Qu'est-ce qu'un Passkey et comment fonctionne-t-il ?

Que sont les Passkeys ? Une explication simple pour tous

Expliquez-le comme si j'étais un professionnel de l'informatique : votre appareil est votre identifiant

Imaginez que votre identifiant d'accès ne soit pas une chaîne de caractères, mais une preuve cryptographique liée biométriquement à votre appareil. Pour accéder à un système, vous vous authentifiez simplement auprès de votre appareil. Vous ne pouvez pas perdre cette preuve comme un mot de passe, et personne ne peut la voler ou la copier par des moyens conventionnels. C’est cela, une Passkey.

Au lieu d’un mot de passe que vous devez retenir (un « secret partagé » qui peut être oublié ou volé), une Passkey est une clé numérique unique stockée dans un élément matériel sécurisé sur votre appareil (téléphone, ordinateur portable, tablette). Pour vous connecter à un site web ou une application, vous déverrouillez votre appareil comme d’habitude — avec votre visage, votre empreinte digitale ou un code PIN. Votre appareil confirme votre identité localement, et l’accès vous est accordé. Le secret principal de la Passkey ne quitte jamais votre appareil et n’est jamais transmis au serveur.

Passkeys vs. Mots de passe : la différence fondamentale

Le changement fondamental consiste à passer d’un modèle de « secret partagé » (le mot de passe, connu à la fois par vous et le serveur) à un modèle de « clé privée » où le secret ne quitte jamais votre possession. Ce simple changement a d’énormes implications en matière de sécurité pour toute organisation.

Comment la cryptographie à clé publique rend cela possible

Lorsque vous créez une Passkey pour un service, votre appareil génère une paire unique de clés mathématiquement liées :

1. Une clé privée : C’est votre identifiant secret. Elle est stockée dans le matériel sécurisé de votre appareil (comme l'Enclave sécurisée sur un iPhone ou une puce TPM sur un PC). Elle ne quitte jamais votre appareil.

2. Une clé publique : C’est la partie non secrète. Votre appareil l’envoie au serveur du service, qui la stocke avec votre nom d’utilisateur. Considérez-la comme une serrure publique que seule votre clé privée peut ouvrir.

Lorsque vous souhaitez vous connecter, le serveur envoie un défi unique à usage unique à votre appareil. Votre appareil utilise sa clé privée pour « signer » cryptographiquement ce défi, puis renvoie la signature. Le serveur utilise votre clé publique stockée pour vérifier la signature. Si elle correspond, cela prouve que vous possédez l’appareil avec la bonne clé privée, et vous êtes authentifié. Aucun mot de passe ne circule sur internet.

Pourquoi les Passkeys sont une révolution en matière de sécurité

Immunisées contre le phishing par conception : comment elles bloquent les escrocs

Les attaques par hameçonnage réussissent en incitant les utilisateurs à saisir leurs mots de passe sur un site frauduleux. Le site de l’escroc ressemble exactement à celui de votre banque, mais l’URL est différente. Vous entrez vos identifiants, et ils sont compromis.

Les Passkeys rendent ce vecteur d’attaque obsolète.

Une Passkey est cryptographiquement liée au vrai nom de domaine du site web (par exemple, `https://mybank.com`). Lorsque vous tentez de vous connecter, votre navigateur et votre système d’exploitation vérifient ce domaine. Si vous êtes sur un faux site tel que `https://mybank-secure-login.net`, la Passkey pour `mybank.com` refusera simplement de fonctionner. Le navigateur ne la proposera même pas comme option. Il n’y a aucun secret à taper, donc rien à voler pour un escroc.

Éliminer le risque lié aux fuites de données

Les fuites massives de données sont une menace constante. Lorsqu'une base de données d'une entreprise est piratée, les attaquants volent des millions de noms d'utilisateur et de hachages de mots de passe. Ils utilisent ensuite des ordinateurs puissants pour casser ces hachages et révéler les mots de passe d'origine.

