juridiction extra-européenne. Pour Aegirex, dont le différenciant est précisément la souveraineté européenne intégrale, recommander YubiKey en premier rideau créerait une incohérence éditoriale.

Cas où elle reste pertinente

Organisations qui ont déjà investi dans le parc YubiKey et l'écosystème associé (YubiEnterprise, YubiHSM). Pas de raison de jeter des clés fonctionnelles : elles s'utilisent telles quelles avec Aegirex.
Besoin d'une clé certifiée FIPS 140-3 ou PIV-compatible et impossibilité de trouver l'équivalent dans la gamme européenne au moment de l'achat.
Politique groupe imposant l'achat sur catalogue constructeur référencé internationalement.

Voir le catalogue YubiKey

Synthèse comparative

Vue d'ensemble des quatre options sur les critères qui pèsent dans la décision souveraine.

Clé	Juridiction	Hardware open	Firmware open	CLOUD Act	Position
Nitrokey 3	Allemagne	Oui	Oui (Trussed)	Non exposé	Recommandée
SoloKey v2	Allemagne	Oui	Oui (Trussed)	Non exposé	Alternative open source
Token2 Release 2	Suisse	Partiel	Partiel	Non exposé	Alternative suisse
YubiKey 5	États-Unis	Non	Non	Exposé	Compatible, avec réserve

Besoin d'un avis sur votre flotte ?

Si vous évaluez le déploiement de clés FIDO2 sur une organisation entière et qu'un arbitrage entre les options ci-dessus vous bloque, écrivez-nous. Nous accompagnons gratuitement les organisations en phase de qualification Aegirex sur ce choix.

Architecture sécurité Demander un partenariat ou aide au choix