Mot de passe ou passkey : la fin annoncée d'une époque
Le mot de passe a 60 ans cette année. Il a survécu à toutes les prédictions de mort annoncée, des cartes à puce aux empreintes digitales en passant par les SMS. Pourtant la passkey, popularisée par l'alliance FIDO et soutenue par les trois géants de l'OS, semble cette fois en passe de prendre le relais. Le calendrier est plus lent qu'annoncé, mais la trajectoire est claire.
Comment fonctionne une passkey, en deux phrases
Une passkey repose sur une paire de clés cryptographiques : une clé publique stockée chez le service en ligne, une clé privée gardée sur votre appareil (iPhone, MacBook, Android, clé Yubikey, gestionnaire 1Password). Quand vous vous connectez, l'appareil signe un défi envoyé par le serveur, prouvant que vous possédez la clé privée sans jamais la transmettre. Résultat : pas de mot de passe à voler, pas de mot de passe à hameçonner, pas de réutilisation possible entre sites.
Le déverrouillage de la clé privée se fait localement par biométrie (Face ID, Touch ID, capteur Android) ou par code PIN de l'appareil. Aucune empreinte digitale ne quitte votre matériel, ce qui répond à une grande partie des craintes initiales sur la biométrie. Le standard sous-jacent, WebAuthn, est ouvert et a été ratifié par le W3C, ce qui le distingue d'autres tentatives passées portées par un seul acteur.
Pourquoi le mot de passe doit disparaître
Les chiffres parlent d'eux-mêmes. La majorité des fuites de données documentées par les CERT nationaux résultent d'une faiblesse côté authentification : mots de passe réutilisés entre sites, hameçonnage ciblé, base de données compromise. L'ANSSI rappelle régulièrement que près de la moitié des intrusions analysées partent d'une compromission d'identifiants. Aucune campagne de sensibilisation à la complexité des mots de passe n'a réellement inversé cette tendance.
Le gestionnaire de mots de passe a partiellement résolu le problème en permettant des mots de passe uniques et longs, mais il ne protège pas contre le hameçonnage en temps réel : un utilisateur trompé par une fausse page de connexion saisit ses identifiants, et le gestionnaire ne distingue pas la fraude. La passkey, elle, lie cryptographiquement la signature à l'origine du site, ce qui rend le hameçonnage classique inopérant.
Le coût économique du mot de passe est aussi sous-estimé. Un support IT d'entreprise consacre une part significative de son temps à des réinitialisations. Les estimations sectorielles tournent autour de 50 à 80 dollars par incident de réinitialisation, sans compter le temps perdu côté utilisateur. Sur une organisation de 200 personnes, on parle de plusieurs dizaines de milliers d'euros annuels qui s'évanouissent en oublis et déblocages.
Ce qui freine encore l'adoption en entreprise
Sur le papier tout le monde gagne, mais les freins sont nombreux. L'expérience utilisateur change : connecter un nouveau collaborateur ne se fait plus en lui transmettant un mot de passe, mais en provisionnant une passkey sur son matériel. Si l'appareil est perdu ou changé, il faut un mécanisme de récupération solide. Les anciens logiciels métiers, notamment les ERP installés en interne, ne supportent souvent pas WebAuthn et continuent d'exiger un mot de passe traditionnel. Enfin, la portabilité entre environnements reste imparfaite : passer d'une passkey iCloud à un Android demande encore plusieurs étapes manuelles.
La gouvernance des appareils ajoute une difficulté souvent négligée. Avec un mot de passe, l'identifiant suit l'utilisateur quel que soit l'appareil. Avec une passkey, l'identifiant est lié à l'appareil ou au compte cloud qui le synchronise. Quand un collaborateur change de téléphone, oublie son ordinateur en réunion ou se retrouve en panne, le service IT doit avoir prévu un parcours de récupération qui ne crée pas de faille de sécurité. Beaucoup d'entreprises sous-estiment cette mise en place et reculent l'adoption.
Côté DSI, le sujet de la traçabilité reste sensible. Un mot de passe peut être audité, daté, partagé techniquement entre administrateurs en cas d'urgence (ce qui n'est pas une bonne pratique, mais arrive). Une passkey est strictement liée à un individu et à un appareil, ce qui complexifie les procédures de continuité quand un administrateur clé est indisponible.
