Passkeys : comprendre et adopter l'alternative au mot de passe

Les passkeys remplacent le mot de passe par une clé cryptographique liée à votre appareil. Plus besoin de retenir, taper ou réinitialiser quoi que ce soit. Voici comment ça fonctionne, ce que ça change concrètement, et ce qu'il faut savoir avant de les adopter.

Qu'est-ce qu'une passkey et comment ça fonctionne ?

Une passkey est une paire de clés cryptographiques - une privée, stockée sur votre appareil, et une publique, enregistrée par le service en ligne. Pour vous connecter, votre appareil prouve qu'il possède la clé privée sans jamais la transmettre.

Concrètement, à chaque connexion le serveur envoie un défi unique (un challenge aléatoire). Votre appareil le signe avec la clé privée, et le serveur vérifie la signature avec la clé publique. Même si quelqu'un intercepte cette réponse signée, elle est inutilisable : elle ne vaut que pour ce challenge précis, déjà consommé. C'est fondamentalement différent d'un mot de passe, toujours identique, toujours rejouable.

L'authentification se déclenche par un geste simple : Touch ID, Face ID, empreinte digitale ou code PIN de l'appareil.

Les passkeys sont-elles vraiment plus sûres qu'un mot de passe ?

Oui, et de loin. Les passkeys reposent sur la cryptographie à courbe elliptique (P-256 / ECDSA), ce qui donne environ 128 bits de sécurité effective. Pour atteindre un niveau équivalent avec un mot de passe, il faudrait environ 20 caractères totalement aléatoires parmi les 95 caractères ASCII imprimables - ce qu'aucun humain ne génère ni ne retient spontanément.

Au-delà de la robustesse brute, les passkeys éliminent toute une catégorie de risques :

  • Pas de mot de passe faible ou réutilisé d'un site à l'autre
  • Pas de base de données de mots de passe à voler (le serveur ne stocke que la clé publique, inutile sans la clé privée)
  • Pas de credential stuffing (tester des millions de couples identifiant/mot de passe issus de fuites)
  • Pas de politique de renouvellement forcé tous les 90 jours
  • Pas de formulaire avec des règles absurdes (majuscule obligatoire, caractère spécial, pas plus de 16 caractères…)

Pourquoi les passkeys résistent-elles au phishing ?

Une passkey est liée cryptographiquement au domaine exact pour lequel elle a été créée. Sur un faux site - même visuellement identique - la passkey ne s'active tout simplement pas. Il n'y a rien à intercepter et rien à rejouer.

C'est une différence structurelle avec le mot de passe. Un faux site peut afficher un formulaire de connexion identique au vrai et récupérer vos identifiants. Avec une passkey, même si l'utilisateur ne remarque pas la supercherie, l'authentification échoue silencieusement côté technique. Aucune information exploitable n'est transmise au site pirate.

Cette protection fonctionne y compris contre les attaques AiTM (Adversary-in-the-Middle) en temps réel, que même le 2FA classique ne bloque pas.

Mon empreinte digitale peut-elle être volée comme un mot de passe ?

Non. L'empreinte digitale (ou Face ID) ne quitte jamais votre appareil. Elle ne transite pas sur le réseau et n'est pas stockée sur le serveur du site. Elle sert uniquement à déverrouiller localement la clé cryptographique qui, elle, effectue l'authentification.

Le site ne voit jamais votre empreinte, ne la reçoit jamais, ne peut donc pas se la faire voler. C'est fondamentalement différent d'un mot de passe, qui est envoyé au serveur à chaque connexion et peut être compromis si la base de données est piratée.

Et si Touch ID ou Face ID n'est pas disponible (doigt blessé, capteur défaillant), le code PIN de l'appareil prend le relais. La biométrie est un confort, pas une dépendance.

Que se passe-t-il si je perds mon téléphone ou mon ordinateur ?

La réponse dépend de l'endroit où vos passkeys sont stockées. Si elles sont synchronisées via iCloud Keychain (Apple) ou Google Password Manager, elles sont automatiquement disponibles sur vos autres appareils du même écosystème. Changer de téléphone iPhone ou de PC avec le même compte Google est transparent.