Avec les Passkeys, même une violation de serveur ne compromet pas les identifiants des utilisateurs. Le serveur ne stocke que des clés publiques. Si des pirates volent toute la base de données des clés publiques, ils obtiennent simplement une collection inutile de serrures numériques sans les clés correspondantes. Il est impossible d’en déduire les clés privées, et elles ne peuvent pas être utilisées pour se connecter.

La fin des mots de passe faibles et réutilisés

La plus grande faiblesse en cybersécurité est le comportement humain. Les utilisateurs choisissent des mots de passe simples et mémorables comme Password123! et les réutilisent sur des dizaines de services. Une faille sur un site mineur peut alors exposer le mot de passe de comptes critiques en entreprise.

Les Passkeys résolvent ce problème à la racine. Comme une Passkey est une longue chaîne cryptographique complexe générée par votre appareil, elle est toujours extrêmement robuste. Et comme une nouvelle paire de clés unique est créée pour chaque service, la réutilisation des mots de passe est totalement éliminée. Vous obtenez une sécurité maximale par défaut pour chaque compte.

Bien plus qu’un mot de passe : authentification multifactorielle (MFA) intégrée

La MFA ajoute des couches de sécurité en exigeant plus qu’un simple mot de passe. Elle repose sur la vérification de plusieurs « facteurs » d'identité :

• Quelque chose que vous connaissez : Un mot de passe ou un code PIN.

• Quelque chose que vous possédez : Votre téléphone ou une clé matérielle.

• Quelque chose que vous êtes : Une empreinte digitale ou une reconnaissance faciale.

Essayez l'accès par Passkeys dans votre organisation !

• 01
  Créez un compte en tant qu’administrateur informatique
• 02
  Configurez avec notre assistant IA ou réservez un appel avec l’assistance technique
• 03
  Ajoutez jusqu’à 20 utilisateurs gratuitement

✨ Inscrivez-vous

Comment créer et utiliser votre première Passkey

Étape par étape : créer une Passkey sur un site compatible

Créer une Passkey est souvent plus simple que créer un mot de passe. Voici le processus typique sur un site comme Google, PayPal ou eBay :

1. Accédez aux paramètres de sécurité de votre compte.

2. Recherchez l'option "Créer une Passkey" ou "Ajouter une Passkey".

3. Le site déclenchera une invite de votre système d’exploitation (par exemple, Windows Hello, Face ID/Touch ID d’Apple, verrouillage d’écran Android).

4. Authentifiez-vous avec votre visage, empreinte digitale ou code PIN, comme vous le feriez pour déverrouiller votre appareil.

5. Le processus est terminé. Votre appareil génère la paire de clés, envoie la clé publique au site, et enregistre localement la Passkey.

Connexion transparente : se connecter avec le même appareil

Voici où l’expérience utilisateur change radicalement. La prochaine fois que vous visitez ce site sur le même appareil :

1. Entrez votre nom d’utilisateur ou votre adresse e-mail.

2. Le site reconnaîtra que vous avez une Passkey et vous proposera automatiquement de l’utiliser.

3. Authentifiez-vous avec votre visage, empreinte digitale ou code PIN.

4. Vous êtes connecté instantanément. Aucun mot à taper, aucun gestionnaire de mots de passe requis.

Utiliser votre téléphone pour vous connecter sur un ordinateur (méthode par code QR)

Et si votre Passkey est sur votre téléphone mais que vous devez vous connecter depuis un ordinateur portable ? La norme FIDO a une solution ingénieuse appelée authentification inter-appareils.

1. Sur la page de connexion de l’ordinateur, choisissez l’option de connexion avec une Passkey d’un autre appareil.

2. Un code QR apparaîtra à l’écran de l’ordinateur.

3. Scannez le code QR avec l’appareil photo de votre téléphone.

4. Votre téléphone vous demandera d’approuver la connexion via la biométrie.

5. Une fois approuvée, votre téléphone utilise le Bluetooth pour communiquer en toute sécurité avec l’ordinateur et finaliser la connexion. Votre clé privée ne quitte jamais votre téléphone.

