Passkeys : se connecter sans mot de passe, comment ça marche
Les passkeys remplacent le mot de passe par une clé cryptographique déverrouillée par biométrie. Voici comment ça marche et comment les activer.
Vous avez sans doute déjà vu votre téléphone vous proposer de vous connecter à un site « avec Face ID » ou votre empreinte, sans taper de mot de passe. C'est une passkey. Et ce n'est pas un mot de passe planqué quelque part : c'est une clé cryptographique. Voici ce qui se passe réellement, et comment l'activer sur vos comptes.
C'est quoi une passkey, concrètement ?
Une passkey est une clé cryptographique liée à un site et à un appareil, basée sur les standards FIDO2 et WebAuthn. Quand vous en créez une, votre appareil génère une paire de clés : une clé privée qui reste sur l'appareil (ou dans votre trousseau chiffré), et une clé publique envoyée au site. Le site ne reçoit jamais de secret réutilisable, juste cette clé publique qui ne sert qu'à vérifier que vous détenez bien la clé privée. Rien à mémoriser, rien à taper.
La biométrie (Face ID, empreinte, ou le code de votre appareil) ne sert pas à « envoyer » votre visage au site. Elle sert uniquement à déverrouiller localement la clé privée, sur votre appareil. Votre empreinte ne quitte jamais votre téléphone, et le site ne la voit jamais. C'est une nuance qui compte : la passkey n'est pas un mot de passe caché derrière votre visage, c'est un mécanisme différent où le secret ne circule plus du tout sur le réseau.
Concrètement, quand vous vous connectez, le site envoie un défi (un nombre aléatoire), votre appareil le signe avec la clé privée après votre déverrouillage biométrique, et renvoie cette signature. Le site la vérifie avec la clé publique qu'il détient. Si ça concorde, vous êtes connecté. Aucun secret partagé n'a transité.
Pourquoi ça change vraiment quelque chose
Le mot de passe a deux failles structurelles : on peut vous le voler, et on peut le deviner. Une passkey supprime les deux. Comme la clé privée ne quitte jamais votre appareil, il n'y a rien à intercepter sur le réseau, rien à recopier sur un faux site, rien à extraire d'une base de données piratée côté serveur. Le site ne stocke qu'une clé publique, inutile à un attaquant.
Le gain le plus net concerne le phishing. Avec un mot de passe, un faux site qui imite votre banque peut vous le faire taper et le récupérer. Avec une passkey, ça ne marche pas : la clé est liée au nom de domaine exact du vrai site (ce qu'on appelle l'origine). Sur un domaine qui n'est pas le bon, votre appareil refuse simplement de signer. Le standard FIDO2 rend le phishing d'identifiants techniquement inopérant, ce n'est pas une question de vigilance de l'utilisateur.
Autre bénéfice, côté fuites de données. Les grandes fuites de bases d'identifiants exposent des hash de mots de passe que les attaquants cassent ensuite hors ligne. Une base de clés publiques, elle, n'a aucune valeur : on ne reconstruit pas une clé privée à partir d'une clé publique. Une passkey volée sur un serveur ne sert à rien.
D'après la FIDO Alliance, l'adoption suit : son rapport State of Passkeys 2026 (publié à l'occasion du World Passkey Day, le 5 mai 2026) annonce environ 5 milliards de passkeys en circulation. L'étude associée, menée par Sapio Research auprès de 11 000 personnes dans dix pays dont la France en avril 2026, indique que 75 % des personnes interrogées ont activé une passkey sur au moins un compte, et que 49 % les utilisent régulièrement quand elles sont disponibles.
Comment ça marche, étape par étape
En pratique, une passkey suit trois moments : sa création, sa synchronisation, et la connexion réelle. À la création, vous êtes déjà connecté à un compte (avec votre ancien mot de passe par exemple), le site vous propose de créer une passkey, votre appareil génère la paire de clés et vous confirmez par biométrie. La clé publique part vers le site, la clé privée reste chez vous. C'est fait une fois, en quelques secondes.
