Les clés d’accès, ou passkeys, s’imposent peu à peu comme une alternative prometteuse aux mots de passe traditionnels. Avec la promesse d’une sécurité renforcée et d’une utilisation simplifiée, leur adoption suscite des espoirs. Cependant, alors que de nombreuses entreprises font le saut, une majorité d’entre elles résistent encore. Plongeons dans les mécanismes et les défis liés à cette nouvelle méthode d’authentification.
Qu’est-ce qu’une passkey ?
Au cœur de la passkey se trouvent deux clés cryptographiques. La première, privée, réside sur votre appareil et ne le quitte jamais, tandis que la seconde, publique, est enregistrée sur le site de connexion. Ce système permet à votre appareil de prouver qu’il détient la clé privée sans jamais transmettre d’informations susceptibles d’être interceptées par un attaquant.
En d’autres termes, les mots de passe reposent sur ce que vous savez, alors que les passkeys se basent sur ce que vous avez et ce que vous êtes. Sur les appareils Apple, l’identité est vérifiée par Face ID ou Touch ID, tandis que la clé privée est protégée dans la Secure Enclave.

L’adoption des passkeys : un chemin semé d’embûches
Plus de 15 milliards de comptes peuvent maintenant utiliser des passkeys, selon la FIDO Alliance. Cela démontre une adoption croissante, avec Google rapportant plus d’un milliard d’authentifications grâce à cette méthode. De son côté, Apple a lancé un nouvel outil permettant la création de comptes sans mots de passe lors de la WWDC 2025.
Malgré ces avancées, certaines entreprises, comme Instagram, Spotify, et Netflix, continuent d’ignorer les passkeys. Cette résistance se concentre sur la question de la récupération des comptes. En effet, le protocole FIDO2 ne propose aucun mécanisme de récupération intégré, laissant les utilisateurs dépendants de liens de réinitialisation par email, créant ainsi une vulnérabilité.
Un autre défi à relever concerne la portabilité des passkeys. Elles sont stockées dans des gestionnaires de mots de passe comme iCloud Keychain, mais ces solutions ne communiquent pas encore entre elles. Toutefois, des progrès sont réalisés avec l’intégration d’une fonctionnalité d’importation et d’exportation de passkeys entre plateformes, promise par iOS 26, marquant un tournant pour l’écosystème Apple.

Bilan et avenir des passkeys
La cryptomonnaie des passkeys est robuste et résiste bien au phishing. Cependant, le véritable défi réside dans les aspects opérationnels. Pour que cette méthode devienne la norme, des solutions fiables pour la récupération et la portabilité doivent être mises en place. Les entreprises doivent également envisager de supprimer complètement les champs de mot de passe sur leurs sites pour encourager la transition.
Apple semble être en avance avec l’intégration de fonctionnalités pratiques et le support de l’exportation, mais tant que ces défis ne seront pas résolus, les mots de passe classiques resteront encore un moment présents.
Les passkeys représentent sans aucun doute l’avenir de l’authentification… mais pas immédiat.
