Authentification sans mot de passe
Passkeys : la nouvelle frontière de l'authentification sans mot de passe
27 février 2025 · 10 min de lecture
Les passkeys comptent parmi les évolutions les plus marquantes de l'authentification grand public depuis des années. Elles remplacent un secret mémorisé par une identité cryptographique stockée sur l'appareil et liée à chaque site ou application.

Ce changement atténue des problèmes majeurs des mots de passe—phishing, réutilisation, fuites de bases—qui découlent du modèle du secret partagé. Les passkeys sont une meilleure brique technique, mais pas une baguette magique : l'UX, la récupération de compte et les écosystèmes déterminent encore si les gens les adoptent.
Ce que sont les passkeys
Une passkey repose sur la cryptographie à clé publique, avec WebAuthn et les standards FIDO. L'appareil conserve une clé privée ; le service ne conserve que la clé publique associée.
À la connexion, l'appareil prouve qu'il détient la clé privée en signant un défi. Cette clé privée n'est pas exposée au site comme le serait un mot de passe.
Passkeys synchronisées ou liées à un appareil
Toutes les passkeys ne se comportent pas de la même manière. Une passkey synchronisée est sauvegardée et disponible via une plateforme ou un gestionnaire, par exemple Apple Passwords, Google Password Manager, Windows ou un gestionnaire tiers compatible. C'est pratique au quotidien et lors d'un changement d'appareil.
Une passkey liée à un appareil reste sur un authentificateur précis, par exemple une clé de sécurité matérielle. C'est parfois préférable pour des comptes administrateur ou des environnements d'entreprise, mais moins tolérant si l'appareil est perdu sans authentificateur de secours.
Cette distinction compte pour l'assurance. NIST SP 800-63B-4 reconnaît l'utilité des authentificateurs synchronisables dans le bon contexte, mais AAL3 — le niveau d'assurance d'authentification le plus élevé de NIST, destiné aux accès les plus sensibles où il faut fortement résister à l'usurpation du vérificateur et à la compromission de l'authentificateur — exige une clé privée non exportable. Les passkeys synchronisées ne conviennent donc pas à tous les usages à très forte assurance.
Pourquoi elles sont meilleures que les mots de passe
- Pas de mot de passe partagé à voler dans une fuite de base de données
- Forte résistance au phishing classique qui vous pousse à saisir un secret sur un faux site, car l'identifiant est lié à l'origine réelle
- Plus besoin de mémoriser ou de taper de longs secrets au quotidien
- Moins de tentation de réutiliser le même secret sur des services sans lien
Parcours types (ce qui se passe vraiment)
- Inscription : le site propose de créer une passkey (parfois après vérification d'e-mail, parfois dans les paramètres de sécurité). Le téléphone ou l'ordinateur demande Face ID, Touch ID, Windows Hello ou un code appareil—non pour « envoyer votre empreinte au cloud », mais pour autoriser l'authentificateur local. Celui-ci génère une nouvelle paire de clés pour ce site ; seule la clé publique part vers le serveur.
- Connexion ultérieure : identifiant de compte si nécessaire, puis le site envoie un défi cryptographique. Vous validez la même invite locale ; l'appareil signe le défi ; le serveur vérifie la signature. Aucun mot de passe n'est saisi si le service n'en impose pas en secours.
- Nouvel appareil ou navigateur : les passkeys synchronisées peuvent réapparaître après connexion au coffre de la plateforme (gestionnaire de mots de passe Apple ou Google, ou gestionnaire tiers compatible). Sans synchro, il faut souvent un autre appareil encore actif, des codes de secours, ou retomber sur mot de passe + MFA jusqu'à une nouvelle inscription—c'est souvent le premier moment de friction.
- Secours : beaucoup de services gardent mot de passe, lien magique ou SMS pour la récupération. Ce chevauchement ne signifie pas que les passkeys « échouent » : il reflète la difficulté de la récupération de compte sans ouvrir de nouvelles fraudes.
Idées reçues courantes
- « Le site reçoit mon empreinte. » Non : la biométrie reste sur l'appareil ; le site reçoit une preuve cryptographique, pas une image.
- « Les passkeys rendent le phishing impossible. » Elles suppriment l'attaque « taper son mot de passe sur une fausse page » dans les flux 100 % passkey, mais pas toutes les arnaques ni un mobile entièrement compromis.
- « Une passkey, c'est juste de la MFA. » Une passkey peut atteindre l'objectif recherché par la MFA — preuve liée à un appareil et vérification locale de l'utilisateur — mais ce n'est pas la même chose qu'un mot de passe suivi d'un code à six chiffres. La réponse cryptographique est liée au vrai site.
