Votre IP :3.145.194.173

·

Statut : Non protégé

Continuer vers le site principal
Blog Un modèle de comportement responsable

Passkeys : qu’est-ce que c’est, comment ça fonctionne et devriez-vous en utiliser ?

Les mots de passe sont omniprésents dans notre vie numérique : pour protéger nos comptes en ligne, nous authentifier sur notre compte ou encore verrouiller nos appareils. Néanmoins, ils sont souvent vulnérables aux attaques et fuites de données. C'est là qu'intervient le passkey (ou clé d’accès en français), une technologie conçue pour offrir une alternative plus sûre et plus simple à la gestion des identifiants. Dans cet article, nous allons définir ce qu'est un passkey, explorer son fonctionnement, ses avantages et inconvénients. Nous verrons également comment configurer un passkey sur différents appareils.

author delphine 1 png

Delphine Lacour

3 mars 2025

12 min. de lecture

Qu'est-ce qu'un passkey et comment ça fonctionne ?

Qu'est-ce qu'un passkey ?

Un passkey est une alternative aux mots de passe traditionnels, basée sur une authentification cryptographique. Contrairement aux mots de passe, qui peuvent être oubliés, devinés ou volés, les passkeys utilisent une approche de clés cryptographiques permettant une connexion plus sûre et transparente.

Le concept repose sur la technologie FIDO2 (Fast Identity Online), un standard d'authentification développé par la FIDO Alliance, qui comprend des entreprises telles qu'Apple, Google et Microsoft. Avec cette technologie, le passkey est lié à un appareil de confiance et ne peut pas être facilement compromis par des attaques de phishing ou des violations de bases de données.

Les passkeys se divisent en deux catégories principales :

  • Clés d'accès multi-appareils : ces passkeys sont synchronisés entre plusieurs appareils via un service cloud, tel que iCloud Keychain d'Apple, Google Password Manager ou Microsoft Authenticator. Elles permettent une authentification fluide et transparente sur différents dispositifs d'un même utilisateur.
  • Clés d'accès liées aux appareils : ces passkeys sont stockés localement sur un appareil unique et ne peuvent pas être accédées depuis un autre dispositif. Cette approche offre une meilleure protection contre le piratage à distance, mais elle peut poser des problèmes en cas de perte de l'appareil.

Avantages des passkeys

L'utilisation des passkeys présente plusieurs avantages majeurs par rapport aux mots de passe classiques :

  • Sécurité renforcée : contrairement aux mots de passe, qui peuvent être volés via des attaques de force brute, des techniques de phishing ou encore des logiciels keyloggers, les passkeys sont inviolables, car ils reposent sur une authentification cryptographique basée sur des paires de clés publiques et privées.
  • Authentification rapide : un passkey entraîne une connexion quasi instantanée, sans besoin de saisir des informations sensibles ou de longues chaînes de caractères.
  • Protection contre le vol de mots de passe : les informations d'authentification ne sont pas transmises aux serveurs, ce qui empêche toute exfiltration en cas de violation de données.
  • Expérience utilisateur améliorée : un accès simplifié aux services en ligne, sans risque d'oublier un mot de passe.
  • Avantages pour les développeurs : mise en place d'une authentification forte et standardisée via les API FIDO2/WebAuthn.

Inconvénients des passkeys

Malgré leurs nombreux atouts, les passkeys présentent certains désavantages :

  • Dépendance aux écosystèmes : cette méthode fonctionne uniquement de manière optimale avec des services cloud compatibles (Apple, Google, Microsoft).
  • Difficulté de récupération : en cas de perte d'accès à l'appareil principal, la récupération des passkeys peut être complexe.
  • Compatibilité limitée : certains sites et applications ne prennent pas encore en charge cette technologie.

Comment fonctionnent les passkeys ?

Le fonctionnement des passkeys repose sur un mécanisme de cryptographie asymétrique. Lorsqu'un utilisateur crée un passkey pour un service, deux clés sont générées :

  • Une clé privée : stockée en toute sécurité sur l'appareil de l'utilisateur et jamais partagée.
  • Une clé publique : enregistrée par le service en ligne, elle est utilisée pour vérifier l'authenticité de l'utilisateur.

