Les fuites massives d’identifiants ne sont plus des cas isolés. Avec plus de 16 milliards de comptes récemment compromis, la fragilité du mot de passe s’impose comme une évidence. Ce système, omniprésent depuis des décennies, repose sur un secret facile à voler, réutiliser ou deviner. Face à ces failles structurelles, une alternative plus sûre et plus simple gagne du terrain : les passkeys.
Fondées sur la cryptographie asymétrique, elles permettent de s’authentifier sans retenir de mot de passe ni dépendre d’un service tiers.
Contrairement aux identifiants classiques, les passkeys s’appuient sur une paire de clés cryptographiques, stockée localement et jamais transmise telle quelle. Navigateur, service en ligne et appareil personnel coopèrent pour valider l’accès sans exposer de donnée sensible. Résultat : aucune saisie, aucun secret à mémoriser, aucun mot de passe à voler. Dans les paragraphes qui suivent, nous verrons pourquoi le modèle actuel montre ses limites, comment fonctionnent les passkeys, et comment les activer dès aujourd’hui sur Android, iPhone, Windows, macOS ou via des services comme Google et Microsoft.
Une crise de confiance dans les mots de passe
Les internautes jonglent en moyenne avec plus de cent comptes, et seuls les plus assidus utilisent un gestionnaire de mot de passe fiable. Dans la pratique, beaucoup recyclent la même chaîne de caractères, ou s’appuient sur une variante facile à deviner. Cette routine ouvre la porte au credential stuffing, une attaque automatisée qui teste vos anciennes informations de connexion sur d’autres sites ; elle explique pourquoi une fuite isolée provoque souvent une onde de choc mondiale. Lorsque 16 milliards de couples courriel-mot de passe se baladent librement, aucun algorithme de complexité ne suffit.
Les solutions de contournement se sont accumulées : obligation de longueur minimale, mélange de symboles, renouvellement périodique, puis ajout d’une authentification multifacteur. Tout cela a amélioré la sécurité, mais au prix d’une expérience utilisateur de plus en plus lourde. Dans le même temps, le phishing évolue ; une page clone trompe parfois même les plus aguerris, et capte le deuxième facteur à l’aide de proxys malveillants. La méthode classique atteint la saturation : trop fragile, trop contraignante, trop coûteuse pour les entreprises qui supportent l’assistance.
La FIDO Alliance, consortium réunissant Apple, Google, Microsoft, mais aussi des acteurs comme Okta ou Yubico, a voulu repenser la base. L’idée : déplacer le secret sur l’appareil de l’utilisateur et s’appuyer sur des primitives cryptographiques éprouvées. Les spécifications WebAuthn et CTAP sont nées, ouvrant la voie aux passkeys.
Passkeys, qu'est-ce que c'est ?
Une passkey est une paire de clés : la clé publique s’enregistre chez le service, la clé privée reste confinée dans un module sécurisé de l’appareil : Secure Enclave pour un iPhone, Titan M sur un téléphone Android récent, TPM 2.0 sur un ordinateur Windows. Au moment de la connexion, le serveur provoque une signature ; si celle-ci est valide et associée à votre clé publique, l’accès est accordé. Aucun mot de passe ni code 6 chiffres ne circule.
Le protocole met à profit l’authentification utilisateur locale : un scan d’empreinte, un visage reconnu par Face ID, ou un simple code de déverrouillage suffisent à libérer la clé privée le temps de la signature. L’ergonomie se rapproche du déverrouillage d’un téléphone, un geste déjà intégré par la majorité des utilisateurs.
Techniquement, les passkeys exploitent les mêmes fondations que les clés FIDO 2 physiques, mais en version logicielle et synchronisée. Sur iOS, iPadOS et macOS, elles voyagent via le Trousseau iCloud. Sur Android 14, elles se synchronisent par Google Password Manager, tandis que Windows 11 conserve les siennes dans le gestionnaire d’identifiants et peut les partager par QR Code. Le résultat : vous générez une fois, vous retrouvez la passkey sur chaque appareil lié au même compte, sans export manuel.
Contrairement aux mots de passe, une passkey est unique pour chaque site. Un service compromis ne compromet pas les autres. Elle résiste également au phishing : l’URL du site est incluse dans le défi cryptographique, un clone hébergé ailleurs échoue donc à récupérer une signature valide. Enfin, comme le serveur ne stocke qu’une clé publique, même une fuite interne ne donne rien d’exploitable.
Déployer les passkeys sur vos appareils et services
La théorie séduit, passons à la pratique. Premièrement, assurez-vous que vos systèmes sont à jour : Android 14 ou supérieur, iOS 17, iPadOS 17, macOS Sonoma, Windows 11 23H2, ou une distribution Linux avec un navigateur moderne (Chrome 125, Safari 18, Firefox 124 ou Edge 125). Les versions antérieures prennent parfois en charge FIDO 2, mais la synchronisation des clés reste partielle.
