Les passkeys sont prêtes pour le grand public, mais la récupération est désormais la partie difficile
Pendant longtemps, les passkeys ont semblé être l'une de ces idées de sécurité que tout le monde s'accordait à trouver meilleures en théorie qu'en pratique. Les mots de passe étaient faibles, une authentification résistante au phishing était cruellement nécessaire, et l'écosystème FIDO semblait techniquement solide, pourtant l'adoption restait inégale. Cette étape touche à sa fin. La question centrale du déploiement pour 2026 n'est plus de savoir si les passkeys sont prêtes. Il s'agit de savoir si les produits et les entreprises peuvent gérer la récupération suffisamment bien pour permettre aux utilisateurs d'en dépendre.
C'est un changement plus important qu'il n'y paraît. Les systèmes de sécurité ne deviennent grand public que lorsqu'ils fonctionnent sous contrainte. Créer une passkey sur un nouvel iPhone ou un nouvel ordinateur portable n'est pas le véritable test. Le véritable test est ce qui se passe lorsque l'utilisateur perd un appareil, change de plateforme, oublie le compte qu'il a enregistré, ou se tourne vers le support client dans un moment de panique. La récupération est l'endroit où une authentification forte redevient souvent faible.
Pourquoi les passkeys prennent enfin de l'ampleur
La technologie de base est bien plus saine qu'elle ne l'était il y a encore deux ans. Le support des plateformes est large. Le support des navigateurs est large. Les principaux services grand public proposent désormais des passkeys, et les équipes d'identité d'entreprise disposent de meilleures options de fournisseurs pour les déployer au sein des piles existantes. FIDO a également effectué le difficile travail de normalisation nécessaire pour que les passkeys ressemblent moins à un ajout de niche et davantage à un modèle d'authentification durable.
L'attrait est évident. Les passkeys remplacent les secrets partagés par la cryptographie à clé publique, ce qui réduit considérablement les risques de phishing, de credential stuffing et les problèmes de réutilisation des mots de passe. Elles peuvent également être plus rapides et moins frustrantes pour les utilisateurs ordinaires lorsqu'elles sont implémentées proprement. En matière de sécurité, cette combinaison est rare. Une meilleure défense s'accompagne généralement de plus de friction. Les passkeys promettent le contraire, du moins dans le scénario idéal.
Le scénario idéal ne suffit pas
Le problème est que les systèmes d'authentification sont jugés par leurs cas limites. Une expérience de connexion peut être élégante 95 % du temps et pourtant créer un risque sérieux si les 5 % restants dirigent les utilisateurs vers des canaux de secours faibles. C'est précisément pourquoi la conception de la récupération mérite désormais plus d'attention que l'enregistrement des passkeys.
Si un produit se dit sans mot de passe mais permet à quiconque de retrouver l'accès via une réinitialisation d'e-mail fragile ou un flux SMS mal protégé, il a peut-être simplement déplacé la surface d'attaque plutôt que de la réduire. Il en va de même pour les scripts de récupération du service d'assistance qui peuvent être manipulés par ingénierie sociale, ou les étapes de vérification d'identité qui sont trop faibles pour la valeur du compte protégé. Les équipes de sécurité ne peuvent pas se permettre de célébrer l'adoption des passkeys tout en ignorant la qualité de la porte de sortie.
La récupération est un problème de conception de produit autant qu'un problème de sécurité
Ce qui rend cela difficile, c'est que la récupération n'est pas résolue par une règle universelle. Une application d'achat grand public, un portail bancaire professionnel et un tableau de bord d'entreprise interne n'ont pas besoin du même modèle de récupération. La bonne conception dépend de la valeur du compte, de l'exposition réglementaire, de la capacité de support et de la probabilité que les utilisateurs changent ou perdent des appareils.