Où sont stockées les Passkeys ? Gérer vos clés numériques

Gestionnaires natifs : iCloud Keychain, Google et Windows Hello

Les grandes entreprises technologiques ont intégré la gestion des Passkeys directement dans leurs écosystèmes.

• iCloud Keychain d’Apple : Les Passkeys créées sur un iPhone, iPad ou Mac sont automatiquement synchronisées via iCloud, les rendant disponibles sur tous vos appareils Apple de confiance.

• Google Password Manager : Les Passkeys créées sur Android ou dans Chrome sont enregistrées dans votre compte Google et synchronisées sur vos appareils Android ainsi que sur tout ordinateur où vous êtes connecté à Chrome.

• Windows Hello : Windows 10 et 11 permettent de créer des Passkeys liées à votre appareil, sécurisées par votre code PIN Windows Hello ou par biométrie.

Gestionnaires de mots de passe tiers pour une liberté multiplateforme

Pour les utilisateurs qui ne sont pas enfermés dans un seul écosystème (par ex. un iPhone avec un PC Windows), les gestionnaires de mots de passe tiers intègrent rapidement la prise en charge des Passkeys. Ces services visent à fournir une méthode cohérente et indépendante de la plateforme pour stocker et synchroniser vos Passkeys sur tous vos appareils.

Passkeys synchronisées vs. liées à l'appareil : commodité vs. sécurité maximale

Il existe deux principaux types de Passkeys :

• Passkeys synchronisées (multi-appareils) : Ce sont les plus courantes pour les consommateurs. Elles sont stockées par Apple, Google ou un gestionnaire de mots de passe, et synchronisées entre vos appareils. Elles offrent une grande commodité, avec sauvegarde et récupération intégrées via votre compte.

• Passkeys liées à l’appareil (mono-appareil) : Celles-ci sont liées à un seul matériel, comme une puce TPM d’un ordinateur ou une clé de sécurité matérielle. Elles ne peuvent être ni copiées ni déplacées, offrant le plus haut niveau de sécurité car elles sont impossibles à hameçonner ou à accéder à distance, même en cas de compromission de votre compte cloud. C’est la norme dans les environnements d’entreprise à haute sécurité.

Compatibilité des appareils et navigateurs : ce dont vous avez besoin pour commencer

Systèmes d’exploitation pris en charge

Le support des Passkeys est intégré dans tous les systèmes d’exploitation modernes :

• iOS 16 et versions ultérieures
• iPadOS 16 et versions ultérieures
• macOS Ventura et versions ultérieures
• Android 9 et versions ultérieures
• Windows 10 (1903) et versions ultérieures

Navigateurs web pris en charge

Les dernières versions de tous les principaux navigateurs prennent en charge le standard WebAuthn requis pour les Passkeys :

• Chrome
• Safari
• Edge
• Firefox

Le rôle des clés de sécurité matérielles

Pour une assurance maximale et une portabilité accrue, les clés de sécurité matérielles (conformes aux normes FIDO2) servent de Passkeys liées à un appareil. Ce sont des dispositifs physiques qui stockent vos clés privées, fournissant une MFA résistante au phishing, portable sur tout ordinateur compatible.

Quelles applications et quels sites prennent en charge les Passkeys ?

Les grandes plateformes technologiques en tête

L’adoption s’accélère chaque jour, avec presque toutes les grandes entreprises technologiques prenant désormais en charge les Passkeys pour les comptes utilisateurs :

• Google
• Apple
• Microsoft
• PayPal & eBay
• Amazon
• TikTok
• Et bien d'autres…

Comment trouver d'autres services compatibles avec les Passkeys

Suivre l’adoption peut être difficile. Des ressources comme notre liste de services web compatibles offrent un aperçu actualisé des sites et applications ayant intégré la prise en charge des Passkeys, facilitant la transition vers un monde sans mot de passe.

