Qu’est-ce qu’une passkey ?
Une passkey est un identifiant d’authentification sans mot de passe basé sur la norme FIDO2/WebAuthn. Au lieu de saisir un mot de passe, vous vérifiez votre identité grâce au capteur biométrique de votre appareil (empreinte digitale ou reconnaissance faciale) ou à un code PIN. En arrière-plan, les passkeys utilisent la cryptographie à clé publique : une clé privée reste verrouillée dans le matériel sécurisé de votre appareil, tandis qu’une clé publique est enregistrée auprès du service. Comme la clé privée ne quitte jamais votre appareil et qu’aucun secret partagé ne transite sur le réseau, les passkeys sont fondamentalement résistantes au phishing, au credential stuffing et aux attaques par force brute.
Apple, Google et Microsoft se sont engagés conjointement à prendre en charge les passkeys sur leurs plateformes, et la liste des services qui les acceptent — dont GitHub, Amazon, PayPal et bien d’autres — ne cesse de s’allonger. Les passkeys représentent l’évolution la plus significative de l’authentification grand public depuis des décennies.
Approfondissement
Comment fonctionnent les passkeys en coulisses
Lorsque vous enregistrez une passkey auprès d’un service, votre appareil génère une paire de clés cryptographiques. La clé privée est stockée dans une zone inviolable — la Secure Enclave d’Apple ou la puce Titan M2 de Google, par exemple — d’où elle ne peut être extraite. La clé publique est envoyée au serveur du service. Lors de la connexion, le serveur envoie un défi aléatoire ; votre appareil le signe avec la clé privée, et le serveur vérifie la signature avec la clé publique. Aucun mot de passe ni jeton secret ne transite sur le réseau, ce qui élimine des catégories entières d’attaques.
En quoi les passkeys diffèrent des mots de passe
Les mots de passe sont des « secrets partagés » stockés à la fois côté utilisateur et côté serveur. Si le serveur est compromis, tous les mots de passe de sa base de données sont en danger. Les passkeys sont asymétriques : le serveur ne détient que la clé publique, inutile pour un attaquant. La réutilisation des mots de passe, le phishing et les fuites de bases de données deviennent ainsi sans objet. Un gestionnaire de mots de passe simplifie la vie avec les mots de passe, mais une passkey supprime entièrement le concept de mot de passe.
Synchronisation et partage des passkeys
Le trousseau iCloud d’Apple, Google Password Manager et les comptes Microsoft proposent chacun la synchronisation des passkeys entre appareils au sein de leur écosystème. Si vous utilisez un iPhone et un Mac sous le même identifiant Apple, vos passkeys vous suivent automatiquement. Pour une utilisation multiplateforme, des gestionnaires de mots de passe tiers comme 1Password et Bitwarden peuvent stocker et synchroniser les passkeys sur Windows, macOS, Android et iOS. Vous pouvez également stocker des passkeys sur une clé de sécurité matérielle, qui fonctionne indépendamment de tout appareil ou écosystème spécifique.
Passkeys et sécurité en entreprise
Les passkeys ne sont pas seulement une commodité pour les particuliers ; elles sont de plus en plus adoptées par les entreprises pour sécuriser les comptes des collaborateurs. Les organisations supportent des coûts massifs liés aux appels au helpdesk pour réinitialisation de mots de passe et aux violations liées aux identifiants. L’adoption des passkeys élimine ces deux problèmes. Les administrateurs informatiques peuvent exiger une authentification uniquement par passkey pour les systèmes internes sensibles. De nombreux fournisseurs d’identité et plateformes SSO prennent désormais en charge les passkeys nativement.
Limites et défis actuels
Malgré leurs avantages, les passkeys connaissent encore quelques difficultés de croissance. Tous les sites web et applications ne les prennent pas encore en charge, ce qui rend les mots de passe nécessaires en solution de repli dans de nombreux cas. La portabilité des passkeys entre plateformes s’améliore mais reste imparfaite ; passer d’un écosystème à un autre (par exemple, d’Apple à Android) nécessite un gestionnaire de mots de passe compatible ou une réinscription manuelle. Ces points de friction devraient s’estomper à mesure que l’adoption s’accélère et que les interfaces s’améliorent.
Comment choisir
1. Commencer par les services que vous utilisez déjà
Google, Apple, Microsoft, GitHub, Amazon et PayPal prennent tous en charge les passkeys aujourd’hui. Commencez par les activer sur vos comptes les plus importants. Vous pouvez conserver la connexion par mot de passe comme solution de repli pendant la transition, sans risque d’être bloqué.
2. Comprendre l’écosystème de synchronisation
Les passkeys du trousseau iCloud se synchronisent uniquement entre appareils Apple. Google Password Manager couvre Android et Chrome. Si vous travaillez sur plusieurs plateformes, un gestionnaire de mots de passe multiplateforme prenant en charge les passkeys — comme 1Password ou Bitwarden — offre l’expérience la plus fluide.
3. Préparer des options de récupération
Si vous perdez tous les appareils qui contiennent vos passkeys, vous serez bloqué. Pour limiter ce risque, enregistrez des passkeys sur plusieurs appareils et conservez une clé de sécurité matérielle de secours dans un endroit sûr. Certains services proposent également des codes de récupération à usage unique à imprimer et conserver.
Passkeys et accessibilité
Les passkeys améliorent l’accessibilité pour les utilisateurs ayant des difficultés avec la gestion des mots de passe — qu’il s’agisse de troubles de la mémoire, de limitations motrices rendant la saisie de mots de passe complexes difficile, ou de déficiences visuelles. L’authentification par passkey repose sur la biométrie (une touche ou un regard) ou sur un simple code PIN, ce qui abaisse la barrière à une authentification sécurisée pour un plus grand nombre d’utilisateurs.
Comment les passkeys coexistent avec la sécurité existante
Les passkeys ne vous obligent pas à abandonner votre configuration de sécurité actuelle du jour au lendemain. La plupart des services permettent aux passkeys et aux mots de passe de coexister, de sorte que vous pouvez activer une passkey tout en conservant votre mot de passe et votre authentification à deux facteurs comme solution de repli. Au fil du temps, à mesure que vous gagnez en confiance et que davantage de services adoptent la norme, vous pouvez progressivement supprimer les mots de passe.
En résumé
Les passkeys sont le remplacement des mots de passe le plus prometteur que le secteur ait jamais produit. Elles combinent une résistance solide au phishing avec une expérience utilisateur réellement plus simple que la saisie d’un mot de passe — un scan d’empreinte ou un déverrouillage par reconnaissance faciale suffit. Activez les passkeys partout où vous le pouvez dès maintenant, configurez la synchronisation entre vos appareils, gardez une méthode de récupération de secours, et vous serez bien engagé sur la voie d’un avenir sans mots de passe.