La synchronisation est ce qui rend les passkeys utilisables au quotidien sur plusieurs appareils. Votre clé privée est stockée dans un trousseau chiffré qui se synchronise : le trousseau iCloud chez Apple, le Gestionnaire de mots de passe Google sur Android et Chrome, ou Windows Hello et un gestionnaire tiers sous Windows. Concrètement, si vous créez une passkey sur votre iPhone, elle apparaît aussi sur votre Mac, parce que les deux partagent le même trousseau iCloud. Vous changez de téléphone, vous restaurez votre trousseau, vos passkeys reviennent.
Et quand vos appareils ne partagent pas le même trousseau ? Par exemple, vous êtes sur un PC Windows et votre passkey est sur votre iPhone. Là, le site affiche un QR code. Vous le scannez avec le téléphone qui détient la passkey, une vérification de proximité Bluetooth confirme que les deux appareils sont côte à côte (pour bloquer un QR code envoyé à distance par un attaquant), et vous validez par biométrie sur le téléphone. La connexion se fait sur le PC, mais la clé privée n'a jamais quitté le téléphone. C'est le mode multi-appareils, pratique sur un ordinateur qui n'est pas le vôtre.
La connexion réelle, ensuite, est la partie la plus simple. Vous arrivez sur la page de connexion, le site reconnaît qu'une passkey existe, vous déverrouillez par biométrie, c'est terminé. Pas de champ mot de passe, pas de code SMS à recopier. C'est aussi ce qui en fait une protection supérieure au mot de passe accompagné d'un code temporaire reçu par SMS, que le phishing sait contourner.
Comment activer les passkeys sur vos comptes
L'activation se fait dans les réglages de sécurité de chaque compte, et les trois grands fournisseurs la poussent désormais activement. Voici les chemins concrets, sachant que les libellés exacts peuvent bouger d'une version à l'autre.
Sur un compte Google, allez dans votre compte, rubrique Sécurité, puis « Clés d'accès » (le terme français pour passkeys). Cliquez sur « Créer une clé d'accès » et confirmez avec le verrouillage de votre appareil. Google a lancé les passkeys pour ses comptes en 2023 et les propose maintenant par défaut à la connexion. La passkey se range dans votre Gestionnaire de mots de passe Google et suit vos appareils Android et Chrome.
Sur un compte Apple, il n'y a presque rien à faire : vos passkeys sont gérées par le trousseau iCloud, à condition que celui-ci et l'authentification à deux facteurs soient activés. Quand un site ou une app propose de créer une passkey, iOS ou macOS s'en charge et la synchronise via iCloud. Depuis iOS 26, Apple a ajouté l'import et l'export de passkeys via un format d'échange standardisé par la FIDO Alliance (le Credential Exchange Format), ce qui permet enfin de déplacer ses passkeys vers un gestionnaire tiers comme 1Password ou Bitwarden, de façon chiffrée et de bout en bout.
Sur un compte Microsoft, rendez-vous dans les options de sécurité du compte, puis « Ajouter une nouvelle méthode de connexion » et choisissez la passkey (visage, empreinte ou code PIN via Windows Hello). Depuis mai 2025, Microsoft crée les nouveaux comptes en mode sans mot de passe par défaut et propose une connexion qui privilégie la passkey, en faisant disparaître progressivement le champ mot de passe.
Côté sites grand public, l'offre s'étend. Selon les relevés mi-2026, environ 50 à 60 % des cent sites les plus visités acceptent les passkeys, et de l'ordre de 20 à 25 % du top 1000. Parmi les services qui les prennent en charge : Amazon, PayPal, eBay, TikTok, WhatsApp, ou encore GitHub. Pour vérifier si un service précis est compatible, l'annuaire communautaire passkeys.directory tient une liste à jour.
Les limites, sans enjoliver
Les passkeys ne règlent pas tout, et il faut connaître les angles morts. Le premier est la récupération en cas de perte ou de changement d'appareil. Comme votre clé privée vit dans un trousseau chiffré, tout repose sur l'accès à ce trousseau. Si vous perdez votre seul appareil sans sauvegarde du trousseau iCloud ou Google, vous pouvez vous retrouver dehors. La parade est simple mais à mettre en place avant le problème : activez la synchronisation du trousseau, gardez au moins une seconde méthode de connexion sur vos comptes importants, et notez vos codes de récupération.
