Quelle différence entre une passkey et un mot de passe ?

Un mot de passe est un secret partagé (vous le connaissez, le site le stocke) qui peut être volé, deviné ou phishé. Une passkey est une paire de clés cryptographiques : la clé privée reste sur votre appareil et n'est jamais transmise, la clé publique est enregistrée par le site. Résultat : rien à mémoriser, rien à phisher, rien à voler dans une base de données compromise.

Les passkeys remplacent-elles vraiment la MFA ?

Oui, et elles sont plus sûres. Une passkey combine intrinsèquement les trois facteurs : ce que vous possédez (l'appareil), ce que vous êtes (biométrie pour déverrouiller), et implicitement ce que vous savez (code PIN de déverrouillage). Contrairement aux MFA classiques, elles résistent au phishing par conception car elles vérifient cryptographiquement le domaine du site.

Que se passe-t-il si je perds mon téléphone avec mes passkeys ?

Les passkeys modernes sont généralement synchronisées dans le cloud de l'écosystème (iCloud Keychain sur Apple, Google Password Manager sur Android/Chrome, Windows Hello sur Microsoft). En cas de perte, elles restent accessibles sur vos autres appareils du même écosystème. Pour les passkeys device-bound (clés FIDO2 matérielles, hardware keys), il faut toujours configurer au moins une clé de backup et des méthodes de récupération alternatives.

Toutes les plateformes supportent-elles les passkeys ?

Pas encore. En 2026, la majorité des grands services (Google, Apple, Microsoft, Amazon, GitHub, Shopify, banques majeures, réseaux sociaux) supportent les passkeys. Mais beaucoup de sites secondaires, d'applications métier et d'outils SaaS d'entreprise n'ont pas encore migré. L'adoption reste très active : elle progresse mois après mois.

Passkey : définition, fonctionnement et adoption de la clé sans mot de passe

Standard: FIDO2 / WebAuthn (W3C)
Cryptographie: Asymétrique (elliptic curve, typiquement ES256)
Support: Apple (iOS 16+), Google, Microsoft, tous navigateurs modernes
Résistance au phishing: Par conception (vérification du domaine)
Adoption grand public: Massive en 2025-2026

01 — DéfinitionQu'est-ce qu'une passkey ?

Source officielle : page passkeys (FIDO Alliance).

Une passkey est une clé cryptographique stockée sur votre appareil qui sert de preuve d'identité auprès des services en ligne, en remplacement du traditionnel couple identifiant/mot de passe. Elle s'appuie sur le standard FIDO2 / WebAuthn, développé par l'Alliance FIDO et le W3C.

Techniquement, une passkey est une paire de clés asymétriques :

Une clé privée, stockée de manière sécurisée sur votre appareil et qui ne le quitte jamais.
Une clé publique, envoyée au site au moment de la création du compte et stockée de son côté.

Pour se connecter, l'appareil signe un défi cryptographique avec la clé privée ; le site vérifie la signature avec la clé publique. Aucun secret partagé n'est jamais transmis sur le réseau. Le déverrouillage de la clé privée se fait localement — empreinte digitale, reconnaissance faciale, ou code PIN.

Conceptuellement, une passkey combine les trois facteurs d'authentification en un : quelque chose qu'on possède (l'appareil qui stocke la clé), quelque chose qu'on est (la biométrie pour la débloquer), et implicitement quelque chose qu'on sait (le code PIN en fallback). C'est ce qui en fait une alternative réellement passwordless sans compromettre la sécurité.

Les passkeys ne sont pas une « amélioration » du mot de passe, mais son remplacement complet. Aucun secret à mémoriser, à copier, à phisher, à stocker en base de données.

02 — MécaniqueComment ça marche concrètement

Création d'un compte avec passkey

Vous visitez un site compatible (Google, GitHub, Amazon, etc.).
Au moment de créer votre compte, le site propose « Utiliser une passkey ».
Votre navigateur demande à votre appareil de générer une nouvelle paire de clés, spécifique à ce site.
L'appareil vous demande de confirmer (biométrie ou PIN).
La clé privée est stockée de manière sécurisée ; la clé publique est envoyée au site.
Compte créé. Plus jamais besoin de mot de passe pour ce site.

Connexion avec passkey

Vous visitez le site.
Vous cliquez sur « Se connecter » — le navigateur propose la passkey enregistrée.
L'appareil vous demande de confirmer (biométrie ou PIN).
La clé privée signe le défi envoyé par le site.
Vous êtes connecté — en 2 à 3 secondes sans aucune saisie.

Pourquoi ça résiste au phishing

Lors de la création, la passkey est liée cryptographiquement au domaine exact du site. Si un attaquant vous redirige vers une copie malveillante (goog1e.com au lieu de google.com), votre appareil refuse de signer parce que le domaine ne correspond pas. Même un utilisateur qui voudrait se connecter au faux site ne peut pas le faire — la protection est cryptographique, pas comportementale.

