Les Passkeys atteignent une adoption massive — à quoi ressemble vraiment la fin des mots de passe

Les Passkeys ne sont plus une fonctionnalité expérimentale enfouie dans les paramètres développeur. Depuis 2025, plus de 15 milliards de comptes utilisateur sur les plateformes Apple, Google et Microsoft sont compatibles avec les Passkeys, et les principaux services grand public — de PayPal à GitHub en passant par Amazon — ont déployé une authentification basée sur WebAuthn. L'industrie a franchi le seuil de l'adoption précoce pour devenir une infrastructure grand public.

Pourquoi les mots de passe ont échoué

L'argument contre les mots de passe n'est pas théorique. Le Rapport d'enquête sur les violations de données 2024 de Verizon a révélé que les identifiants volés ou faibles étaient impliqués dans 77 % des violations d'applications web. Have I Been Pwned indexe plus de 14 milliards de comptes compromis issus de violations connues. Les gestionnaires de mots de passe aident — mais ils protègent contre les mots de passe faibles, pas contre le hameçonnage. Une page de connexion frauduleuse convaincante capture toujours tout ce que l'utilisateur tape, quelle que soit la robustesse du mot de passe.

Le Credential stuffing — prendre des paires nom d'utilisateur/mot de passe issues de violations et les essayer sur d'autres services — fonctionne précisément parce que les utilisateurs réutilisent leurs mots de passe. Le hameçonnage fonctionne parce que les utilisateurs ne peuvent pas distinguer de manière fiable les pages de connexion réelles des fausses. Ce sont des problèmes structurels de l'authentification par secret partagé, pas des problèmes qui peuvent être résolus par une meilleure éducation des utilisateurs.

Comment fonctionnent réellement les Passkeys

Une Passkey est une paire de clés cryptographiques générée sur votre appareil. La clé privée ne quitte jamais l'appareil — elle est stockée dans un enclave sécurisé, le TPM de l'appareil ou un élément de sécurité matériel. La clé publique est enregistrée auprès du service et stockée sur ses serveurs. C'est la rupture fondamentale avec les mots de passe : le serveur ne détient jamais de secret.

Enregistrement

Lorsque vous créez une Passkey pour un site, votre appareil génère une paire de clés unique pour ce site. La clé publique est envoyée au serveur et associée à votre compte. La clé privée est protégée par la méthode d'authentification de votre appareil — biométrie (Face ID, Touch ID, Windows Hello), code PIN ou motif — et stockée dans un stockage sécurisé adossé au matériel.

Authentification

Lors de la connexion, le serveur envoie un défi cryptographique — un nonce aléatoire. Votre authenticateur (enclave sécurisée de l'appareil ou TPM) signe ce défi avec la clé privée, après avoir vérifié votre présence via biométrie ou PIN. Le serveur vérifie la signature par rapport à la clé publique stockée. Aucun mot de passe ne circule sur le réseau. Aucun secret partagé ne peut être hameçonné. Même si un attaquant intercepte le défi signé, il ne peut pas être réutilisé — le nonce est à usage unique et limité à ce domaine d'origine spécifique, ce qui contrecarre les attaques par rejeu et le hameçonnage par usurpation de domaine.

La liaison au domaine d'origine exact est ce qui rend les Passkeys intrinsèquement résistantes au hameçonnage. Une page frauduleuse paypa1.com ne peut pas recevoir d'authentification Passkey valide pour paypal.com. Le navigateur applique cette règle au niveau du protocole via la spécification WebAuthn, formalisée sous le nom de FIDO2 par la FIDO Alliance.

Où les Passkeys sont déployées aujourd'hui

La prise en charge au niveau des plateformes est désormais complète :

• Apple : iCloud Keychain synchronise les Passkeys entre iPhone, iPad et Mac via une synchronisation iCloud chiffrée de bout en bout. Pris en charge dans iOS 16+ et macOS Ventura+.
• Google : Google Password Manager synchronise les Passkeys entre les appareils Android et Chrome sur Windows/macOS. Les comptes Google eux-mêmes prennent en charge la connexion par Passkey — plus de 800 millions de comptes Google ont utilisé les Passkeys en 2024.
• Microsoft : Windows Hello (PIN adossé au TPM, empreinte digitale ou reconnaissance faciale) gère les Passkeys sous Windows 11. Les comptes Microsoft prennent en charge l'authentification par Passkey.
• Gestionnaires tiers : 1Password, Dashlane et Bitwarden prennent tous en charge le stockage des Passkeys, permettant la portabilité des Passkeys entre plateformes en dehors des écosystèmes natifs.

Du côté des services, les déploiements majeurs incluent :

• Google — connexion par Passkey pour tous les comptes Google Workspace et grand public
• Apple — prise en charge de Passkey pour Apple ID sur tous les services Apple
• GitHub — Passkeys comme méthode d'authentification principale depuis 2023
• PayPal — déploiement de Passkey couvrant les utilisateurs américains, étendu à l'international
• Amazon — prise en charge de Passkey sur les comptes grand public
• Best Buy, Target, CVS, Shopify — adoption accélérée de Passkey dans le commerce de détail grand public
• DocuSign, Kayak, Robinhood, Zoho — adoptants SaaS et fintech avec des déploiements en production

La FIDO Alliance a rapporté que plus de 12 milliards de comptes en ligne sont désormais prêts pour les Passkeys à fin 2024, ce nombre augmentant à mesure que davantage de services finalisent leurs déploiements.

