Les mots de passe ne garantissent plus la sécurité. Ils sont devenus la cible de multiples attaques en ligne qui ne cessent d’évoluer. Pour répondre à ce problème, une nouvelle solution se développe : les passkeys.

Depuis deux ans, Google, Apple et Microsoft poussent cette technologie afin de construire un futur sans mot de passe.

Tôt ou tard, vous serez invité à créer une passkey, et il y a de fortes chances que ce soit déjà le cas. Et si vous avez encore des réserves, sachez elles sont bien plus simples à utiliser qu’un mot de passe classique et surtout beaucoup plus sûres.

Qu’est-ce qu’une passkey ?      

Une passkey permet de prouver votre identité sans avoir à taper un mot de passe complexe. Elle résiste aussi aux attaques courantes comme le phishing ou le piratage par dictionnaire.

L’objectif est de remplacer les mots de passe et les anciens systèmes d’authentification à deux facteurs. Il s’agit d’une avancée rare en cybersécurité, car à la fois plus simple et plus fiable.

Concrètement, une passkey est liée à un appareil que vous possédez déjà. Par exemple, si vous vous connectez à votre compte Google depuis un nouvel appareil, vous pouvez utiliser votre téléphone comme clé d’accès. Pas besoin de mot de passe, ni même parfois d’identifiant.

Les passkeys sont plus sûres que les mots de passe parce qu’elles ne reposent pas sur un “secret partagé”. Avec un mot de passe, vous connaissez la combinaison et le service en ligne la stocke aussi. Cela veut dire qu’en cas de fuite de données, vos comptes sont directement exposés.

Les passkeys fonctionnent différemment. Elles reposent sur la cryptographie à clé publique. En pratique, il existe deux clés : une publique visible par le service, et une privée qui reste uniquement sur votre appareil. Cette clé privée est protégée par vos données biométriques, comme l’empreinte digitale ou la reconnaissance faciale.

Que se passe-t-il si vous perdez votre appareil ?

Les passkeys peuvent être restaurées grâce au compte auquel elles sont liées. Google permet par exemple de les stocker dans son gestionnaire de mots de passe et de les synchroniser sur vos différents appareils. Apple propose la même chose via iCloud Keychain, et Microsoft fait de même sur Windows.

Lire Aussi : Vers un futur sans mots de passe ?

Les passkeys sont-elles vraiment sûres

Les passkeys sont considérées comme encore plus sûres qu’un mot de passe long et complexe.

Lorsque vous vous connectez avec ce système, le service reçoit uniquement quelques informations, dont une clé publique qui vous identifie en tant qu’utilisateur. Ces données, à elles seules, ne servent à rien si elles sont interceptées.

La vraie sécurité se joue sur l’appareil où la passkey a été créée. Vous devez relever un petit défi pour déverrouiller votre clé privée, le plus souvent via une reconnaissance biométrique comme l’empreinte digitale ou la reconnaissance faciale. Si ce déverrouillage réussit, l’appareil signe la requête et l’envoie au service en ligne. Celui-ci la compare avec la clé publique, et si tout correspond, l’accès est accordé. L’authentification se fait donc directement sur votre appareil, et non sur un serveur distant. C’est cela qui réduit fortement les risques.

Même si la biométrie est la méthode la plus courante, ce n’est pas une obligation. Sur Windows, par exemple, l’accès se fait via Windows Hello, qui peut simplement utiliser un code PIN. Sur Android, vous pouvez aussi choisir un schéma ou un mot de passe de déverrouillage.

Passkeys, 2FA et MFA

Les passkeys bousculent les habitudes en matière de sécurité. Contrairement à l’authentification à deux facteurs (2FA) ou multifactorielle (MFA), il n’y a pas besoin de recopier un code reçu par SMS ou via une application. Pourtant, elles intègrent par nature plusieurs couches de protection.

Le principe de la MFA est d’ajouter une étape de sécurité supplémentaire en plus du mot de passe. Avec une passkey, c’est déjà le cas. Vous devez prouver que la paire de clés publique et privée correspond, mais aussi valider que vous avez bien accès à la clé privée stockée sur votre appareil. Cela équivaut à deux couches d’authentification : un élément matériel que vous possédez et, bien souvent, une donnée biométrique qui vous est propre.

Les appareils et navigateurs compatibles avec les passkeys

Aujourd’hui, les passkeys sont intégrées directement dans les systèmes d’exploitation modernes. Si vous utilisez un OS qui ne les prend pas encore en charge, comme Linux, vous pouvez malgré tout les utiliser en passant par un autre appareil, par exemple en scannant un QR code avec votre téléphone, ou en utilisant un gestionnaire de mots de passe tiers.

