Il fut un temps où se connecter à un site ou une application était simple comme bonjour. Une seule combinaison d'identifiant et de mot de passe, et le tour était joué. Mais l'époque des "password123" est révolue. Aujourd'hui, les bonnes pratiques nous poussent à utiliser des mots de passe uniques, complexes, gérés par un gestionnaire et doublés d'une authentification à deux facteurs. Et voilà que débarque une méthode encore plus mystérieuse : les passkeys. L'objectif affiché ? Simplifier la sécurité des connexions. Pourtant, elles sèment aussi pas mal de confusion. Une passkey permet de se connecter à un compte simplement en s'authentifiant sur un appareil via une empreinte digitale, un scan facial, ou même un code PIN. C'est un peu comme passer directement à la deuxième étape de la double authentification, en confirmant que vous avez déjà déverrouillé un appareil approuvé. On vous explique comment ça fonctionne, et comment les adopter

Pourquoi les passkeys sont-elles plus sûres que vos mots de passe ?

L'idée derrière les passkeys, c'est que les mots de passe sont, par nature, vulnérables. Ce sont des codes basés sur du texte, que l'on tape ou stocke, et qui peuvent donc être interceptés, devinés, ou récupérés lors d'une fuite de données. Avec une passkey, cette variable risquée disparaît. Vous vous connectez uniquement parce que vous avez déjà déverrouillé votre téléphone ou votre ordinateur, idéalement avec une authentification biométrique (empreinte, visage), mais au minimum avec un code PIN ou un schéma. Vous avez ainsi déjà prouvé qui vous êtes. Et vous configurez une passkey différente pour chaque site ou service, ce qui élimine la possibilité de réutiliser les mêmes identifiants. De plus, vous avez personnellement cet appareil en main. Cela signifie qu'un pirate ne pourrait pas déverrouiller le code et se faire passer pour vous sans s'emparer physiquement de votre appareil et passer son écran de verrouillage. Une avancée majeure pour la sécurité.

Passkeys Apple

Où sont stockées les passkeys et comment sont-elles protégées ?

La magie des passkeys réside dans leur mode de stockage et de fonctionnement, basé sur une technique cryptographique avancée appelée cryptographie à clé publique. C'est un peu complexe, mais voici l'essentiel, expliqué simplement : Quand vous créez une passkey pour un site, deux "clés" numériques sont générées. Une clé publique : Celle-ci est envoyée au site web ou au service où vous voulez vous connecter. Elle est publique, comme son nom l'indique, et ne peut pas être utilisée pour vous pirater.

La clé privée, elle, est la plus importante ! Elle est stockée de manière sécurisée et unique sur votre appareil local (smartphone, tablette, ordinateur). Personne d'autre n'y a accès. Cette clé privée n'est pas juste un fichier sur votre disque dur. Elle est protégée par les éléments matériels sécurisés de votre appareil. C'est une sorte de "coffre-fort numérique" intégré à votre téléphone ou ordinateur, conçu pour protéger les données les plus sensibles. Sur Android, c'est géré par le système, et sur iOS par le Trousseau iCloud (iCloud Keychain).

windows-hello-passkey-w11

La clé privée est chiffrée. Elle reste illisible et inutilisable tant que vous n'avez pas vous-même déverrouillé votre appareil (avec votre empreinte, votre visage ou votre PIN). Même si un pirate accède physiquement à votre appareil, il ne peut pas utiliser la passkey sans cette authentification de votre part. Lors d'une connexion, la passkey elle-même n'est jamais envoyée au site. Votre appareil utilise la clé privée pour "signer" une requête de connexion, et le site vérifie cette signature avec votre clé publique. C'est comme une poignée de main secrète : le site sait que c'est vous, sans jamais voir votre main (la clé privée).

Pour éviter de perdre toutes vos passkeys si vous perdez votre appareil, la plupart des systèmes (comme Google Password Manager ou le Trousseau iCloud) synchronisent les données de vos passkeys chiffrées sur le cloud. Mais attention, elles sont toujours chiffrées et inutilisables sans votre appareil authentifié. Si vous changez de téléphone, il vous suffit de vous connecter à votre compte Google ou Apple pour que vos passkeys soient restaurées sur le nouvel appareil, toujours sous votre contrôle biométrique. En somme, votre passkey privée est un secret bien gardé, enfermé dans votre appareil et protégé par vos données biométriques. Elle ne quitte jamais votre appareil sous une forme utilisable, ce qui la rend bien plus résistante aux attaques de type force brute et aux fuites de données que les mots de passe traditionnels. C'est une nouvelle ère pour l'authentification, bien plus sécurisée et fiable.

amazon-passkeys

La double authentification (2FA) est-elle toujours utile avec les passkeys ?

