Passkeys : la fin annoncée des mots de passe, où en est-on en 2026
Plus de 15 milliards de comptes en ligne supportent désormais l'authentification par passkey, et près de la moitié des 100 sites les plus visités la proposent en option de connexion — une bascule réelle, pas juste une promesse marketing.
Ce qu'est réellement une passkey
Contrairement à un mot de passe (une chaîne de caractères que vous créez et devez retenir), une passkey repose sur une paire de clés cryptographiques générées par votre appareil : une clé publique envoyée au service, une clé privée qui ne quitte jamais votre appareil. La connexion se fait par déverrouillage local — empreinte, visage, ou code PIN de l'appareil — sans jamais transmettre de secret réutilisable sur le réseau.
Pourquoi c'est structurellement plus sûr
Le vol d'identifiants reste responsable d'une part significative des violations de données confirmées, notamment via le phishing et les malwares infostealers. Une passkey rend ce vecteur d'attaque caduc : impossible de "donner" sa passkey à un faux site imitant un service légitime, puisque l'authentification est cryptographiquement liée au vrai domaine du service. Même en cas de piratage du serveur, la clé publique stockée côté service ne permet à elle seule aucune usurpation.
L'adoption en 2026, concrètement
Google, Apple et Microsoft ont intégré le support natif dans leurs écosystèmes respectifs (Google Password Manager, trousseau iCloud, Windows Hello). Amazon, PayPal, GitHub, Airbnb, Meta et de nombreuses banques (Bank of America, American Express) proposent désormais cette option. Plus de 95% des appareils iOS et Android récents sont techniquement compatibles.
Comment activer une passkey
- Rendez-vous dans les paramètres de sécurité du service concerné (Google, Amazon, Microsoft...).
- Recherchez l'option "Passkey" ou "Clé d'accès" dans les réglages de connexion.
- Suivez la procédure guidée, qui déclenche généralement une demande d'authentification biométrique locale.
- La passkey se synchronise automatiquement avec votre compte Apple, Google ou Microsoft selon l'écosystème utilisé.
La vraie limite : la perte d'accès à tous les appareils
Le risque principal reste la perte totale d'accès si aucun appareil synchronisé n'est disponible et qu'aucune clé physique de secours n'a été configurée. Certaines passkeys créées en local sans synchronisation cloud ne sont pas récupérables lors d'un changement d'appareil. La recommandation courante : conserver au moins un second appareil synchronisé (tablette, PC secondaire), et pour les comptes les plus sensibles, ajouter une clé de sécurité physique (YubiKey, Google Titan, environ 25 à 70€) comme filet de secours indépendant de tout écosystème.
La dépendance aux écosystèmes, un vrai compromis
Une passkey créée via Google Password Manager reste liée à votre compte Google ; via le trousseau iCloud, à votre identifiant Apple. En cas de blocage temporaire du compte fournisseur, l'accès aux passkeys synchronisées peut être compromis en attendant la résolution. Pour une portabilité indépendante, des gestionnaires tiers (Bitwarden, 1Password, Proton Pass) prennent désormais en charge le stockage et la synchronisation cross-plateforme des passkeys, réduisant cette dépendance à un seul écosystème.