Sur un compte Google, ouvrez la page « Sécurité », cherchez la rubrique « Passkeys » puis sélectionnez « Créer une passkey ». Le navigateur déclenche le volet natif : confirmez avec votre empreinte ou le code de l’appareil, la passkey s’enregistre. Dès la tentative suivante, la boîte de dialogue proposera automatiquement cette méthode. Saisissez-vous simplement du téléphone, confirmez, et la session s’ouvre.
Pour Apple ID, placez-vous dans les paramètres iCloud, section « Mot de passe et sécurité », puis « Passkeys ». Ici encore, la création ne dure qu’un instant ; la clé circule ensuite entre l’iPhone, l’iPad et le Mac reliés au même identifiant. Si vous utilisez Safari, le navigateur détecte un site compatible et suggère la nouvelle « clé d’accès ».
Sous Windows 11, dirigez-vous vers Paramètres, Comptes, Options de connexion. Activez Windows Hello, puis ajoutez une passkey lorsque le service en ligne le propose. La clé est conservée dans le TPM ; pour l’utiliser depuis un autre appareil, montrez le QR Code affiché par Windows Hello et confirmez sur votre smartphone.
Pour les comptes professionnels appuyés sur Okta ou Microsoft Entra ID, l’administrateur doit autoriser la méthode FIDO 2 dans la console. Ensuite, l’utilisateur final s’enregistre en scannant un QR Code ou en connectant une clé physique si l’entreprise préfère un facteur non synchronisé.
Que faire si un site ne prend pas encore en charge les passkeys ? Conservez le mot de passe mais activez, lorsque c’est disponible, l’option « Connexion par passkey » en avant-première. Amazon, GitHub, WhatsApp Web, PayPal et tout récemment Facebook, figurent déjà dans la liste croissante des services compatibles. Les gestionnaires comme 1Password, Dashlane ou Bitwarden savent générer et stocker ces clés, offrant une couche supplémentaire de mobilité pour qui change souvent de plateforme.
Passkeys : quelles limitations ?
Le principal obstacle sur le chemin de la popularisation des passkeys réside dans la difficulté potentielle d'effectuer simplement un changement d'appareil. Ainsi, puisque la partie privée de la clé est stockée localement sur un smartphone, un pc ou une tablette, alors son transfert sur un autre appareil peut s'avérer compliqué. Heureusement, il est possible de synchroniser des clés d'accès lorsque l'on reste au sein du même écosystème, en passant par le trousseau d'iCloud par exemple. En revanche, lorsqu'il s'agit de passer d'un appareil Android à un iPhone par exemple, la transition risque d'être difficile, puisqu'il n'existe pas à l'heure actuelle de solution native efficace et simple pour que les passkeys générés depuis un PC Windows soient transférées vers un appareil Android par exemple.
Actuellement, une procédure manuelle a été mise en place afin de permettre une telle démarche, mais elle s'avère particulièrement rébarbative et ennuyeuse à effectuer. Nul doute que dans le domaine, les passkeys devront s'améliorer pour se démocratiser encore plus, même si les limitations restent relativement mineures si l'on possède de nombreux appareils issus d'un même écosystème.
Côté sécurité, les clés de passe ne sont pas infaillibles, même si elles opèrent un changement largement supérieur au système de mots de passe actuel. Il n'existe en effet jamais réellement de solution parfaite dans le domaine de la sécurité, mais avec les passkeys, il sera désormais nécessaire pour les pirates d'infiltrer un appareil directement pour obtenir la clé privée, ce qui s'avère beaucoup plus difficile que la récupération d'un mot de passe.
Malgré tout, certains enjeux sont encore restés sans réponse : comment peut-on synchroniser des clés entre les appareils d'une même personne s'ils ne bénéficient pas du même écosystème ? Comment changer une passkey pour obtenir un nouveau code ? Ces questions devraient bénéficier d'une réponse claire dans les prochains mois, mais le stade balbutiant de la technologie peut potentiellement freiner de nombreux utilisateurs lambda, il est donc important de la part des membres de l'alliance FIDO d'offrir un message clair quant à cette nouvelle méthode d'authentification, qui risque de bousculer les habitudes.
Apple, Google, TikTok… De plus en plus d'acteurs majeurs se lancent dans la technologie Passkeys
Apple, l'initiateur
Le premier acteur d'envergure à se lancer dans les Passkeys est Apple. Le membre de l'alliance FIDO a introduit la technologie en 2022 sur ses systèmes d'exploitation iOS, MacOS et iPadOS. Cette première démonstration a été largement scrutée par les concurrents, et a dans l'ensemble globalement démontré les principaux avantages de la technologie, témoignant d'une viabilité réelle du système.