Deuxième limite : le support reste inégal. Beaucoup de sites proposent encore la passkey en option à côté du mot de passe, pas en remplacement, et certains services majeurs ne la gèrent toujours pas du tout. Vous allez donc vivre en régime mixte pendant un moment, avec des passkeys ici et des mots de passe là.
Troisième point : le partage. Partager une passkey (avec un proche, dans une famille) est possible chez Apple via les groupes de partage iCloud et chez Google, mais ça reste moins fluide que partager un mot de passe, et tous les écosystèmes ne se parlent pas encore parfaitement. Les passkeys ont longtemps été cloisonnées par écosystème (un trousseau Apple ici, un Google là), et c'est justement ce que le format d'échange CXF arrivé en 2026 commence à débloquer, sans que la portabilité soit encore universelle.
Passkeys ou gestionnaire de mots de passe : il faut choisir ?
Non, les deux sont complémentaires. Un gestionnaire de mots de passe stocke vos identifiants classiques pour les sites qui n'ont pas (encore) de passkeys, et beaucoup de gestionnaires savent désormais aussi stocker et synchroniser vos passkeys, y compris entre écosystèmes différents. Si vous utilisez déjà un gestionnaire de mots de passe, il peut devenir votre coffre central pour les deux types d'identifiants, ce qui simplifie la vie sur un parc d'appareils mixte (un iPhone et un PC Windows par exemple).
La bonne approche en 2026 est donc pragmatique : activez les passkeys partout où elles existent, en commençant par vos comptes critiques (mail principal, banque, comptes Google, Apple, Microsoft), et gardez un gestionnaire pour le reste. Vous réduisez votre surface d'attaque là où c'est possible, sans casser ce qui marche encore au mot de passe.
FAQ
Une passkey, c'est plus sûr qu'un mot de passe avec double authentification ?
Oui, sur le point clé qu'est le phishing. Un code temporaire reçu par SMS ou via une app peut être intercepté ou soutiré sur un faux site. La passkey, elle, est liée au domaine du vrai site : elle refuse de signer ailleurs, donc elle ne se laisse pas hameçonner.
Si je perds mon téléphone, je perds l'accès à tous mes comptes ?
Pas si vous avez activé la synchronisation de votre trousseau (iCloud, Google) : vos passkeys se restaurent sur un nouvel appareil connecté au même compte. Gardez tout de même une seconde méthode de connexion et vos codes de récupération sur vos comptes importants, par précaution.
Le site reçoit-il mon empreinte ou mon visage ?
Non. La biométrie ne sert qu'à déverrouiller localement la clé privée sur votre appareil. Ni votre empreinte ni votre visage ne sont transmis au site, qui ne reçoit qu'une signature cryptographique et détient une simple clé publique.
Puis-je utiliser une passkey créée sur iPhone pour me connecter depuis un PC Windows ?
Oui, via le mode multi-appareils. Le PC affiche un QR code, vous le scannez avec l'iPhone, une vérification de proximité Bluetooth confirme que les deux sont côte à côte, et vous validez par biométrie sur le téléphone. La clé privée ne quitte pas l'iPhone.
Faut-il supprimer mes mots de passe une fois la passkey activée ?
Pas tout de suite. Tant que le support des sites est inégal et que la récupération dépend de votre trousseau, gardez vos mots de passe comme filet de sécurité. Un gestionnaire de mots de passe reste utile en parallèle des passkeys.
Sources
- FIDO Alliance : State of Passkeys 2026 : chiffres d'adoption 2026 et nombre de passkeys en circulation, source primaire FIDO.
- Google : se connecter avec une clé d'accès : procédure officielle pour activer une passkey sur un compte Google.
- Microsoft : créer et enregistrer une passkey : documentation officielle côté compte Microsoft.
- FIDO Alliance : import et export de passkeys par Apple : format d'échange CXF pour déplacer ses passkeys entre gestionnaires.
- passkeys.directory : annuaire communautaire des services compatibles passkeys.