Points de friction restants

L'adoption est réelle, mais la transition n'est pas sans friction.

Synchronisation multiplateforme

La plus grande limitation pratique est le verrouillage dans l'écosystème. Une Passkey créée dans Apple Keychain n'apparaît pas automatiquement dans Google Password Manager. Un utilisateur passant d'un iPhone à un Android doit réenregistrer les Passkeys sur chaque service. La spécification d'Authentification Inter-Appareils (CDA) de la FIDO Alliance et les travaux en cours sur l'import/export de Passkeys — approuvés en principe en 2024 — devraient résoudre ce problème, mais les implémentations sont encore en cours de déploiement à mi-2025.

Déploiement MDM en entreprise

Dans les environnements professionnels, les Passkeys liées aux appareils personnels créent des défis politiques. Si l'iPhone personnel d'un employé contient la Passkey d'un service d'entreprise, que se passe-t-il lorsqu'il quitte l'entreprise ? Le déploiement de Passkeys à l'échelle de l'entreprise nécessite une intégration MDM, des clés de sécurité physiques (YubiKey, Google Titan) pour les postes de travail partagés et la prise en charge du fournisseur d'identité (IdP) — Okta, Microsoft Entra ID et Ping Identity offrent désormais la prise en charge des Passkeys, mais les déploiements en entreprise sont complexes. Le remplacement complet des flux de mots de passe LDAP/Active Directory nécessite une planification pluriannuelle.

Récupération de compte

Les Passkeys déplacent le problème de la récupération plutôt que de l'éliminer. Si un utilisateur perd tous ses appareils enregistrés et n'a pas de Passkey de secours enregistrée, la récupération du compte revient à la vérification par e-mail, aux tickets de support ou aux codes de secours — tous des maillons plus faibles. Les services mettent en œuvre l'enregistrement multiple de Passkeys (enregistrement sur le téléphone et l'ordinateur portable) et des options de sauvegarde multiplateforme, mais l'éducation des utilisateurs sur l'enregistrement de plusieurs authentificateurs est en retard par rapport au déploiement.

Migration des systèmes existants

Les entreprises exploitant des systèmes sur site — anciens VPN, systèmes ERP, authentification sur mainframe — font face à des échéanciers de migration de plusieurs années. L'authentification par mot de passe est profondément ancrée dans les configurations SSO et les outils internes. De manière réaliste, les environnements hybrides (Passkeys pour les nouveaux services, mots de passe + MFA pour les systèmes existants) seront la norme jusqu'en 2027-2028.

Que faire maintenant

Pour les particuliers

• Activez les Passkeys sur tous les services qui les prennent en charge — commencez par votre compte Google, Apple ID et GitHub. Ce sont vos cibles les plus précieuses pour les attaquants.
• Enregistrez une Passkey sur au moins deux appareils pour chaque service critique (téléphone + ordinateur portable) pour éviter les scénarios de blocage.
• Si votre gestionnaire de mots de passe prend en charge les Passkeys (1Password, Bitwarden), stockez-les là pour une portabilité multiplateforme.
• Pour les services qui ne prennent pas encore en charge les Passkeys, utilisez l'authentification à deux facteurs (2FA) avec une application d'authentification, pas par SMS.

Pour les équipes informatiques et de sécurité en entreprise

• Auditez dès maintenant la prise en charge des Passkeys par votre IdP. Okta, Microsoft Entra, Duo et Ping ont tous des capacités Passkey — vérifiez que votre configuration actuelle les expose aux utilisateurs.
• Testez les Passkeys pour du MFA résistant au phishing en 2025. Commencez par les rôles à haut risque : administrateurs informatiques, services financiers, cadres dirigeants. Ces comptes sont les premières cibles des campagnes de phishing.
• Établissez une politique de clés de sécurité physiques pour les appareils partagés ou non gérés. La série YubiKey 5 et les clés Google Titan prennent en charge FIDO2 et offrent une fonctionnalité Passkey sans nécessiter d'appareil personnel.
• Élaborez votre feuille de route de migration des systèmes existants pour 2026-2027. Inventoriez les systèmes internes qui prennent en charge SAML/OIDC — ceux-ci peuvent être mis à jour pour prendre en charge les Passkeys via l'IdP — et ceux qui nécessitent des mises à niveau au niveau du protocole ou un remplacement.
• Mettez à jour votre playbook de réponse aux incidents. Les Passkeys éliminent les vecteurs de Password-Spray et de phishing, mais la compromission des appareils devient la nouvelle surface d'attaque. Assurez-vous que le MDM peut révoquer à distance les appareils capables d'utiliser des Passkeys.

Le mot de passe n'est pas encore mort — il coexistera avec les Passkeys dans des déploiements hybrides pendant des années. Mais l'infrastructure d'authentification sous-jacente aux services Internet grand public a véritablement changé. La question pour les équipes de sécurité n'est plus de savoir s'il faut adopter les Passkeys, mais à quelle vitesse la migration peut avancer sans casser les systèmes existants ni bloquer les utilisateurs. Les outils sont prêts. Le calendrier est maintenant.