Meta propose désormais aux utilisateurs et utilisatrices de Facebook mobile de s’authentifier à leur compte à l’aide de passkey. Un pas de plus vers un système de connexion sans mots de passe… sur le papier du moins.

Facebook passe aux passkeys, mais les mots de passe ont encore de beaux jours devant eux. © PixieMe / Shutterstock
Facebook passe aux passkeys, mais les mots de passe ont encore de beaux jours devant eux. © PixieMe / Shutterstock
L'info en 3 points
  • Meta introduit les passkeys sur Facebook mobile, remplaçant les mots de passe par une authentification biométrique sécurisée.
  • La technologie des passkeys est limitée aux appareils récents, nécessitant iOS 16 ou Android 9 minimum.
  • Bien que prometteuse, l'adoption des passkeys reste fragmentée, chaque acteur ayant ses propres solutions de synchronisation.

À son tour, Meta commence à déployer les passkeys sur Facebook pour Android et iOS, et promet d’étendre leur prise en charge sur Messenger et Meta Pay dans les mois à venir. Une annonce qui s’inscrit dans un mouvement plus large de simplification de l’authentification, en remplaçant le mot de passe traditionnel par une validation biométrique ou un code PIN, et qui pourrait bien marquer un tournant. Car si la technologie n’est pas nouvelle, son intégration à un service aussi grand public pourrait accélérer sa diffusion, quand bien même son usage reste encore limité à certains appareils et systèmes compatibles.

Un dispositif plus sûr, mais réservé à certains appareils

Pour rappel, les passkeys reposent sur un mécanisme d’authentification asymétrique, fondé sur une paire de clés cryptographiques générées par l’appareil. La clé publique est partagée avec le service en ligne, tandis que la clé privée reste stockée sur le smartphone ou le PC, protégée par une méthode d’authentification locale (biométrie ou code PIN). Les données biométriques comme la clé privée ne quittent donc jamais l’appareil, ce qui permet de se connecter sans identifiant ni mot de passe, tout en limitant les risques liés au phishing ou aux fuites de bases de données.

Facebook rejoint ainsi les nombreux services ayant déjà commencé à intégrer cette technologie. Mais dans les faits, seuls les appareils compatibles avec une authentification locale sécurisée peuvent en profiter. La fonctionnalité est pour l’instant limitée à iOS et Android, via l’application mobile uniquement. Cela exclut les connexions à la version web du réseau social, ainsi que les smartphones plus anciens, dépourvus de capteurs biométriques ou d’un environnement sécurisé comme le Secure Enclave (Apple) ou le TEE (Google).

À ces conditions s’ajoute la nécessité de disposer d’un système d’exploitation à jour, au minimum iOS 16 (iOS 15 pour un usage local) ou Android 9, afin de prendre en charge les API d’authentification modernes.

Facebook va enfin prendre en charge les passkeys sur mobile. © Meta
Facebook va enfin prendre en charge les passkeys sur mobile. © Meta

Une technologie prometteuse encore trop cloisonnée

Reste qu’en théorie, et en dépit des contraintes propres à Facebook, la technologie pourrait faire oublier les tracas du mot de passe. Mais dans la pratique, l’expérience reste fragmentée. Comme chez Apple, Google ou Microsoft, l’activation des passkeys chez Meta repose encore sur une logique d’écosystème. Une clé d’accès créée sur un appareil donné reste associée à l’environnement dans lequel elle a été générée, et ne peut pas être utilisée librement sur d’autres systèmes ou services sans passer par une solution de synchronisation, elle aussi propre à un fournisseur.

C’est d’ailleurs l’une des principales limites que la FIDO Alliance entend lever. L’organisation, qui encadre la standardisation de cette technologie, a récemment présenté un projet de spécification destiné à faciliter la portabilité des passkeys entre plateformes et gestionnaires de mots de passe. Mais ces travaux sont encore loin de se traduire par des intégrations concrètes à grande échelle. En attendant, chaque acteur continue de proposer sa propre solution, avec ses propres mécanismes de synchronisation et des contraintes variables selon l’appareil, le système ou le type de compte utilisé.

Vers une adoption plus large, mais progressive

Malgré tout, on ne cachera pas que l’arrivée des passkeys sur Facebook marque une étape importante, notamment parce qu’elle concerne une plateforme très grand public. Contrairement aux services professionnels ou aux environnements techniques, le réseau social touche une base d’utilisateurs et d’utilisatrices beaucoup plus large et souvent moins sensibilisée aux enjeux de sécurité, ce qui pourrait favoriser la familiarisation avec ce type d’authentification et contribuer, à terme, à son adoption plus large.

Meta ne supprime pas pour autant les autres méthodes de connexion, qui restent accessibles en parallèle. Le mot de passe classique, les codes temporaires ou l’identification à deux facteurs continuent de fonctionner, de manière à ne pas pénaliser celles et ceux qui ne disposent pas d’un appareil compatible ou préfèrent s’en tenir à des méthodes d’identification plus classiques.

En parallèle, Meta prévoit aussi d’étendre l’usage des passkeys à d’autres applications de son groupe. Si la fonctionnalité est pour l’instant limitée à Facebook, Messenger et Meta Pay, elle pourrait, à terme, concerner l’ensemble de ses services, comme Instagram ou WhatsApp.

Source : Meta

À découvrir
Meilleur gestionnaire de mots de passe, le comparatif en juin 2025

30 mai 2025 à 15h34

Comparatifs services