Réponses aux préoccupations et questions fréquentes (FAQ)

Que se passe-t-il si je perds mon téléphone ? Processus de récupération expliqué

C’est une crainte courante, mais le processus de récupération est plus puissant que celui des mots de passe. Comme les Passkeys sont synchronisées, si vous perdez votre téléphone, vous pouvez toujours accéder à vos comptes avec la Passkey sur votre tablette ou ordinateur portable. Si vous perdez tous vos appareils, vous utilisez les méthodes de récupération de votre compte cloud (Apple ID, compte Google).

Dans les environnements professionnels, ce processus est géré de manière centralisée. Des plateformes comme Hideez offrent aux administrateurs une console centrale pour mettre en œuvre des processus de récupération sécurisés et conformes. Cela garantit qu’un employé qui perd un appareil peut être rapidement rééquipé, assurant la continuité de l’activité sans compromettre la sécurité.

Puis-je encore utiliser mon ancien mot de passe si je le souhaite ?

Oui. Pour les années à venir, presque tous les services qui adoptent les Passkeys continueront à prendre en charge les mots de passe comme méthode de connexion de secours. Cela permet une transition progressive et évite aux utilisateurs d’être bloqués s’ils utilisent un appareil ancien ou non compatible.

Mes données biométriques (visage/empreinte) sont-elles envoyées au serveur ?

Absolument pas. C’est une garantie essentielle de confidentialité et de sécurité. Vos données biométriques ne quittent jamais votre appareil. Elles sont traitées localement par le matériel sécurisé de votre téléphone ou ordinateur. Leur seul rôle est de vérifier que vous êtes l’utilisateur autorisé et de « déverrouiller » la clé privée pour signer cryptographiquement la requête. Le serveur ne sait pas si vous avez utilisé votre visage, une empreinte ou un code PIN.

Puis-je utiliser les Passkeys sur un ordinateur public ou partagé ?

Oui, et c’est bien plus sécurisé que de taper un mot de passe. Vous utilisez la méthode de code QR décrite précédemment. Votre Passkey reste sur votre téléphone, et aucun identifiant ni secret n’est stocké sur l’ordinateur public.

Défis et limitations actuels d’un monde sans mot de passe

Bien que cette technologie soit révolutionnaire, la transition ne se fera pas du jour au lendemain.

La lente adoption à l’échelle mondiale. Le plus grand obstacle est le temps. Des millions de sites et applications doivent mettre à jour leurs systèmes pour prendre en charge le standard FIDO2. Même si les principaux acteurs sont déjà compatibles, il faudra des années avant que tous les services que vous utilisez suivent.

Le problème des écosystèmes fermés : Apple vs Google vs Microsoft. Bien que l’interopérabilité ait fortement progressé, des frictions persistent entre écosystèmes. C’est là que les fournisseurs d’identité d’entreprise apportent une réelle valeur. Une plateforme unifiée comme Hideez est conçue pour simplifier cette complexité. Grâce à une solution unique et des clés matérielles compatibles, les entreprises peuvent déployer des Passkeys fonctionnant de manière transparente pour tous les utilisateurs, quel que soit leur appareil.

Éduquer les utilisateurs et changer les habitudes. Depuis plus de 30 ans, nous avons appris à créer, retenir et taper des mots de passe. Passer à un nouveau paradigme où vous n’avez plus de secret à retenir représente un défi d’éducation majeur. Les utilisateurs doivent faire confiance à la technologie et comprendre comment gérer leurs nouvelles clés numériques.

Hideez propose une solution sans mot de passe de bout en bout, combinant des clés matérielles FIDO2 avec une plateforme de gestion centralisée pour sécuriser vos terminaux et simplifier la conformité.

Prêt à éliminer votre plus grand risque de sécurité ? Planifiez une démonstration avec nos experts pour découvrir comment Hideez peut sécuriser votre transition vers un monde sans mot de passe.

Rédigé par :

Oleg Naumenko

PDG et fondateur, Hideez