Microsoft relègue les mots de passe au second plan pour ses nouveaux comptes. L'entreprise mise désormais par défaut sur les passkeys et autres méthodes sans mot de passe pour simplifier et sécuriser l'accès à ses services.

Microsoft pousse toujours plus l'adoption des clés de passe. © Shutterstock
Microsoft pousse toujours plus l'adoption des clés de passe. © Shutterstock

L'adieu aux mots de passe s'accélère chez Microsoft. Après avoir intégré les passkeys à ses produits grand public et facilité leur usage sous Windows 11, la firme de Redmond franchit une nouvelle étape significative. Désormais, la création d'un nouveau compte Microsoft se fera sans mot de passe par défaut, privilégiant des alternatives jugées plus modernes et robustes. Cette mesure concerne potentiellement plus d'un milliard d'utilisateurs des services Microsoft comme Windows, Xbox ou Microsoft 365.

La fin d'une ère pour les nouveaux comptes

La principale annonce est claire : les nouveaux venus dans l'écosystème Microsoft n'auront plus à choisir et mémoriser un mot de passe lors de la création de leur compte. À la place, le processus d'inscription les orientera vers des méthodes d'authentification alternatives telles que les passkeys, les notifications push via l'application Microsoft Authenticator, ou l'utilisation de clés de sécurité physiques FIDO2. L'objectif affiché est double : simplifier l'user experience (UX) dès le départ et renforcer la sécurité nativement.

Les mots de passe traditionnels sont souvent perçus comme une contrainte et constituent une cible privilégiée pour les cyberattaques. Microsoft met en avant des chiffres éloquents : les connexions via passkeys enregistrent un taux de succès de 98 % contre seulement 32 % pour les mots de passe, tout en étant jusqu'à huit fois plus rapides qu'une authentification classique avec mot de passe et validation multi-facteurs (MFA). L'amélioration de l'expérience utilisateur est donc un argument de poids, au même titre que la sécurité.

Compte Microsoft Creation Passkey - © Mathieu Grumiaux pour Clubic
Compte Microsoft Creation Passkey - © Mathieu Grumiaux pour Clubic

Les utilisateurs disposant déjà d'un compte Microsoft avec un mot de passe ne verront pas celui-ci disparaître automatiquement. Toutefois, Microsoft les incite fortement à basculer vers une méthode sans mot de passe en leur permettant de supprimer manuellement leur mot de passe depuis les paramètres de sécurité de leur compte. La nouvelle interface de connexion (sign-in), au design modernisé (Fluent 2), a d'ailleurs été pensée pour mettre en avant ces options passwordless et passkey-first.

Les passkeys, fer de lance de la stratégie Microsoft

Pour rappel, les passkeys s'appuient sur le standard FIDO et la cryptographie asymétrique (clé publique/clé privée). Une clé privée unique est générée et stockée de manière sécurisée sur l'appareil de l'utilisateur (smartphone, ordinateur) et protégée par la biométrie (empreinte digitale, reconnaissance faciale via Windows Hello) ou un code PIN. Seule la clé publique correspondante est enregistrée par le service en ligne (Microsoft, Google, etc.). Lors de la connexion, l'appareil prouve qu'il détient la clé privée sans jamais la révéler, ce qui rend les tentatives d'hameçonnage (phishing) et les fuites de bases de données de mots de passe bien moins efficaces. Microsoft indique enregistrer près d'un million de nouvelles passkeys chaque jour.

Microsoft a œuvré pour intégrer la prise en charge des passkeys dans l'ensemble de ses produits majeurs, que ce soit Windows 11, la suite Microsoft 365, les consoles Xbox ou encore son assistant Copilot. Conscient que la gestion des clés sur plusieurs appareils pouvait être un frein, l'entreprise a également annoncé améliorer la synchronisation des passkeys entre différents appareils via le compte Microsoft et le cloud. Cette synchronisation se veut sécurisée grâce au chiffrement de bout en bout (end-to-end) et à l'utilisation de puces de sécurité comme le TPM (Trusted Platform Module).

Pour les comptes existants, Microsoft ne se contente pas d'attendre une action de l'utilisateur. La nouvelle logique de connexion privilégie automatiquement la méthode d'authentification la plus sécurisée disponible pour le compte. Par exemple, si un utilisateur a configuré un mot de passe et un code à usage unique (one-time code), le système proposera le code en priorité. Après la connexion, il incitera à l'enregistrement d'une passkey, qui deviendra alors la méthode par défaut pour les prochaines fois. L'ambition à long terme de Microsoft est claire : réduire la dépendance aux mots de passe jusqu'à pouvoir, potentiellement, en supprimer totalement la prise en charge.

Source : The Verge

À découvrir
Meilleur gestionnaire de mots de passe, le comparatif en mai 2025

28 avril 2025 à 15h34

Comparatifs services