Les systèmes qui supportent pleinement les passkeys sont :

  • Android 9 et versions ultérieures
  • iOS 16 et versions ultérieures
  • macOS Ventura (13) ou plus récent
  • Windows 10 et 11 à partir de la version 23H2

Ces systèmes prennent en charge les passkeys aussi bien dans les applications natives que dans les navigateurs. Chromium est compatible, ce qui couvre la majorité des navigateurs actuels comme Chrome, Brave, Opera ou Vivaldi. Firefox les prend également en charge depuis sa version 122.

Lire Aussi : 3 façons de vérifier si votre mot de passe a été divulgué lors d’une violation de données

Comment créer et stocker des passkeys

Pour utiliser une passkey, il faut pouvoir la stocker. La plupart des systèmes d’exploitation modernes proposent déjà une solution intégrée, mais toutes ne fonctionnent pas de la même manière.

Windows 10 et Windows 11

Sur Windows, il faut activer Windows Hello pour profiter des passkeys. Beaucoup l’ont déjà configuré lors de l’installation, mais sinon, cela se fait dans les paramètres, dans la section Comptes puis Options de connexion. Windows Hello peut utiliser votre visage, votre empreinte ou un simple code PIN.

À partir de la version 23H2, Windows vous propose automatiquement d’utiliser une passkey pour vous connecter à un service compatible, que ce soit dans une application native ou dans un navigateur pris en charge. En revanche, ces passkeys restent locales et ne sont pas synchronisées entre vos différents appareils. Elles fonctionnent uniquement sur le PC où elles ont été créées.

macOS

Sur Mac, les passkeys sont enregistrées dans le trousseau iCloud. Il faut donc s’assurer que celui-ci est activé dans les réglages iCloud, dans la section Mots de passe et trousseau. L’authentification à deux facteurs pour l’identifiant Apple doit également être activée.

Comme sur Windows, une passkey est proposée automatiquement lorsqu’un service compatible le permet, par exemple lors de la création d’un nouveau compte. Pour l’ajouter à un compte existant, il faut passer par les réglages de l’application concernée. Contrairement à Windows, ces passkeys sont synchronisées sur tous vos appareils Apple via iCloud. Depuis macOS 15, leur gestion est encore plus simple grâce à l’application dédiée Mots de passe.

iOS

iOS fonctionne sur le même principe que macOS. Les passkeys sont stockées dans iCloud et accessibles depuis tous vos appareils liés à votre identifiant Apple. Sur iOS 18 et versions suivantes, elles sont regroupées dans l’application Mots de passe. Dans les versions plus anciennes, il faut passer par les réglages du téléphone.

Android

Depuis Android 9, le système prend en charge les passkeys. Par défaut, elles sont stockées dans le gestionnaire de mots de passe de Google, lié à votre compte Google et synchronisé sur vos appareils. À partir d’Android 14, vous avez la possibilité de choisir un autre gestionnaire, y compris un gestionnaire tiers.

Utiliser un gestionnaire de mots de passe

Si vous souhaitez rassembler toutes vos passkeys et les utiliser sur n’importe quel appareil, quel que soit le système, un gestionnaire de mots de passe est la meilleure option. Les plus connus comme 1Password, NordPass, Bitwarden ou Dashlane prennent en charge cette fonction. Ils permettent de créer, stocker et synchroniser vos passkeys sur Android comme sur iOS.

Lire Aussi : Où sont stockés les mots de passe sur un téléphone Android ?

Les applications compatibles

Peu d’endroits permettent aujourd’hui de stocker vos passkeys, mais de nombreux services les acceptent déjà pour la connexion. Microsoft, Adobe, Amazon, Google ou encore Apple les proposent. En revanche, une partie du web reste encore à la traîne.

Il existe des répertoires en ligne qui recensent les applications compatibles. Mais ces listes ne sont pas exhaustives. Par exemple, Facebook et Instagram ne figurent pas toujours alors qu’ils ont ajouté le support des passkeys en juin 2025.

La ressource la plus complète reste le répertoire géré par l’organisation suédoise 2factorauth. Hébergé sur GitHub et mis à jour en permanence par la communauté, il classe les services par catégorie, ce qui permet par exemple de repérer facilement un fournisseur de VPN qui prend en charge les passkeys.

Vers la fin des mots de passe

Les passkeys ont été conçues pour remplacer totalement les mots de passe, mais la transition prendra du temps. Cela suppose que chaque service, chaque appareil et chaque système adopte cette nouvelle norme.

Le mouvement est déjà bien lancé, avec les géants du numérique qui ont franchi le pas. Aujourd’hui, il est possible de sécuriser vos comptes les plus importants avec une passkey. Même si tout n’est pas encore généralisé, il vaut la peine d’activer cette option sur vos comptes essentiels, en particulier ceux liés à vos identifiants sociaux ou à Google, qui servent souvent de clé d’accès à d’autres services.