Passkeys : la fin annoncée (et progressive) du mot de passe

Qu'est-ce qu'une passkey ?

Les passkeys sont une nouvelle méthode d'authentification reposant sur la cryptographie à clé publique — les mêmes mathématiques qui font tourner le HTTPS et les cryptomonnaies. Contrairement aux mots de passe, que vous saisissez de la même manière à chaque fois, les passkeys sont des paires de clés cryptographiques stockées de façon sécurisée sur votre appareil. Au moment de la connexion, votre appareil prouve qu'il détient la clé privée sans jamais envoyer cette clé elle-même sur Internet.

Voici le principe de base : vous enregistrez une passkey auprès d'un site web, qui conserve votre clé publique. Plus tard, lorsque vous vous connectez, le site envoie un défi (challenge), votre appareil le signe avec votre clé privée, et le site vérifie la signature. Si elle correspond, vous êtes connecté. Votre clé privée ne quitte jamais votre appareil, et le site ne stocke jamais de mot de passe.

L'aspect « lié à l'appareil » est essentiel. Une passkey présente sur votre téléphone ne sert à rien à quelqu'un qui volerait votre ordinateur portable. C'est une amélioration de sécurité fondamentale par rapport aux mots de passe, qui sont par nature transportables : un voleur n'a besoin que de la chaîne de caractères du mot de passe.

Pourquoi les passkeys gagnent face au phishing

Les mots de passe échouent spectaculairement sur un point : ils fonctionnent aussi sur les faux sites. Saisissez votre mot de passe sur un site de phishing qui imite Gmail au pixel près, et félicitations : l'attaquant possède désormais votre compte. Aucune robustesse de mot de passe n'empêche cela.

Les passkeys sont immunisées contre cette catégorie d'attaque, car elles sont liées au vrai domaine. Lorsque vous vous connectez à un site de phishing qui se fait passer pour Gmail, votre appareil ne génère pas de signature valide pour le domaine de l'attaquant. Le faux site reçoit une réponse invalide, la connexion échoue, et soit vous remarquez que quelque chose cloche, soit vous passez à autre chose.

Cela n'arrête pas toutes les attaques (l'ingénierie sociale, les malwares sur votre appareil et les SIM swaps restent des risques), mais cela élimine la plus grande catégorie de vol d'identifiants : le phishing. Pour les utilisateurs qui tombent dans le panneau de fausses pages convaincantes — y compris des personnes soucieuses de sécurité un mauvais jour —, les passkeys changent la donne.

Les vrais points de friction

Les passkeys ne sont pas exemptes de friction, et prétendre le contraire leur rendrait un mauvais service. Trois défis se détachent.

Récupération et verrouillage de compte. Si vous perdez votre téléphone, vos passkeys partent avec lui. Si votre téléphone est volé et que vous n'avez pas de sauvegarde, vous vous retrouvez verrouillé hors de chacun de vos comptes. La récupération par mot de passe est rudimentaire mais éprouvée : répondez à une question de sécurité, recevez un code par e-mail, réinitialisez. La récupération des passkeys, elle, est encore en cours de définition. Certains services permettent d'enregistrer plusieurs passkeys (téléphone + clé de sécurité + tablette), d'autres utilisent des codes de secours, et certains sont encore en train de concevoir leur procédure de repli. L'expérience utilisateur reste immature sur ce point.

Friction multi-appareils. Les passkeys se synchronisent automatiquement sur les appareils Apple (grâce au Trousseau iCloud), et Google déploie la synchronisation sur Android. Mais le multiplateforme demande encore des efforts. Si vous utilisez un iPhone, un téléphone Android et un PC portable Windows, enregistrer une passkey sur les trois n'a rien de transparent pour l'instant. Vous pouvez synchroniser via le cloud, utiliser une clé de sécurité portable (USB) ou enregistrer une passkey distincte par appareil. Cela s'améliore, mais on est encore loin du « on configure et on oublie » aujourd'hui.

Retard d'adoption. Votre banque exige probablement encore un mot de passe. Votre ancien hébergeur de messagerie ne prend peut-être pas en charge les passkeys. Beaucoup d'outils SaaS proposent les passkeys en option à côté des mots de passe, pas en remplacement. Vous vivrez dans un monde hybride pendant des années, à jongler entre les deux méthodes d'authentification. Ce n'est pas rédhibitoire : c'est simplement plus lent qu'une bascule nette.