C'est l'une des différences fondamentales avec la MFA classique. Un code TOTP, une notification push ou un SMS peut être demandé et validé depuis un site de phishing via un proxy (attaque adversary-in-the-middle). Une passkey ne peut pas.

03 — ComparaisonPasskey vs mot de passe

Mot de passe — modèle hérité

Secret partagé entre l'utilisateur et le site.
Mémorisé par l'humain ou un gestionnaire.
Saisi à chaque connexion — vulnérable au keylogger et au phishing.
Stocké côté serveur — vulnérable aux fuites de bases de données.
Réutilisable — un mot de passe fuité peut ouvrir plusieurs comptes (credential stuffing).
Nécessite une MFA complémentaire pour une vraie sécurité.

Passkey — modèle moderne

Aucun secret partagé — la clé privée reste sur l'appareil.
Rien à mémoriser ni à saisir.
Déverrouillage par biométrie locale — aucune biométrie transmise au site.
Le site ne stocke que la clé publique — une fuite ne compromet rien.
Unique par site — aucune possibilité de réutilisation ou de credential stuffing.
Pas besoin de MFA complémentaire (la passkey combine déjà les facteurs).
Résistante au phishing par conception.

04 — VariantesPasskeys synchronisées vs device-bound

Il existe deux grandes catégories de passkeys, avec des compromis différents entre ergonomie et sécurité.

Passkeys synchronisées (cloud-backed)

Stockées dans un gestionnaire lié à votre compte cloud :

iCloud Keychain (Apple) — synchronisation entre iPhone, iPad, Mac.
Google Password Manager — synchronisation entre appareils Android et Chrome.
Microsoft — via Windows Hello et les comptes Microsoft.
Gestionnaires tiers — 1Password, Bitwarden, Dashlane proposent leurs propres coffres de passkeys synchronisées.

Avantage : vous pouvez vous connecter depuis n'importe lequel de vos appareils. Si vous perdez votre téléphone, vos passkeys sont toujours accessibles ailleurs. C'est le modèle grand public le plus pratique.

Limite : la sécurité de vos passkeys dépend de la sécurité de votre compte cloud. Une compromission du compte Apple/Google exposerait toutes les passkeys synchronisées.

Passkeys device-bound (hardware)

Stockées dans un élément sécurisé matériel, jamais copiées ailleurs :

Clés FIDO2 matérielles — YubiKey, Google Titan, Feitian, Token2.
TPM de l'ordinateur — Windows Hello avec TPM 2.0.
Secure Enclave — iPhone en mode strict sans iCloud sync.

Avantage : sécurité maximale. La clé privée est physiquement impossible à extraire. Idéal pour les comptes à privilèges, les dirigeants, les environnements réglementés.

Limite : en cas de perte ou de casse, la passkey est irrécupérable. Il faut en enregistrer au moins deux (clé principale + clé de backup) sur chaque compte important.

Choix pratique

Pour le grand public et la majorité des usages pro : passkeys synchronisées suffisent largement.
Pour les comptes à privilèges, administrateurs, dirigeants : passkeys device-bound (clé FIDO2 matérielle) avec backup obligatoire.
Pour les environnements très sensibles (défense, finance stratégique) : passkeys device-bound exclusivement, plusieurs clés, procédure de récupération physique.

05 — AvantagesPourquoi c'est une rupture

Les passkeys ne sont pas une amélioration marginale, elles changent plusieurs problèmes structurels de l'authentification.

Elles éliminent le phishing : impossible de saisir sa passkey sur un site de phishing, la vérification est cryptographique et liée au domaine. C'est probablement la seule technologie qui rend le phishing de credentials structurellement impossible.
Elles éliminent les fuites de mots de passe : les sites ne stockent que des clés publiques, qui ne valent rien en cas de vol.
Elles éliminent la réutilisation : chaque passkey est unique par site, le credential stuffing devient impossible.
Elles simplifient l'expérience utilisateur : plus de choix de mot de passe, plus d'oubli, plus de réinitialisation. Connexion en 2 secondes au lieu de 15.
Elles intègrent nativement la MFA : la biométrie locale ou le PIN de déverrouillage constitue le second facteur, sans SMS ni app séparée.
Elles sont standardisées : FIDO2 et WebAuthn sont des standards W3C ouverts. Pas de lock-in propriétaire.
Elles réduisent les coûts de support : les tickets « j'ai oublié mon mot de passe » disparaissent, et avec eux le risque d'ingénierie sociale sur le helpdesk IT.