Lors d'une tentative de connexion, le service défie l'appareil en lui envoyant un challenge cryptographique que seule la clé privée peut déchiffrer, garantissant ainsi une authentification forte et sans partage d'informations sensibles. Au lieu d’avoir à saisir une combinaison nom d'utilisateur/mot de passe ou d'utiliser l'authentification multifacteur pour valider la connexion, il suffit de saisir son code PIN, son empreinte digitale ou de soumettre l’appareil à la reconnaissance faciale. La clé d’accès stockée sur votre appareil est synchronisée avec le nom et les détails de votre compte et changera à chaque fois que vous vous connecterez et approuverez l'accès. Une autre façon de procéder consiste à utiliser des QR codes : pour vous connecter, il vous suffit de scanner le QR code avec l'appareil photo de votre téléphone. La prochaine fois que vous vous connecterez avec cette combinaison ordinateur/téléphone, vous n'aurez plus besoin de passer par cette étape.

Passkey ou mot de passe ?

L'utilisation d'un passkey ou d'un mot de passe sécurisé présente de nombreuses différences que l’on peut synthétiser dans le tableau suivant :

Critère

Passkey

Mot de passe

Sécurité

Très élevée

Vulnérable aux attaques (phishing, force brute...)

Facilité d'utilisation

Simple

Peut être complexe

Récupération

Possible via le cloud

Facile avec une réinitialisation

Risque de phshing

Inexistant

Élevé

En résumé, les passkeys apparaissent plus sûrs, car ils éliminent les risques liés au vol de mots de passe, mais aussi à la création de mots de passe faibles et faciles à deviner, encore bien trop courants.

Qui utilise des passkeys aujourd’hui ?

De plus en plus d'entreprises et de services adoptent les passkeys comme solution d'authentification principale ou complémentaire. Cette adoption s’étend à plusieurs secteurs, allant des navigateurs web aux applications mobiles et aux systèmes d’exploitation.

Actuellement, les principaux navigateurs prennent en charge l’authentification par clé d’accès, garantissant une compatibilité accrue avec les services en ligne. Parmi eux, nous retrouvons :

  • Google Chrome : intégrée avec le gestionnaire de mots de passe Google, la prise en charge des passkeys Google est intégrale.
  • Mozilla Firefox : offre une prise en charge de WebAuthn pour la connexion par passkey.
  • Microsoft Edge : fonctionne avec Windows Hello pour stocker les passkeys.
  • Apple Safari : prendre en charge les passkeys via iCloud Keychain.

Sites Web et applications prenant en charge les passkeys

De nombreuses plateformes populaires ont commencé à intégrer cette technologie pour offrir une connexion plus sûre et plus fluide :

  • Amazon : permet d’utiliser un passkey pour sécuriser son compte.
  • PayPal : supporte l’authentification par passkey pour limiter les risques de fraude.
  • X (anciennement Twitter) : propose l’authentification WebAuthn.
  • Google : compatible avec son gestionnaire de mots de passe pour l’authentification sans mots de passe via le passkey Google

Appareils et systèmes d'exploitation prenant en charge les passkeys

L’adoption des clés d’accès s’étend également aux systèmes d’exploitation et aux appareils mobiles :

  • Apple : iPhone, iPad et Mac sont compatibles avec iCloud Keychain pour stocker et synchroniser les passkeys Apple.
  • Android : support natif des passkeys Android via Google Password Manager.
  • Windows 11 : intégration avec Windows Hello pour gérer les passkeys.

Comment configurer des passkeys sur votre appareil ?

Les smartphones figurent parmi les outils les plus fréquemment employés pour l’activation des passkeys. Lorsque vous synchronisez un compte existant ou créez un nouveau compte sur un iPhone ou un téléphone Android, il est fort probable que l’option de connexion via un passkey vous soit proposée.

L’activation des passkeys peut se faire depuis vos dispositifs d’authentification ou directement dans les paramètres de votre compte utilisateur. Voici comment procéder selon le système d’exploitation utilisé.