Conseils pratiques pour les utilisateurs

Commencez petit. Choisissez un compte qui compte sans être critique : un service de loisir, un réseau social secondaire, un outil de projet. Enregistrez-y une passkey, familiarisez-vous avec le flux et observez comment l'interface de votre appareil le gère. iOS et Android ont nettement amélioré leur interface dédiée aux passkeys cette dernière année, et c'est moins déroutant qu'avant.

Pour vos comptes réellement critiques (e-mail, banque, services d'identité), patientez un peu plus, sauf s'ils ont rendu la récupération infaillible. Lisez la documentation de récupération. Si la procédure de récupération de votre compte impose un passage en agence ou un appel manuel au support, les passkeys ne sont peut-être pas encore prêtes pour vous.

Gardez une clé de sécurité (un jeton USB physique comme une YubiKey) si vous voulez une protection « ceinture et bretelles » et que le coût ne vous dérange pas (30 à 60 $). Une clé de sécurité est immunisée contre les problèmes de synchronisation cloud et la perte d'appareil. Enregistrez-la en parallèle d'une passkey synchronisée dans le cloud pour la redondance.

Conseils pratiques pour les petites équipes

Si vous dirigez une petite entreprise ou gérez un projet open source, activer les passkeys tôt vous donne un avantage en matière de sécurité et montre à vos utilisateurs que vous prenez l'authentification au sérieux.

Commencez par proposer les passkeys comme alternative aux mots de passe, pas comme remplacement. Cela permet aux utilisateurs soucieux de sécurité de les adopter, tandis que les autres conservent leurs mots de passe. Votre bibliothèque d'authentification — Auth0, Okta, Supabase, ou une option plus simple comme Passage by 1Password — se charge du gros du travail cryptographique ; vous n'avez qu'à câbler l'interface.

Planifiez votre flux de récupération de compte avant le lancement. Les utilisateurs peuvent-ils enregistrer plusieurs passkeys (bien) ? Peuvent-ils utiliser un code de récupération ou un e-mail de secours (mieux) ? Si un utilisateur perd toutes ses passkeys, quelle est la charge pour le support (à estimer impérativement) ? Un flux de récupération simple évite les e-mails furieux et les tickets de support.

Testez avec des appareils récents et un peu plus anciens. Un utilisateur sur un vieux téléphone Android sans prise en charge complète de la synchronisation des passkeys ne doit pas se retrouver bloqué : prévoyez pour lui un repli vers un second facteur ou un mot de passe traditionnel. La dégradation gracieuse est sous-estimée.

Le calendrier réaliste

Les passkeys ne remplaceront pas les mots de passe l'an prochain. Les grands fournisseurs cloud et un nombre croissant d'outils SaaS les prennent désormais en charge, mais l'adoption reste concentrée chez les utilisateurs technophiles et les organisations soucieuses de sécurité. L'adoption grand public prendra probablement 3 à 5 ans, et les procédures de récupération de mot de passe resteront une maladresse persistante pendant toute cette période.

Et c'est très bien ainsi. Le gain de sécurité — la résistance au phishing — est assez important pour justifier la friction. À mesure que la récupération s'améliore et que la synchronisation multi-appareils devient transparente, cette friction se réduit. La fin du mot de passe n'est pas une sortie brutale : c'est une disparition progressive, au fur et à mesure que les alternatives font leurs preuves.

Si vous en avez assez des réinitialisations de mot de passe, que vous tombez de temps en temps dans le piège des e-mails de phishing, ou que vous voulez réduire le risque de prise de contrôle de compte, les passkeys sont prêtes à être essayées dès aujourd'hui. Si vous gérez un service, les prendre en charge devient un prérequis incontournable de votre posture de sécurité. La transition est en marche et, contrairement à beaucoup de transitions de sécurité, celle-ci améliore réellement l'expérience utilisateur — une fois les aspérités lissées.

Passkeys : la fin annoncée (et progressive) du mot de passe

Qu'est-ce qu'une passkey ?

Pourquoi les passkeys gagnent face au phishing

Les vrais points de friction

Conseils pratiques pour les utilisateurs

Conseils pratiques pour les petites équipes

Le calendrier réaliste

Articles liés

Sécurité des agents IA : les questions à se poser avant de les laisser agir sur votre entreprise

Cybersécurité des petites entreprises (2026) : un plan de démarrage concret

Comment configurer un gestionnaire de mots de passe (et pourquoi il vous en faut enfin un)