06 — LimitesCe qui reste à résoudre

Adoption incomplète — tous les sites ne supportent pas encore les passkeys. Il faut conserver un mot de passe + MFA en parallèle sur ces services, ce qui affaiblit le bénéfice global tant que la migration n'est pas achevée.
Portabilité inter-écosystèmes — les passkeys synchronisées via iCloud Keychain ne sont pas automatiquement disponibles sur Android, et inversement. Le Cross-Device Authentication via QR code limite la friction mais reste moins fluide que l'usage natif. Les gestionnaires tiers (1Password, Bitwarden) règlent ce problème au prix d'une dépendance supplémentaire.
Récupération en cas de perte totale — question délicate pour les passkeys device-bound. Nécessite obligatoirement des clés de backup et des procédures de récupération alternatives bien définies.
Confiance dans l'écosystème cloud — les passkeys synchronisées dépendent de la sécurité du compte Apple/Google/Microsoft. Une compromission (phishing du compte parent, SIM swap, accès frauduleux) exposerait toutes les passkeys. Ce n'est pas pire qu'un gestionnaire de mots de passe, mais pas mieux non plus.
Applications métier legacy — beaucoup d'ERP, de CRM, d'applications internes anciennes ne supportent pas encore FIDO2. Le déploiement en entreprise reste un sujet partiel en 2026.
Changement culturel — remplacer un réflexe ancré (saisir un mot de passe) prend du temps et demande un accompagnement utilisateur soigné.

07 — DéploiementMettre en place les passkeys en entreprise

Phase 1 — Inventaire

Identifier les applications critiques qui supportent FIDO2/WebAuthn (la plupart des suites modernes le font).
Cartographier les applications qui ne le supportent pas — prévoir un plan de migration ou de relais via SSO.
Vérifier les capacités FIDO2 du parc d'appareils (TPM 2.0 sur Windows, Secure Enclave sur Mac/iPhone, Strongbox sur Android).

Phase 2 — Priorités

Priorité 1 absolue : comptes à privilèges (admin M365, admin AWS/Azure/GCP, administrateurs applicatifs). Clé FIDO2 matérielle obligatoire.
Priorité 2 : dirigeants et profils très exposés. Passkey + clé FIDO2 de backup.
Priorité 3 : utilisateurs standards via SSO unifié. Passkey synchronisée via la plateforme d'identité.

Phase 3 — Pilote

Phase de test sur un département volontaire (IT typiquement) pendant 1-2 mois.
Documentation utilisateur claire : enrôlement, usage quotidien, récupération.
Procédures de support dédiées.
Mesure des KPI : temps d'enrôlement, incidents, tickets support.

Phase 4 — Généralisation

Rollout progressif par vagues de service ou de département.
Double parcours obligatoire : passkey + méthode de récupération (clé de backup, codes de secours imprimés, passkey sur second appareil).
Retrait progressif des mots de passe : désactiver leur utilisation une fois la passkey en place.
Revue d'accès trimestrielle : passkeys actives, appareils enregistrés, session binding.

08 — FAQQuestions fréquentes

Mes mots de passe existants disparaissent-ils ?

Non, pas automatiquement. Quand un service propose les passkeys, vous pouvez typiquement les activer en complément d'un mot de passe existant. Certains services (Microsoft pour les comptes personnels, par exemple) proposent ensuite de désactiver complètement le mot de passe. À terme, la disparition des mots de passe sera progressive et volontaire, service par service.

Les passkeys sont-elles gratuites ?

Oui, sauf achat optionnel de clés matérielles (YubiKey environ 50-80 €, Google Titan environ 35 €). Les passkeys synchronisées via iCloud, Google ou Microsoft sont incluses dans ces écosystèmes. Les gestionnaires de mots de passe tiers (1Password, Bitwarden) peuvent facturer selon leur modèle habituel.

Sont-elles compatibles RGPD ?

Parfaitement. Les passkeys sont plus respectueuses de la vie privée que beaucoup d'alternatives : aucune biométrie n'est transmise au serveur (tout reste local), aucune donnée personnelle nouvelle n'est collectée, le principe de minimisation est respecté.

Et si je veux me connecter depuis l'ordinateur d'un collègue ?

Deux options. Soit le site supporte le Cross-Device Authentication : un QR code s'affiche sur l'ordinateur, vous le scannez avec votre téléphone qui valide par biométrie, vous êtes connecté sur l'ordinateur. Soit vous utilisez une clé FIDO2 matérielle portable (YubiKey USB ou NFC) que vous branchez temporairement.

La passkey est-elle plus sûre qu'un gestionnaire de mots de passe bien utilisé ?

Oui, principalement parce qu'elle résiste au phishing. Un gestionnaire correctement utilisé bloque aussi la réutilisation, mais un utilisateur peut toujours être trompé pour saisir un mot de passe sur un faux site. Avec les passkeys, cette erreur devient techniquement impossible.

Les entreprises les adoptent-elles vraiment ?

Oui, l'adoption est en accélération continue depuis 2023-2024. Microsoft, Google, Apple, Amazon, GitHub, Shopify, de nombreuses banques et grands acteurs numériques supportent les passkeys. Côté entreprise, les plateformes d'identité (Azure AD/Entra ID, Okta, Google Workspace) proposent toutes le support FIDO2/passkey. 2025 a marqué le basculement, 2026 est l'année de généralisation.