Les offres en place et leurs limites
Apple, Google et Microsoft proposent chacun une synchronisation cloud de leurs passkeys, respectivement via iCloud Keychain, Google Password Manager et Microsoft Account. Le système fonctionne sans douleur tant que l'utilisateur reste dans un catalogue, mais devient pénible dès qu'il en utilise plusieurs. Un dirigeant qui a un iPhone, un PC Windows pro et une tablette Android se retrouve avec trois trousseaux de passkeys distincts, ou doit accepter de tout centraliser sur un gestionnaire tiers.
Les gestionnaires tiers (1Password, Bitwarden, Dashlane, Proton Pass) ont rapidement comblé ce manque en proposant une synchronisation cross-périphérie d'outils et une politique d'entreprise centralisée. Pour une PME, ce choix présente l'avantage de l'indépendance vis-à-vis des géants du cloud, et la possibilité d'auditer plus finement l'usage. Les coûts d'abonnement restent modestes, entre 4 et 8 euros par utilisateur et par mois selon la formule.
Les clés physiques type Yubikey ou Token2 restent le standard ultime pour les comptes hautement sensibles (administration de serveurs critiques, accès aux bases clients, comptes de signataire bancaire). Un investissement de 50 à 100 euros par utilisateur, durable pendant cinq ans, qui élimine quasiment le risque de compromission à distance.
Par où commencer concrètement
Activez d'abord les passkeys sur vos comptes critiques personnels et pros : Google Workspace, Microsoft 365, GitHub, banque en ligne. Conservez en parallèle l'authentification à deux facteurs classique en plan B. Pour les équipes, déployez un gestionnaire de passkeys d'entreprise (1Password Business, Bitwarden Enterprise, Dashlane) qui synchronise les clés entre les appareils des collaborateurs et permet une révocation centralisée en cas de départ. Côté sites publics que vous éditez, ajoutez le support WebAuthn dès qu'il est compatible avec votre stack ; la majorité des frameworks modernes le proposent en deux ou trois jours de développement.
Documentez ensuite un parcours de récupération clair pour vos collaborateurs : que se passe-t-il si le téléphone est perdu, si l'ordinateur est volé, si le compte cloud principal est bloqué. Ce parcours doit être testé une fois par an par un échantillon représentatif, faute de quoi vous découvrirez ses failles au pire moment.
Enfin, ne basculez pas tout d'un coup. Un déploiement par cohortes, sur six à douze mois, avec un service IT formé et un support utilisateur réactif, donne bien meilleurs résultats qu'une bascule autoritaire. Les premiers utilisateurs deviennent des relais internes et lèvent les craintes des suivants.
Les fausses peurs et les vraies questions
Plusieurs craintes reviennent dans les conversations IT, sans toujours être fondées. La perte du téléphone n'efface pas vos passkeys si elles sont synchronisées via le cloud du constructeur ou un gestionnaire tiers. Un nouveau téléphone restaure l'accès en quelques minutes après authentification du compte principal. La crainte de "tout perdre d'un coup" relève d'une mauvaise compréhension du système.
La biométrie effraie certains utilisateurs convaincus que leurs empreintes sont transmises à un serveur central. C'est faux : les capteurs biométriques modernes (Secure Enclave Apple, Titan M Google, TPM Microsoft) traitent localement l'authentification et ne transmettent que des signaux binaires de validation. Aucune donnée biométrique n'est exposée aux services en ligne.
En revanche, certaines questions méritent une vraie réponse. Que se passe-t-il en cas de décès d'un collaborateur clé dont les passkeys n'étaient pas dupliquées ailleurs ? Comment auditer après coup une connexion suspecte ? Comment gérer les exigences réglementaires de certains secteurs qui imposent encore explicitement un mot de passe et une rotation périodique ? Ces sujets ne disqualifient pas la passkey, mais demandent une politique d'entreprise explicite.
