Les Passkeys ont gagné le débat technique. Les déployer à grande échelle est la partie difficile.

Les mots de passe sont une catastrophe de sécurité bien connue. La réutilisation est omniprésente : une étude de 2024 a révélé que 65 % des personnes réutilisent des mots de passe sur plusieurs comptes. Le phishing vole des identifiants à l'échelle industrielle, le FBI signalant 4,57 milliards de dollars de pertes dues à la fraude liée au phishing en 2023 seulement. Les attaques de Credential Stuffing, où des mots de passe divulgués lors d'une fuite sont essayés sur des centaines d'autres services, génèrent des millions de piratages de comptes par jour. Le problème n'est pas que les utilisateurs soient irresponsables, c'est que demander aux humains de mémoriser et de gérer des dizaines d'identifiants uniques et solides est fondamentalement déraisonnable.

Les Passkeys sont la réponse de la FIDO Alliance. Construites sur le standard WebAuthn (officiellement W3C Web Authentication), elles utilisent la cryptographie à clé publique pour authentifier les utilisateurs sans envoyer aucun secret sur le réseau. Votre appareil génère une paire de clés lorsque vous créez une Passkey : la clé privée reste sur votre appareil, sécurisée par vos données biométriques (Face ID, capteur d'empreintes) ou votre code PIN. La clé publique va au site web. Lorsque vous vous connectez, le site envoie un défi ; votre appareil le signe avec la clé privée sans que celle-ci ne quitte jamais l'appareil. Il n'y a rien à voler pour un site de phishing, rien à exposer pour une fuite de données, et rien à rejouer pour un attaquant de Credential Stuffing.

Le débat technique est clos

Les fondements cryptographiques de WebAuthn sont robustes. Le standard a été publié par le W3C en 2019 et a subi une analyse de sécurité approfondie. Les Passkeys créées sur les appareils Apple, Android ou Windows sont désormais multiplateformes via la synchronisation : Apple Keychain synchronise les Passkeys entre les appareils Apple via iCloud ; Google Password Manager synchronise les Passkeys entre Android et Chrome ; 1Password et Bitwarden ont ajouté le stockage des Passkeys, permettant une utilisation multiplateforme via des gestionnaires de mots de passe tiers.

La résistance au phishing est l'avantage pratique le plus significatif. Un mot de passe standard peut être capturé par une page de connexion frauduleuse convaincante. Une Passkey ne le peut pas — le défi-réponse cryptographique est lié au domaine. Une Passkey pour google.com ne peut littéralement pas authentifier sur g00gle.com ; l'origine est intégrée dans le protocole. Les attaques de Replay, où un jeton d'authentification intercepté est réutilisé, sont également empêchées. Le défi signé lors de chaque authentification est unique et limité dans le temps ; une signature capturée est inutile.

Google a rapporté en mai 2024 que les utilisateurs de Passkeys effectuent l'authentification 2 fois plus vite qu'avec des mots de passe, avec une amélioration de 25 % des taux de connexion réussie. Pour les sites web, c'est une métrique de revenus directe : les échecs de connexion sont des sessions abandonnées.

Là où le déploiement se complique

Si les Passkeys fonctionnent si bien, pourquoi la plupart des sites web utilisent-ils encore les mots de passe par défaut ? Plusieurs obstacles réels ralentissent l'adoption.

Récupération de compte. Les mots de passe ont une voie de récupération connue : le lien de réinitialisation par e-mail. Les Passkeys n'ont pas d'équivalent. Si un utilisateur perd tous ses appareils sans migrer sa Passkey, il est bloqué. Les sites doivent maintenir un mécanisme de secours — généralement un code unique envoyé par e-mail ou SMS — qui devient le nouveau maillon faible. Un attaquant déterminé peut phishing ou SIM-swap le mécanisme de secours, annulant en partie la résistance au phishing de la Passkey.

Comptes partagés. Les familles partageant des abonnements de streaming, les entreprises avec des identifiants de connexion partagés — ces cas ne s'adaptent pas proprement au modèle Passkey, qui suppose un seul appareil d'authentification par identifiant. Les fournisseurs d'identité d'entreprise travaillent sur des modèles de délégation, mais les comptes partagés destinés aux consommateurs restent peu pratiques.

Complexité du déploiement en entreprise. Les services informatiques d'entreprise gérant des parcs Windows doivent intégrer les Passkeys avec Active Directory et les fournisseurs d'identité d'entreprise (Azure AD, Okta, Ping Identity). Les Passkeys synchronisées — qui se déplacent entre les appareils — sont bloquées par de nombreuses politiques de sécurité d'entreprise car elles violent les exigences d'authentification liée à l'appareil.

Incitations pour les développeurs. Implémenter correctement WebAuthn nécessite des modifications côté serveur des flux d'authentification, des modifications côté client de l'UX de connexion, et une gestion attentive des flux d'enregistrement et de récupération. Pour une petite équipe de développement maintenant une pile d'authentification héritée, l'investissement en ingénierie peut être substantiel.

Qui mène et ce qui fonctionne

Google est l'adoptant le plus agressif, ayant activé les Passkeys comme méthode de connexion par défaut pour les comptes Google fin 2023. Le trousseau iCloud d'Apple synchronise les Passkeys depuis iOS 16. Microsoft a intégré la prise en charge des Passkeys dans les comptes Microsoft grand public en 2023, et Windows 11 23H2 a ajouté une interface utilisateur dédiée à la gestion des Passkeys.

Parmi les services grand public, GitHub, PayPal, eBay, Shopify, TikTok, Best Buy et Hyatt ont tous déployé la prise en charge des Passkeys. Le site web Passkey Central de la FIDO Alliance répertorie plus de 400 services prenant en charge les Passkeys à la mi-2026. L'adoption en entreprise se fait d'abord via les clés de sécurité matérielles : les clés YubiKey FIDO2 sont utilisées dans les déploiements d'entreprise depuis des années et couvrent l'avantage de la résistance au phishing sans nécessiter d'infrastructure de synchronisation des Passkeys.

Le fossé de l'expérience utilisateur

Le plus grand obstacle pratique n'est pas technique, c'est l'UX. De nombreuses implémentations de Passkeys présentent aux utilisateurs un flux d'enregistrement complexe qui les laisse perplexes quant à savoir si la Passkey est sauvegardée et si elle fonctionnera sur un autre appareil. Concevoir un flux Passkey intuitif et sûr pour la récupération est plus difficile qu'il n'y paraît.

La FIDO Alliance a publié des recherches UX et des directives de conception spécifiquement pour répondre à ce problème, mais l'implémentation est incohérente. L'UX de Passkey d'Apple — une seule invite Face ID déclenchée par une feuille indiquant "Use Face ID to sign in" — est largement citée comme la référence. Les implémentations web basées sur l'API WebAuthn brute varient considérablement en qualité.

La voie vers l'adoption de masse passe par le fait que les Passkeys deviennent l'option par défaut lors de la connexion plutôt qu'une option facultative cachée dans les paramètres de sécurité, et une expérience fiable entre appareils qui rend la configuration initiale évidente et le chemin de récupération clair. La technologie est prête. La standardisation de l'UX ne l'est pas. C'est ce fossé que le travail de déploiement des 2-3 prochaines années doit combler — et une fois que ce sera fait, l'ère des mots de passe prendra fin plus rapidement que la plupart des gens ne le pensent.