La double authentification reste absolument conseillée dans tout scénario de connexion traditionnel. Mais avec une passkey, la donne change radicalement : la 2FA n'est tout simplement plus nécessaire. Pourquoi ? Parce que la première étape (le mot de passe) n'est plus pertinente, et le "deuxième facteur" (la passkey elle-même) est déjà intégré et présent dans le processus de connexion. C'est une simplification majeure pour l'utilisateur, sans compromis sur la sécurité. Cela fluidifie l'expérience de connexion au quotidien.
Il est bon de considérer que la double authentification propose une couche de protection supplémentaire, néanmoins cela ne saurait durer compte tenu des avancées des pirates qui parviennent désormais à intercepter les codes d'authentification... Ce qui n'est pas possible avec l'usage du Passkey.

amazon-passkey

Que se passe-t-il si je perds ou change d'appareil où une passkey est stockée ?

Si vous perdez l'appareil où une passkey est stockée, la première chose à savoir est que votre appareil est déjà protégé par un écran de verrouillage qui nécessite votre authentification. Personne d'autre ne devrait donc pouvoir y accéder. Et bien sûr, si jamais vous perdez un appareil, il est fortement recommandé d'utiliser les systèmes de réinitialisation à distance pour effacer toutes les données et éliminer tout risque (même théorique).
Dans la plupart des situations, la passkey sous-jacente (et chiffrée) est synchronisée en toute sécurité avec un service lié à un compte que vous possédez (comme Google Password Manager ou iCloud Keychain). Ces données ne sont pas directement utilisables ou accessibles dans ces services, mais elles sont disponibles pour être synchronisées sur un appareil sécurisé une fois que vous êtes connecté et authentifié. Cela signifie que si vous changez d'appareil, il vous suffit de vous reconnecter au service approprié pour accéder à vos passkeys dans ce nouvel environnement. La plupart des services permettent aussi de créer et gérer plusieurs passkeys sur plusieurs appareils. Et en dernier recours, la plupart des services autorisent toujours une connexion avec votre mot de passe traditionnel, comme solution de secours.

Passkey

Puis-je avoir plusieurs passkeys pour un même site ?

Oui, généralement, c'est tout à fait possible ! Cela dépendra du dispositif ou du service spécifique que vous utilisez pour créer et stocker vos passkeys. Par exemple, avec votre compte Google, vous pouvez créer autant de passkeys que vous le souhaitez sur plusieurs appareils sécurisés. Cela vous assure d'avoir toujours des options de connexion disponibles, même si un de vos appareils est indisponible.

Comment adopter les passkeys ?

Adopter une passkey, c'est bien plus simple qu'il n'y paraît, même si le concept peut sembler complexe au premier abord. Concrètement, le processus commence sur un site ou une application compatible. Au lieu de créer un nouveau mot de passe lors d'une inscription ou d'une mise à jour de vos options de sécurité, on vous proposera de configurer une passkey.
Votre appareil (smartphone, tablette ou ordinateur) va alors générer cette clé unique, que vous confirmerez par votre empreinte digitale, un scan facial, ou votre code PIN de déverrouillage de l'appareil. Une fois configurée, cette passkey est liée à votre compte sur ce service précis. Pour toutes vos connexions futures, il suffira simplement de déverrouiller votre appareil comme d'habitude. Plus besoin de taper quoi que ce soit, la connexion est instantanée et ultra-sécurisée. La transition vers cette nouvelle méthode d'authentification se veut progressive et intuitive pour les utilisateurs.

compte-google-passkey

Où les Passkeys sont-elles déjà adoptées ?

De plus en plus de grands noms de la tech et des services en ligne ont déjà franchi le pas des passkeys, ou sont en train de le faire. Cette adoption s'étend à des secteurs variés, signe que cette technologie est sur le point de devenir un standard.

Parmi les pionniers et les plateformes qui supportent activement les passkeys, on retrouve :

  • Les géants de la tech : Google (qui en fait l'option de connexion par défaut pour ses comptes), Apple (via iCloud Keychain sur iOS et macOS), et Microsoft (avec Windows Hello sur Windows 10 et 11).
  • Les services financiers et de paiement : PayPal, Affirm, et même de grandes banques commencent à l'intégrer.
  • Les plateformes de commerce en ligne : Amazon, Walmart, Target, Shopify, Kayak, et Home Depot.
  • Les réseaux sociaux et de divertissement : X (anciennement Twitter), LinkedIn, TikTok, Snapchat, et PlayStation.
  • Les outils de développement et de collaboration : GitHub, Notion.
  • Les gestionnaires de mots de passe : Dashlane, 1Password et Bitwarden intègrent également la gestion des passkeys, facilitant leur utilisation multi-appareils.

L'adoption des passkeys est rapide : selon des rapports récents, le nombre d'authentifications par passkey a bondi de plus de 400 % en 2024 chez certains acteurs. La FIDO Alliance, un consortium qui regroupe Apple, Google et Microsoft, prévoit qu'un quart des 1 000 sites les plus populaires adopteront cette technologie d'ici la fin de l'année. Ce mouvement global est clairement en marche pour simplifier et sécuriser nos vies numériques.