Les mots de passe perdent encore du terrain chez Microsoft. Windows 11 accueille enfin les passkeys comme des citoyennes de première classe, compatibles avec 1Password et Bitwarden. Simple, fluide… et toujours bien tenu en laisse par Redmond.
Voilà plus d’un an que Microsoft prépare la sortie des mots de passe. Les nouveaux comptes s’en passent déjà, Edge se positionne en coffre-fort à passkeys et Windows Hello sert de clé biométrique pour s’identifier sans toucher au clavier. Restait à faire fonctionner l’ensemble de manière vraiment harmonieuse. C’est désormais le cas avec l’intégration native des passkeys dans Windows 11 et, surtout, la possibilité de créer et d’utiliser ces clés d’accès via des gestionnaires tiers comme 1Password et Bitwarden. Une évolution qui consolide enfin l’écosystème sans mots de passe tant désiré par Redmond.
Les passkeys passent la seconde sur Windows 11
Jusqu’ici, utiliser une passkey sur Windows relevait plus du bricolage que d’une expérience fluide. Le système savait valider une authentification via Windows Hello, mais seulement si le site proposait explicitement ce mode de connexion et savait dialoguer avec l’OS. Dans les autres cas, il fallait passer par une extension de gestionnaire de mots de passe ou s’en remettre à Edge, chacun suivant sa propre logique. Résultat, une expérience fragmentée, incohérente et difficile à appréhender.
Mais la situation évolue enfin puisque Windows 11 joue désormais les intermédiaires entre le service auquel on se connecte, le coffre qui stocke la clé et l’authentification locale. Dans les grandes lignes, l’OS intercepte la demande, valide l’identité via Windows Hello puis récupère la clé chez le fournisseur choisi. Autrement dit, plus besoin de dépendre d’une extension ou d’un navigateur spécifique puisque les identifiants sont dorénavant gérés au niveau du système, et non plus en périphérie. Par là même, seule la personne devant l’écran peut déverrouiller ses identifiants, l’accès reposant sur un facteur local (PIN, visage, empreinte).
En théorie, la fonctionnalité est disponible pour tout le monde depuis la mise à jour de sécurité de novembre. Pour l’heure, seuls Microsoft Password Manager (dérivé du gestionnaire intégré à Edge et à présent fourni comme module complémentaire Windows), 1Password et Bitwarden sont pris en charge, une fois installés puis activés dans les Paramètres > Compte > Clés d’accès. À noter également que le procédé s’appuie sur une API toute fraîche, pensée pour permettre à d’autres services de suivre le mouvement.
Un vrai mieux… dans un cadre bien fermé
Pour rappel, avec les passkeys, l’authentification ne repose plus sur des identifiants à saisir, mais sur une paire de clés cryptographiques. La clé privée reste sur l’appareil et n’en sort jamais, tandis que la clé publique est stockée côté service. En cas de fuite chez ce dernier, les données exfiltrées ne permettent pas d’accéder au compte. Le phishing perd aussi en efficacité, puisqu’aucune information sensible n’est transmise à un site tiers.
Un tel schéma ne suffit toutefois pas à transformer le dispositif en solution de sécurité absolue. Un appareil compromis, un gestionnaire mal configuré ou des usages peu rigoureux peuvent atténuer les bénéfices annoncés. Les passkeys font clairement reculer l’intérêt des attaques traditionnelles, mais n’annulent ni les risques liés à l’environnement local, ni la nécessité de rester prudent.
À l’échelle de Windows, cette intégration ne change pas la technologie sous-jacente aux passkeys, mais elle uniformise enfin le parcours. Bien pensé, propre, efficace. Il ne faut néanmoins pas perdre de vue que tout passe par Windows Hello et une API maison. En clair, l’ouverture aux gestionnaires tiers existe, oui, mais conditionnée au cadre fixé et administré par Microsoft. Plus enfermé dans Windows en se croyant autorisé à être plus libre, c’est habile.
Source : Microsoft