C'est pourquoi de nombreuses équipes d'identité s'orientent vers une récupération en couches plutôt qu'une seule méthode de secours. Les passkeys synchronisées aident beaucoup car elles réduisent le nombre d'événements de verrouillage réels en premier lieu. Les appareils secondaires sont importants. Les codes de récupération sont toujours importants dans certains contextes. Les flux identifier-first deviennent plus courants car ils permettent à un service de déterminer si une passkey est disponible avant de forcer l'utilisateur à suivre un chemin déroutant. Les environnements à risque plus élevé peuvent ajouter des vérifications de documents, une vérification de la vivacité ou un examen humain. Aucune de ces solutions n'est élégante, mais l'élégance n'est pas le seul objectif.
L'angle entreprise est particulièrement délicat
L'adoption des passkeys en entreprise devrait continuer de croître car les avantages économiques sont solides. L'authentification résistante au phishing devient une exigence de base plus réaliste. Le coût de la réinitialisation des mots de passe est élevé. La pression de la conformité ne cesse d'augmenter. Mais les environnements d'entreprise ont une complication que les applications grand public n'ont pas : les employés changent constamment d'appareils, de rôles et de domaines de contrôle.
Une entreprise peut standardiser les passkeys et pourtant faire face à de graves problèmes de récupération lorsqu'un ordinateur portable est remplacé, qu'un contractuel quitte l'entreprise, qu'un téléphone est effacé, ou qu'un utilisateur a enregistré une authentification sur un appareil que l'entreprise ne gère plus. Cela signifie que les plans de déploiement en entreprise doivent intégrer une réflexion sur le cycle de vie dès le premier jour. Le remplacement d'appareils, la récupération par l'administrateur, l'accès break-glass et le déprovisionnement doivent être conçus ensemble. Sinon, l'organisation finit par résoudre chaque exception par une improvisation non sécurisée.
Pourquoi c'est toujours une bonne nouvelle pour la sécurité
Rien de tout cela ne doit être interprété comme une raison de ralentir le déploiement des passkeys. C'est le contraire. Le fait que la conversation soit passée de la validité cryptographique à la récupération opérationnelle est un signe de maturité. Les mots de passe ont habitué l'industrie à accepter une mauvaise sécurité au nom de la commodité. Les passkeys créent une opportunité de reconstruire ce compromis sur de meilleures bases.
Mais cela ne fonctionne que si les équipes résistent à la tentation de greffer les passkeys sur un ancien modèle d'identité sans revoir le flux de travail environnant. La récupération, le support, la portabilité des appareils et la qualité de l'enregistrement nécessitent tous une conception de premier ordre. Les améliorations de sécurité échouent étonnamment souvent non pas parce que la technologie de base est faible, mais parce que les décisions produit environnantes réintroduisent discrètement le problème original.
Ce que les équipes devraient faire maintenant
La prochaine étape pratique est simple. Auditez l'ensemble du cycle de vie de la connexion, pas seulement l'écran de connexion principal. Mesurez comment les utilisateurs récupèrent l'accès. Testez les flux de support contre les scénarios d'ingénierie sociale. Distinguez les comptes de faible valeur des comptes de grande valeur. Décidez si les passkeys synchronisées, les codes de récupération, la réauthentification par appareil de confiance ou des vérifications d'identité plus solides conviennent à chaque niveau de risque. Ensuite, supprimez les chemins de secours qui n'existent que parce qu'ils sont familiers.
Cette dernière étape est inconfortable, mais nécessaire. Chaque système d'authentification révèle finalement ce en quoi il a vraiment confiance. Les systèmes de l'ère des mots de passe disaient qu'ils faisaient confiance à la possession d'une boîte de réception e-mail ou d'un numéro de téléphone. Les systèmes modernes doivent faire mieux que cela.
Les passkeys sont enfin sur le point de devenir ordinaires, et c'est une véritable étape de sécurité. La prochaine étape est de s'assurer que le chemin de retour vers un compte est digne de la porte d'entrée. C'est là que se situe désormais la bataille du grand public.