Apple, Google et Microsoft le répètent depuis quelques années : les mots de passe sont morts, les passkeys les remplacent. Alors oui, le discours est plutôt séduisant. La technologie est solide. Mais derrière la promesse d'une authentification simplifiée, il reste quand même plusieurs questions en suspens, notamment lorsque vous confiez la clé de votre identité numérique à un tiers.

Passkeys : la technologie anti-phishing d'Apple et Google qui crée une nouvelle dépendance ©Shutterstock
Passkeys : la technologie anti-phishing d'Apple et Google qui crée une nouvelle dépendance ©Shutterstock

En mars 2026, Microsoft a généralisé les passkeys synchronisés sur Entra ID, sa plateforme de gestion d'identités professionnelles. De son côté, Google revendique 800 millions de comptes compatibles, et 175 millions d'utilisateurs chez Amazon. Les passkeys se généralisent et c'est une bonne chose. Mais ça vaut quand même le coup d'y regarder de plus près.

Le mot de passe, ce vieux concept

Le fonctionnement du mot de passe est relativement simple. Vous et le serveur partagez un secret. Vous le tapez, le serveur vérifie. Le problème, c'est que ce "secret" doit être stocké quelque part, côté serveur. Or les serveurs se font pirater.

Selon un rapport (PDF) de Verizon, 88% des failles de sécurité proviennent encore de mots de passe faibles ou compromis. L'utilisateur moyen dispose d'une centaine de comptes différents, mais recycle en réalité trois ou quatre mots de passe sur l'ensemble du Web. Les gestionnaires ont partiellement résolu le problème de la réutilisation. Mais, il y a toujours une faille : le mot de passe existe toujours quelque part, et il peut être volé.

Le phishing repose sur ce même mécanisme. Une fausse page de connexion qui ressemble à la vraie, un utilisateur qui ne fait pas attention, et c'est terminé. Même avec une authentification à deux facteurs par SMS, l'attaquant peut intercepter le code en temps réel. Le mot de passe seul ne suffit plus depuis longtemps.

Comment fonctionne le passkey

Les passkeys reposent sur un standard ouvert, FIDO2, développé par la FIDO Alliance, une organisation fondée en 2013. Celle-ci regroupe Apple, Google, Microsoft, Samsung, Amazon et Meta.

Lors de la création d'un passkey, votre appareil génère deux clés "mathématiquement" liées. La clé publique est envoyée et stockée sur le serveur du service en question. La clé privée, elle, reste sur votre appareil, et n'en part jamais. Pour vous connecter, le serveur vous envoie un "défi" (une chaîne de caractères aléatoire). Votre appareil le signe avec la clé privée. Le serveur vérifie la signature avec la clé publique. Si ça correspond, vous êtes authentifié.

Ce mécanisme, appelé cryptographie asymétrique, a un vrai avantage. Même si le serveur est piraté, les attaquants ne récupèrent que des clés publiques. Et celles-ci restent inutilisables sans la clé privée. De son côté, la clé privée ne quitte jamais votre appareil ; elle ne peut donc pas être volée via une fausse page de connexion. Un passkey peut donc résister à une attaque par phishing.

©Shutterstock
©Shutterstock

L'authentification biométrique

Pour déclencher l'utilisation de la clé privée, votre appareil vous demande de vous identifier localement. Sur iPhone, c'est Face ID ou Touch ID. Sur un PC Windows, c'est Windows Hello. Cette étape ne sert pas à "envoyer" votre empreinte ou votre visage quelque part. Elle sert uniquement à déverrouiller la clé privée stockée sur l'appareil.

C'est une distinction importante. Vos données biométriques ne transitent pas sur Internet, heureusement ! Elles restent dans une enclave sécurisée du processeur. Il s'agit de la "Secure Enclave" chez Apple, ou du module TPM chez la plupart des PC. Le serveur distant ne collecte donc pas d'informations biométriques. Il sait juste que quelqu'un possède la bonne clé privée associée à la clé publique du serveur.

En termes d'expérience utilisateur, les clés d'accès sont bien plus simples et gomment une bonne partie des frustrations. La connexion est effectuée en une étape, sans saisie de mot de passe, sans code SMS à recopier. Les chiffres de TikTok ou d'Air New Zealand, qui ont déployé les passkeys à grande échelle, montrent des taux de réussite à la connexion proches de 97 % contre moins de 50 % avec les mots de passe, et des abandons de session réduits de moitié.

Les passkeys synchronisés : un vrai compromis

Les passkeys "liés à l'appareil" (device-bound) ne quittent jamais le support physique sur lequel ils ont été créés. Ils sont techniquement les plus robustes, puisqu'une clé stockée uniquement dans le Secure Enclave d'un iPhone ne peut pas être extraite même si quelqu'un accède physiquement à l'appareil. Mais forcément, si l'appareil est perdu ou cassé, la clé disparaît. C'est la raison pour laquelle la configuration d'une Yubikey requiert en général deux clés physiques en cas de perte.