En revanche, si la passkey n'a été créée que localement, sur un seul appareil, la perdre signifie perdre l'accès. C'est pourquoi la plupart des services conservent le mot de passe comme méthode de connexion alternative pendant la période de transition. Un gestionnaire de mots de passe qui synchronise les passkeys entre appareils et navigateurs réduit considérablement ce risque.

Où sont stockées mes passkeys et qui y a accès ?

Les passkeys sont stockées par le "provider" que vous choisissez (ou qui s'impose) au moment de la création. Les principaux sont iCloud Keychain (Apple), Google Password Manager (Chrome) et les gestionnaires de mots de passe tiers.

Chaque provider a son périmètre de synchronisation :

  • iCloud Keychain synchronise entre tous les appareils Apple, mais pas au-delà
  • Google Password Manager synchronise sur tous les navigateurs Chrome, quel que soit l'OS, mais pas dans Safari
  • Un gestionnaire de mots de passe tiers peut fonctionner sur tous les appareils et navigateurs

Le piège courant : au moment de créer une passkey, plusieurs providers peuvent se proposer simultanément - l'extension du gestionnaire de mots de passe, le navigateur, et le système d'exploitation. Touch ID, par exemple, donne l'impression que "le Mac gère ça", alors que derrière ce geste c'est soit Chrome soit macOS qui stocke la passkey. Si vous ne faites pas attention au choix initial, vous risquez de ne pas retrouver votre passkey sur un autre appareil.

Comment gérer ses passkeys au quotidien ?

Le point le plus délicat aujourd'hui est la gestion. Il n'existe pas d'endroit unique pour voir toutes ses passkeys. Elles sont réparties entre différentes interfaces selon le provider choisi à la création.

Pour retrouver ou supprimer une passkey selon l'endroit où elle est stockée :

  • Dans Chrome : accéder aux paramètres des mots de passe du navigateur
  • Sur macOS : Réglages Système, section Mots de passe
  • Dans un gestionnaire tiers : dans le coffre, à la section dédiée aux passkeys

Il est possible de créer involontairement plusieurs passkeys pour le même compte sur des providers différents. Pour éviter la confusion, le plus simple est de choisir un provider unique et de s'y tenir. Côté service, les sites sérieux affichent la liste des passkeys enregistrées pour votre compte avec une option de révocation.

Les passkeys vont-elles remplacer les mots de passe ?

Pas immédiatement, mais la tendance est claire. Tous les sites ne supportent pas encore les passkeys, et les utilisateurs doivent composer avec les deux systèmes pendant la transition. Le mot de passe reste un filet de sécurité nécessaire pour les services qui ne proposent pas encore de passkeys, ou comme méthode de secours.

L'adoption progresse rapidement : les grands acteurs (Google, Apple, Microsoft) intègrent les passkeys nativement dans leurs systèmes. À terme, le mot de passe devrait devenir l'exception plutôt que la règle. En attendant, un gestionnaire de mots de passe capable de gérer à la fois les mots de passe classiques et les passkeys offre la meilleure expérience de transition.

Ce qu'il faut retenir

  • Une passkey est une clé cryptographique liée à votre appareil, plus robuste et plus simple qu'un mot de passe
  • Les passkeys sont structurellement résistantes au phishing : elles ne fonctionnent que sur le domaine exact pour lequel elles ont été créées
  • Votre empreinte digitale ne quitte jamais votre appareil et ne peut pas être volée via un site web
  • Choisissez un provider unique pour stocker vos passkeys et éviter la confusion entre appareils
  • Le mot de passe reste nécessaire en parallèle pendant la période de transition
  • Un gestionnaire de mots de passe qui supporte les passkeys simplifie la gestion multi-appareils

Essayez les passkeys avec Octopussian - connexion sans mot de passe, sécurité maximale →

Inscription gratuite

Pas de carte bancaire. Inscription en 1 minute

Gagnez en efficacité dès aujourd'hui. Inscrivez-vous pour essayer gratuitement.

Nous utilisons votre email et votre nom
afin de créer votre espace Octopussian.

ou
@ Continuer avec mon email

Nous respectons votre vie privée. Vos informations ne seront pas utilisées à d'autres fins.
En vous inscrivant, vous acceptez nos conditions d'utilisations et politique de vie privée