Les écueils techniques rencontrés sur le terrain
Le déploiement réel révèle des bugs et incompatibilités qui ne ressortent pas des fiches commerciales. Certaines applications mobiles d'entreprise n'acceptent toujours pas WebAuthn et obligent à conserver un mot de passe parallèle. Certains VPN d'entreprise ne savent pas s'intégrer aux passkeys et imposent un détour par un facteur supplémentaire. Le SSO d'entreprise (Okta, Azure AD, Google Workspace) gère bien le sujet, mais des intégrations spécifiques peuvent demander plusieurs jours de configuration.
Les utilisateurs habitués à partager un compte (un standard, une boîte mail générique, un compte réseau social d'entreprise) découvrent que les passkeys cassent ce modèle. Cette contrainte est en réalité une bonne pratique de sécurité, mais elle oblige à mettre en place des outils de partage propres (gestionnaire de mot de passe d'équipe, comptes individuels avec délégation). Le coût caché de cette transition n'est pas négligeable.
Les développeurs côté entreprise qui intègrent WebAuthn sur leurs propres sites se heurtent à des subtilités de sécurité bien documentées mais piégeantes : gestion des cas où l'utilisateur a plusieurs appareils, gestion du conditional UI, gestion des erreurs côté navigateur. Compter plusieurs sprints pour une intégration vraiment robuste, plus quelques semaines de support post-déploiement.
Ce qui va se passer dans les trois ans
Les éditeurs SaaS grand public ont déjà basculé : Google, Microsoft, Apple, Amazon, Meta, GitHub, Cloudflare, la plupart des banques en ligne. Le mouvement va s'étendre aux administrations françaises, FranceConnect ayant indiqué une intégration progressive du standard. Les ERP et logiciels métiers internes vont suivre plus lentement, sous pression de leurs clients corporate qui veulent uniformiser leur sécurité.
Le mot de passe ne disparaîtra pas avant cinq à dix ans, mais les acteurs qui prennent une longueur d'avance subissent moins de phishing, moins de réinitialisations support et moins de fuites de bases. Pour un dirigeant pragmatique, la transition est un sujet à inscrire dans la feuille de route IT 2026, pas un projet pour 2030.
L'écart entre la promesse marketing et la réalité d'usage
Les démonstrations des éditeurs présentent toujours un parcours fluide : "trois clics, la passkey est créée, vous êtes connecté". La réalité est souvent plus heurtée. Sur certains sites, l'option de création de passkey est cachée dans des sous-menus difficiles à trouver. Sur d'autres, le système coexiste avec l'ancien mot de passe sans qu'on sache lequel est utilisé. Sur d'autres encore, la passkey crée des conflits avec le gestionnaire de mots de passe préinstallé du navigateur, et l'utilisateur se retrouve coincé entre deux systèmes.
Côté entreprise, la formation des utilisateurs prend du temps même pour des publics technophiles. Le concept même de clé cryptographique est étranger à la majorité des collaborateurs, qui ont intégré depuis trente ans le mécanisme "j'invente un mot de passe, je le note quelque part, je le retape". Expliquer pourquoi il n'y a plus rien à inventer ni à retenir demande un effort pédagogique réel. Les services IT qui ont réussi leur déploiement ont systématiquement investi dans des vidéos courtes, des sessions de questions-réponses, et un support disponible pendant plusieurs semaines après la bascule.
L'impact sur les pratiques de mot de passe partagé
Une dimension peu discutée du passage aux passkeys concerne les pratiques de mot de passe partagé dans les PME. Une boîte mail générique, un compte Canva d'équipe, un accès au CMS partagé entre rédacteurs : ces comptes mutualisés ont longtemps fonctionné avec un mot de passe transmis verbalement ou via Slack. La passkey, attachée à un appareil unique, casse mécaniquement ce modèle. Cela force les entreprises à mettre en place de vrais comptes individuels avec délégation, ou à utiliser un gestionnaire de mot de passe d'équipe qui assume le partage de credentials. Cette transition est bénéfique pour la sécurité globale, mais demande un travail de réorganisation qui prend plusieurs semaines et génère des résistances internes. Anticiper ce chantier avant le déploiement des passkeys évite que la sécurité progresse plus vite que les usages réels.