Configurer un passkey pour un appareil Apple

Apple exploite son service iCloud Keychain pour synchroniser les passkeys Apple sur tous vos appareils via le Cloud. Pour activer cette fonctionnalité, suivez ces étapes :

  • Sur iPhone ou iPad :
    1. 1.Ouvrez "Réglages", appuyez sur votre nom ou votre identifiant Apple, puis sélectionnez "iCloud".
    2. 2.Accédez à "Mots de passe et trousseau".
    3. 3.Activez le Trousseau iCloud. Une authentification via Touch ID peut être requise pour confirmer l’activation.
  • Sur Mac :
    1. 1.Rendez-vous dans "Paramètres système" ou "Préférences système" depuis le menu Apple.
    2. 2.Cliquez sur votre identifiant Apple, puis sélectionnez "iCloud".
    3. 3.Activez "Mots de passe et trousseau" pour synchroniser les passkeys sur l’ensemble de vos appareils Apple.

L’activation des passkeys sur votre iPhone ou iPad ne désactive pas pour autant la reconnaissance biométrique via Touch ID.

Configurer un passkey pour un appareil Windows

Microsoft a renforcé la compatibilité des passkeys dans les versions récentes de Windows. Pour activer cette fonctionnalité de passkeys Microsoft, procédez comme suit :

  1. 1.Rendez-vous sur un site web ou ouvrez une application qui prend en charge les clés d’accès.
  2. 2.Créez une passkey via les paramètres de votre compte.
  3. 3.Enregistrez cette clé d’accès. Windows permet de l’enregistrer sur divers appareils, qu’il s’agisse de dispositifs iOS, Android ou d’une clé de sécurité locale.
  4. 4.Finalisez l’activation en suivant les instructions spécifiques à votre appareil.

Lors d’une future connexion sur un nouvel appareil, celui ayant enregistré la clé d’accès initiale pourra recevoir une notification push pour la validation.

Configurer un passkey pour un appareil Google

Google a intégré les passkeys comme méthode de connexion sécurisée à ses comptes. Pour les activer, suivez ces étapes :

  1. 1.Accédez aux paramètres de votre compte Google.
  2. 2.Vérifiez si les passkeys sont déjà activés. Si des clés d’accès ont été enregistrées via un appareil Android, elles apparaîtront dans la liste.
  3. 3.Si la fonctionnalité est activée, appuyez sur "Utiliser les clés d’accès".
  4. 4.Si elle ne l’est pas, sélectionnez "Créer une clé d’accès".
  5. 5.Cliquez sur "Continuer" et suivez les instructions affichées à l’écran.

Une fois le passkey Google configuré, ce processus devra être répété sur tout appareil compatible que vous souhaitez utiliser pour vous connecter à votre compte Google.

Évolution des passkeys

L’histoire des passkeys est évidemment récente, mais son évolution va être, à n’en pas douter, majeure. Cette technologie innovante est appelée à remplacer progressivement nos bons vieux mots de passe et est portée par les entreprises majeures de la Tech.

Histoire des passkeys

Les passkeys sont un produit de la FIDO (Fast Identity Online) Alliance, un consortium industriel fondé en 2012 dans le but de développer des normes d'authentification qui réduisent la dépendance aux mots de passe. La FIDO Alliance a en effet reconnu les vulnérabilités associées aux mots de passe, telles que les informations d'identification faibles et les attaques de phishing, et a cherché à créer une alternative plus sûre et plus simple d'utilisation.

En 2022, les passkeys ont pris un élan significatif lorsqu'Apple, Google et Microsoft (trois des plus grands noms de la technologie) ont annoncé leur engagement à prendre en charge les passkeys sur leurs plateformes. La première disponibilité à grande échelle a eu lieu la même année avec iOS 16, marquant une étape importante dans l'évolution des méthodes d'authentification des utilisateurs.