Pour contourner ce problème, Apple, Google et Microsoft ont introduit des passkeys "synchronisés". La clé privée est alors chiffrée puis copiée dans un cloud et distribuée sur l'ensemble de vos appareils. Elle est sur iCloud Keychain chez Apple, Google Password Manager chez Google, OneDrive chez Microsoft. C'est précisément ce que Microsoft vient de généraliser le mois dernier sur Entra ID. Ces passkeys ne sont donc plus stockés sur votre seul appareil physique. Ils restent cependant bien plus sûrs que n'importe quelle combinaison "mot de passe + SMS". Mais en pratique, il a donc fallu trouver un compromis.

©Apple

Changer d'écosystème reste compliqué

Lorsque la clé d'accès est synchronisée sur un serveur, elle entre dans un écosystème entièrement géré par l'entreprise. Sur vos appareils Apple, le passkey créé sur votre iPhone apparaît automatiquement sur votre Mac et votre iPad. Idem chez Google sur Android et Chrome.

Mais que se passe-t-il si vous mélangez deux écosystèmes ? Un iPhone dans la poche, un PC Windows au bureau, et un compte Google comme identité principale ? Il est possible d'effectuer des transferts, via un QR code à scanner avec le téléphone pour authentifier une connexion sur un autre appareil. Mais le processus est tout de suite un peu moins fluide. La synchronisation entre environnements différents reste laborieuse, et la migration d'un écosystème vers un autre (comme passer d'iPhone à Android, par exemple) n'est pas encore une opération simple.

D'emblée, mieux vaut donc opter pour un gestionnaire de mots de passe tiers, comme 1Password, Bitwarden, ou Dashlane. Ces derniers peuvent stocker et synchroniser des passkeys indépendamment de l'écosystème du constructeur. La FIDO Alliance travaille sur un protocole dédié à la portabilité entre gestionnaires, le Credential Exchange Protocol, mais celui-ci n'est pas encore généralisé. En attendant, l'utilisateur souhaitant garder le contrôle de ses passkeys en dehors d'Apple ou Google doit faire un choix de gestionnaire et s'y tenir. Et autant choisir une solution véritablement multiplateforme, du moins si vous voulez pouvoir utiliser sereinement une clé d'accès créée sur iPhone depuis Firefox sur Windows.

Bitwarden
  • moodVersion gratuite limitée
  • databaseStockage illimité
  • browse_activityNotification de fuite
  • lockChiffrement AES-256
8.5 / 10
Lire le test complet sur Bitwarden
Essayer Bitwarden maintenant !

Vos clés sont chez Apple ou Google : quels risques ?

Lorsque vos passkeys sont synchronisés sur iCloud, Apple ne stocke pas votre clé privée "en clair". Elle est chiffrée de bout en bout dans iCloud Keychain. Techniquement, Apple n'y a pas accès. Il n'en reste pas moins que c'est Apple qui contrôle l'infrastructure de synchronisation. Or, c'est aussi Apple qui contrôle votre identifiant Apple.

Si votre identifiant Apple est suspendu, pour une raison liée aux conditions d'utilisation, une fraude détectée, ou une erreur du système de détection, vous perdez l'accès à votre compte. Vous n'aurez donc plus accès au service iCloud Keychain stockant toutes les clés synchronisées. Vous ne serez donc plus en mesure de vous identifier sur vos différents comptes. Évidemment, il en va de même si vos passkeys sont hébergés chez Google ou Microsoft. Et au passage, il est donc aussi important de penser à exporter ses clés d'accès vers un gestionnaire tiers avant de fermer un compte.

En résistant au phishing et en simplifiant l'authentification, les passkeys sont une vraie avancée dans le domaine de la sécurité. Mais en choisissant de les synchroniser, l'utilisateur met donc, en quelque sorte, tous ses œufs dans le même panier et crée une nouvelle dépendance. Et cela ne vous aura pas échappé : l'identité numérique de l'internaute se retrouve le plus souvent dans les mains d'une entreprise américaine, soumise au droit américain.

En attendant une meilleure portabilité, on conseille donc d'utiliser un gestionnaire tiers comme 1Password ou Bitwarden, lesquels stockent les passkeys indépendamment d'iCloud ou de Google. Cela règle la dépendance à un écosystème. Ça ne règle pas encore entièrement la dépendance au gestionnaire lui-même, même si le Credential Exchange Protocol de la FIDO Alliance commence à changer la donne. Bitwarden est le premier gestionnaire tiers à le prendre en charge, suivi par 1Password et Dashlane, mais uniquement sur iOS pour l'instant. Transférer ses passkeys d'un gestionnaire à un autre de manière chiffrée et standardisée est donc déjà possible dans certains cas. Reste à savoir quand le protocole sera généralisé.