AIO APEX
Software & Apps

Les passkeys remplacent les mots de passe — où en sommes-nous vraiment ?

Partager:
Les passkeys remplacent les mots de passe — où en sommes-nous vraiment ?

Comment fonctionnent les passkeys

Un passkey est un identifiant cryptographique basé sur les normes WebAuthn / FIDO2. Lors de l'enregistrement, votre appareil génère une paire de clés publique-privée. La clé privée ne quitte jamais votre appareil ; le serveur ne stocke que la clé publique. Lors de l'authentification, l'appareil signe un défi avec la clé privée, et le serveur vérifie la signature avec la clé publique.

Comme l'identifiant est lié à une origine — cryptographiquement attaché à un domaine spécifique — un site de phishing ne peut jamais récolter un passkey. Même si un attaquant vous trompe en vous faisant visiter paypa1.com, le passkey pour paypal.com n'y fonctionnera tout simplement pas. Cette immunité au phishing est le plus grand bond en matière de sécurité offert par les passkeys par rapport aux mots de passe ou aux SMS OTP.

Chiffres d'adoption

Google a annoncé avoir dépassé 800 millions d'authentifications par passkey par mois fin 2025, sur plus de 400 millions de comptes. La liste des services compatibles de la FIDO Alliance a dépassé 300 grandes plateformes. Microsoft indique que plus de 99 % de ses connexions grand public sont désormais sans mot de passe (une catégorie plus large incluant les passkeys et Windows Hello).

Quels services prennent en charge les passkeys

  • Google — les passkeys sont la méthode de connexion par défaut pour les comptes personnels
  • Apple — pris en charge sur toutes les connexions Apple ID ; iCloud Keychain synchronise entre les appareils
  • Microsoft — Windows Hello et l'application Authenticator sur les comptes personnels et gérés par Entra
  • GitHub — passkeys disponibles pour tous les types de comptes depuis 2023
  • PayPal — passkeys aux États-Unis et en expansion mondiale
  • eBay — déploiement du support des passkeys en 2024
  • Shopify — flux de passkeys pour les marchands et les acheteurs en ligne
  • WhatsApp — passkeys sur Android et iOS

Synchronisation entre appareils

Les passkeys sont plus pratiques lorsqu'ils sont synchronisés entre vos appareils. Trois grands écosystèmes gèrent cela aujourd'hui :

  • Apple Keychain — les passkeys sont synchronisés de bout en bout chiffrés entre iPhone, iPad et Mac via iCloud
  • Google Password Manager — les passkeys sont synchronisés entre Android et Chrome sur n'importe quel OS
  • 1Password & Dashlane — gestionnaires tiers qui fonctionnent multiplateforme et permettent aux équipes professionnelles de partager des passkeys

Frictions multiplateformes

Le point le plus rugueux en 2026 est l'authentification inter-écosystèmes. Si votre passkey se trouve dans Apple Keychain et que vous devez vous connecter sur un PC Windows, vous devez utiliser le flux hybride QR code + Bluetooth : le PC affiche un QR code, vous le scannez avec votre iPhone, et la proximité Bluetooth confirme votre présence physique. Cela fonctionne, mais c'est suffisamment déroutant pour que de nombreux utilisateurs abandonnent et reviennent à un mot de passe.

Des progrès arrivent. Le Credential Exchange Protocol (CXP) de la FIDO Alliance, finalisé en 2025, permet aux utilisateurs d'exporter des passkeys d'un gestionnaire et de les importer dans un autre — mettant fin au verrouillage fournisseur une fois que les gestionnaires déploieront la fonctionnalité.

Entreprise : Okta et Microsoft Entra

Les entreprises adoptent les passkeys via des fournisseurs d'identité. Okta prend en charge les passkeys FIDO2 dans son Workforce Identity Cloud, et l'authentification multifacteur résistante au phishing est désormais une case à cocher de conformité pour les sous-traitants fédéraux américains. Microsoft Entra (anciennement Azure AD) prend en charge les clés de sécurité matérielles et les passkeys liés à l'appareil via Windows Hello for Business, avec des passkeys synchronisés sur la feuille de route.

Perte d'appareil et récupération

La plus grande question d'utilisabilité : que se passe-t-il si vous perdez votre téléphone ? Comme les passkeys synchronisés existent dans le cloud (chiffrés), leur récupération est liée à votre flux de récupération de compte cloud — contacts de récupération Apple ID, email/téléphone de récupération de compte Google. Pour les passkeys liés à l'appareil (comme une clé matérielle FIDO2), vous devez enregistrer au moins deux clés et en stocker une hors site. La plupart des services maintiennent également un code de récupération de secours ou un flux par email, bien que ceux-ci réintroduisent une surface de phishing.

Pourquoi les SMS OTP persistent

Malgré les avantages des passkeys, les SMS OTP restent répandus car ils ne nécessitent aucune configuration côté client, fonctionnent sur n'importe quel téléphone et sont familiers à des milliards d'utilisateurs. Les attaques par échange de SIM sont réelles mais rares par rapport au credential stuffing. Les secteurs réglementés (banque, santé) sont également confrontés à des exigences de conformité rédigées autour des OTP. Attendez-vous à ce que les SMS OTP disparaissent lentement au cours des cinq prochaines années à mesure que l'expérience utilisateur des passkeys mûrit, et non du jour au lendemain.

Aperçu de l'API WebAuthn pour développeurs

Ajouter le support des passkeys nécessite deux flux : l'enregistrement et l'authentification.

Enregistrement :

const credential = await navigator.credentials.create({
  publicKey: {
    challenge: serverChallenge,
    rp: { name: "My App", id: "myapp.com" },
    user: { id: userId, name: userEmail, displayName: userName },
    pubKeyCredParams: [{ type: "public-key", alg: -7 }],
    authenticatorSelection: { residentKey: "required" }
  }
});

Authentification :

const assertion = await navigator.credentials.get({
  publicKey: { challenge: serverChallenge, rpId: "myapp.com" }
});

Côté serveur, des bibliothèques comme SimpleWebAuthn (Node.js), py_webauthn (Python) et webauthn4j (Java) gèrent la vérification cryptographique. Les passkeys qui utilisent residentKey: required sont stockés sur l'authentificateur et permettent une connexion entièrement sans mot de passe et sans nom d'utilisateur.

Points à retenir

  • Utilisateurs : Activez les passkeys sur Google, Apple ID et GitHub dès aujourd'hui. Utilisez 1Password ou Dashlane si vous avez besoin de flexibilité multiplateforme.
  • Développeurs : Ajoutez l'enregistrement WebAuthn à côté de votre connexion existante. L'API du navigateur est stable ; utilisez une bibliothèque serveur. Prenez en charge à la fois les identifiants synchronisés et liés à l'appareil.
  • Entreprises : Exigez une authentification multifacteur résistante au phishing (passkey ou clé matérielle) pour les accès privilégiés. Okta et Entra prennent tous deux en charge cela dès maintenant.
  • Tout le monde : Gardez une méthode de récupération de secours. Les passkeys ne sont pas une raison pour sauter la configuration de la récupération de compte.

L'ère des mots de passe n'est pas terminée — 300 plateformes sur des millions signifie que la plupart des boîtes de connexion attendent encore une chaîne de caractères. Mais l'infrastructure est en place, l'expérience utilisateur s'améliore et le cas de sécurité est écrasant. La question n'est plus de savoir si les passkeys remplaceront les mots de passe, mais à quelle vitesse.

passkeysauthenticationsecurityFIDO2WebAuthnpasswords
Partager:
Les passkeys remplacent les mots de passe — où en sommes-nous vraiment ? | AIO APEX