L’avenir des passkeys

Les passkeys, bien qu’encore récents, s’imposent progressivement comme une alternative sécurisée et pratique aux mots de passe traditionnels. De plus en plus d’entreprises adoptent cette technologie afin d’améliorer l’expérience utilisateur tout en renforçant la protection des données.

Amazon, géant du commerce en ligne, a pris conscience des risques liés aux attaques informatiques et à la fuite de données. Pour offrir une meilleure protection à ses utilisateurs, l’entreprise a commencé à déployer la prise en charge des clés d'accès à partir d’octobre 2023. Les clients peuvent désormais activer cette option via les paramètres de leur compte et l’utiliser aussi bien sur les navigateurs que sur les applications mobiles.

Google a longtemps misé sur la sécurité avec sa clé Titan, un dispositif physique permettant une authentification renforcée. Autrefois limitée à une utilisation comme second facteur d’identification, la dernière génération de clés Titan intègre désormais des fonctionnalités de passkey conformes au standard FIDO2.

Les nouveaux modèles peuvent désormais stocker des passkeys pour des centaines de comptes et sont compatibles avec tous les services FIDO. 

Avec sa popularité grandissante, Android est aussi un acteur clé dans l’adoption des passkeys. La sortie d’Android 14 marque une avancée significative en matière de sécurité, notamment grâce au lancement du Credential Manager en novembre 2023. Cet outil permet de centraliser les données biométriques et les mots de passe traditionnels en un seul endroit, simplifiant ainsi l’authentification sur les smartphones Android ainsi que l'adoption de passkeys Android.

L’adoption des clés d'accès par des entreprises de premier plan marque une véritable révolution dans la gestion de la sécurité numérique. Amazon, Google et Android montrent l’exemple en intégrant ces technologies dans leurs écosystèmes respectifs. À mesure que cette innovation se démocratise, il est fort probable que de plus en plus de services suivront cette tendance, offrant ainsi un avenir plus sûr et plus pratique aux utilisateurs.

Autres moyens d'améliorer votre sécurité en ligne

L’activation des passkeys constitue une avancée significative pour renforcer la protection de vos comptes en ligne. Cependant, elle ne doit pas être votre seule mesure de sécurité. Voici d’autres bonnes pratiques à adopter pour garantir une protection optimale de vos données :

  • Utilisez un gestionnaire de mots de passe : même avec l’adoption progressive des passkeys, certains services nécessitent encore des mots de passe. Un gestionnaire de mot de passe vous aidera à générer et stocker des identifiants sécurisés. Le choix, par exemple, du gestionnaire de mots de passe NordPass sera particulièrement judicieux si vous recherchez un outil pratique, facile d’utilisation et fiable.
  • Activez l’authentification multi-facteurs (MFA) : la MFA permet de bénéficier d’une couche de protection supplémentaire qui empêche les accès non autorisés même si vos identifiants sont compromis.
  • Méfiez-vous des e-mails et messages suspects : le phishing reste une méthode courante pour voler des informations personnelles. Soyez toujours vigilants face aux messages provenant d’expéditeurs inconnus, aux liens et aux pièces jointes non sollicitées.
  • Protégez votre connexion avec un VPN : un VPN permet de chiffrer vos données et dissimule votre adresse IP, ce qui vous permet de naviguer en toute sécurité, notamment sur les réseaux Wi-Fi publics. NordVPN est l’une des solutions les plus fiables pour sécuriser vos connexions en ligne et préserver votre confidentialité.

En combinant ces stratégies avec l’utilisation des passkeys, vous renforcerez considérablement votre cybersécurité et réduirez les risques de piratage de vos comptes et de vos données personnelles.

Protégez jusqu'à 10 appareils à la fois.

Optez pour la sécurité en ligne à portée de clic.

Obtenez NordVPN En savoir plus

Également disponible en: English,Nederlands.

author delphine 1 png

Delphine Lacour

Curieuse à propos des nouvelles technologies, Delphine Lacour s'intéresse aux usages des internautes au quotidien et aux problématiques de cybersécurité. Elle s'attache à partager un maximum de contenu pertinent pour partager cet intérêt avec le plus grand nombre.

Articles du moment