- « Une passkey ouvre tout. » Chaque fournisseur de service dispose de ses propres clés liées à son origine ; banque et messagerie ne partagent pas une méga-passkey unique.
- « C'est uniquement Apple. » Apple a poussé l'UX, mais Google, Microsoft et de nombreux gestionnaires implémentent les mêmes normes—l'interopérabilité existe, mais reste inégale.
- « Je peux copier-coller ma passkey dans un fichier. » Les passkeys ne sont pas conçues comme des secrets lisibles et collables ; c'est voulu, et ça heurte des habitudes forgées pendant des décennies.
La portabilité s'améliore
Une critique légitime des premiers déploiements concernait le verrouillage : si vos passkeys vivent dans un coffre de plateforme, comment les transférer ailleurs ? La FIDO Alliance travaille sur le Credential Exchange Protocol et le Credential Exchange Format pour rendre ce transfert plus sûr et interopérable.
C'est important, mais il faut rester précis : la portabilité progresse, elle n'est pas uniforme partout. En 2026, vérifiez encore où vos passkeys sont stockées, si votre gestionnaire les prend en charge, et quelle récupération ou exportation est disponible avant de dépendre d'un seul fournisseur.
Pourquoi l'adoption reste derrière le discours
Les normes et les OS ont avancé plus vite que la compréhension des utilisateurs. Pendant des décennies, le mot de passe « était » le compte ; demander de faire confiance à des clés invisibles, à la synchro cloud ou à une invite fournisseur semble abstrait quand ça bloque.
Côté entreprise, intégrer correctement WebAuthn (formats d'attestation, clés résidentes, récupération, scripts support) coûte plus qu'un simple formulaire mot de passe. Les petites équipes repoussent ; les grands comptes imposent souvent encore mot de passe + MFA « classique » pour la conformité.
- UX fragmentée : libellés et parcours varient selon Android, iOS, Windows et navigateurs—les supports utilisateur en font les frais.
- Peur de la perte d'appareil : sans sauvegardes claires, « j'ai perdu mon téléphone » paraît plus effrayant que « j'ai oublié mon mot de passe ».
- Confiance dans la plateforme : une partie du public n'aime pas l'idée que les clés transitent via Apple, Google ou un gestionnaire—même lorsque la conception crypto exclut l'accès aux clés privées.
- Déploiement partiel : passkey sur l'app mobile mais pas sur le site bureau (ou l'inverse), et les utilisateurs retombent sur le mot de passe en concluant que « ça ne marche pas ».
Où les passkeys ont encore des limites
- Tous les services ne les proposent pas, surtout outils de niche, logiciels auto-hébergés et certains accès VPN d'entreprise.
- Perte d'appareil et succession numérique sont plus délicats qu'un simple « mot de passe oublié ».
- Les scénarios multi-appareils dépendent encore de la synchro, de clés matérielles ou d'une discipline de réinscription.
- Pendant longtemps, vous garderez des mots de passe solides sur beaucoup de comptes.
Ce que cela signifie aujourd'hui
Activez les passkeys dès qu'un service les propose—surtout sur les comptes sensibles—car elles réduisent nettement le vol de mot de passe par phishing. Gardez un gestionnaire de mots de passe et des options de récupération connues.
Attendez-vous à un monde mixte pendant des années : passkeys sur certains comptes, mots de passe générés ailleurs, et parfois de la frustration quand l'implémentation est à moitié terminée. Cette irrégularité explique l'écart entre l'enthousiasme des équipes sécurité et l'accueil plus tiède du grand public.
Liste de contrôle pratique
- Créez d'abord des passkeys pour l'e-mail, le gestionnaire de mots de passe, la banque, le cloud, les comptes développeur et les réseaux sociaux ciblés.
- Gardez au moins deux chemins de récupération : autre appareil fiable, clé de sécurité matérielle, codes de secours ou procédure documentée.
- Ne supprimez pas le mot de passe tant que le service ne prend pas clairement en charge la connexion uniquement par passkey et que la récupération n'est pas comprise.
- Pour les comptes professionnels, demandez si la politique exige des passkeys synchronisées, des clés matérielles liées à l'appareil, ou les deux.
Les mots de passe comptent encore pendant la transition
Tant que les passkeys ne sont pas disponibles partout, utilisez des mots de passe longs et uniques et lancez de temps en temps notre test de fuite sur vos comptes sensibles.