Ainsi, lors de sa keynote à la WWDC 2022, Apple a posé les bases du service, en le liant directement à Touch ID et Face ID comme liens d'accès. Lorsqu'un utilisateur emploie une application ou un site web qui prend en charge les clés Apple Passkeys, il est donc désormais possible de se connecter à ces plateformes en utilisant simplement la reconnaissance faciale ou digitale. Par ailleurs, les passkeys peuvent être sauvegardées dans le trousseau iCloud, et fonctionnent directement avec un chiffrement de bout en bout sur Mac, iPhone, iPad et Apple TV.
Avec ce premier coup d'essai, Apple a lancé la tendance auprès des autres acteurs majeurs du numérique, certains desquels n'ont pas tardé à rejoindre le train en route comme Google.
Google entre dans la danse
Après Apple, Google annonce la prise en charge des passkeys en 2022 pour les appareils sous Android. Ainsi, il est désormais possible de se créer une passkey en passant par le site myaccount.google.com, en se rendant sur l'onglet "Sécurité", puis sur la section "Clés d'accès" accessible sous l'onglet "Comment vous connecter à Google". Puis, en suivant les étapes mentionnées par Google, il devient désormais possible d'activer des passkeys en tant que couche supplémentaire de sécurité sur le compte Google.
Microsoft pas en reste
Microsoft se lance dans les passkeys par plusieurs fronts : d'abord via Github, qui a lancé la connexion sans mot de passe (et par clé d'accès) dès juin 2023, avec un retour globalement positif. Par ailleurs, au cours du même mois, Microsoft a introduit dans la dernière version de Windows 11 (Insider Preview Build) l'identification sans mot de passe, permettant aux utilisateurs de se connecter à leurs comptes par l'utilisation de passkeys et de Windows Hello. Plus récemment, la firme de Redmond a même mené la charge en faisant des passkeys la nouvelle méthode d'authentification par défaut sur ses différents services.
TikTok, le dernier acteur en date
Le réseau social du divertissement vidéo TikTok a suivi l'impulsion de Google en juillet 2023 : d'abord sur iOS, et seulement dans quelques territoires (Asie, Australie, Afrique et Amérique du Sud), il est désormais possible d'employer des clés d'accès ou passkeys pour se connecter à TikTok. Pour les utilisateurs Android et dans le reste du monde, il faut encore patienter avant de pouvoir accéder à ce service d'authentification. Il est par ailleurs important de noter que, pour l'occasion, Tiktok a rejoint l'alliance FIDO, rejoignant ainsi Apple, Microsoft ou Google dans le domaine.
Passkey : une alternative qui a de l'avenir ?
Face aux mécaniques de plus en plus contestées des mots de passe, qu'il s'agisse de leur sécurité parfois douteuse ou de leur manque de praticité, la promesse des Passkeys s'avère particulièrement intéressante pour quiconque possède de nombreux comptes en ligne. Mais, comme pour toute nouveauté d'envergure dans le monde numérique, un projet de cette ampleur ne peut être véritablement efficace et accepté par le plus grand nombre s'il n'est pas adoubé par les grands noms d'internet. Ainsi, si l'on considère l'intérêt indéniable porté par des acteurs tels qu'Amazon, Facebook (Meta), Google, Apple, Microsoft, Netflix, Paypal, Qualcomm, Visa ou Samsung, nul doute que les passkeys devraient s'imposer à l'avenir. Reste à savoir si les mots de passe sont amenés à survivre à cette implémentation, ou si les passkeys s'imposeront comme la norme de sécurité dans le cadre d'une authentification sur une plateforme.
Il y a encore quelques mois, seuls les appareils Apple étaient concernés par cette technologie. Désormais, avec la prise en charge de la technologie par Google, il est également possible d'employer des clés de passe sur Android également (à condition de posséder une version d'Android supérieure à 9.0). Autrement dit, l'implémentation de la technologie à grande échelle a déjà débuté, et les chances pour qu'il s'agisse du nouveau standard dans les années à venir sont désormais assez énormes.
Cependant, les mots de passe ont encore de beaux jours devant eux : une longue période de transition devrait prendre place pour plusieurs raisons. D'abord, il faut laisser le temps aux utilisateurs de se faire à l'idée et de constater par eux-mêmes les avantages et inconvénients du système. Par ailleurs, les services web et applications vont également devoir s'adapter à cette nouvelle solution et revoir complètement leur processus d'authentification, ce qui peut prendre un certain temps. Si dans l'ensemble, les passkeys s'avèrent être une alternative plus rapide, pratique et sécurisée aux mots de passe, il va cependant falloir prendre son mal en patience pour les voir dominer le monde numérique.
