Aller au contenu principal

Mot de passe ou passkey : la fin annoncée d'une époque

Publié le 11 May 2026

Le mot de passe a 60 ans cette année. Il a survécu à toutes les prédictions de mort annoncée, des cartes à puce aux empreintes digitales en passant par les SMS. Pourtant la passkey, popularisée par l'alliance FIDO et soutenue par les trois géants de l'OS, semble cette fois en passe de prendre le relais. Le calendrier est plus lent qu'annoncé, mais la trajectoire est claire.

Comment fonctionne une passkey, en deux phrases

Une passkey repose sur une paire de clés cryptographiques : une clé publique stockée chez le service en ligne, une clé privée gardée sur votre appareil (iPhone, MacBook, Android, clé Yubikey, gestionnaire 1Password). Quand vous vous connectez, l'appareil signe un défi envoyé par le serveur, prouvant que vous possédez la clé privée sans jamais la transmettre. Résultat : pas de mot de passe à voler, pas de mot de passe à hameçonner, pas de réutilisation possible entre sites.

Ce qui freine encore l'adoption en entreprise

Sur le papier tout le monde gagne, mais les freins sont nombreux. L'expérience utilisateur change : connecter un nouveau collaborateur ne se fait plus en lui transmettant un mot de passe, mais en provisionnant une passkey sur son matériel. Si l'appareil est perdu ou changé, il faut un mécanisme de récupération solide. Les anciens logiciels métiers, notamment les ERP installés en interne, ne supportent souvent pas WebAuthn et continuent d'exiger un mot de passe traditionnel. Enfin, la portabilité entre écosystèmes reste imparfaite : passer d'une passkey iCloud à un Android demande encore plusieurs étapes manuelles.

Par où commencer concrètement

Activez d'abord les passkeys sur vos comptes critiques personnels et pros : Google Workspace, Microsoft 365, GitHub, banque en ligne. Conservez en parallèle l'authentification à deux facteurs classique en plan B. Pour les équipes, déployez un gestionnaire de passkeys d'entreprise (1Password Business, Bitwarden Enterprise, Dashlane) qui synchronise les clés entre les appareils des collaborateurs et permet une révocation centralisée en cas de départ. Côté sites publics que vous éditez, ajoutez le support WebAuthn dès qu'il est compatible avec votre stack ; la majorité des frameworks modernes le proposent en deux ou trois jours de développement.

Le mot de passe ne disparaîtra pas avant cinq à dix ans, mais les acteurs qui prennent une longueur d'avance subissent moins de phishing, moins de réinitialisations support et moins de fuites de bases.

← Retour au blog

Respect de votre vie privée

Nous utilisons des cookies pour améliorer votre expérience. Politique de confidentialité.