Depuis plusieurs années, les géants du numérique — Apple, Google, Microsoft — s'accordent sur une même conviction : le mot de passe est mort. Son successeur s'appelle le passkey.

On ne compte plus les fuites de données, les comptes piratés, les mots de passe réutilisés sur des dizaines de sites. En Suisse comme ailleurs, le constat est clair : les mots de passe sont le maillon faible de notre sécurité en ligne. Depuis 2023, une alternative concrète existe et se généralise rapidement. Voici tout ce que vous devez savoir.

Qu'est-ce qu'un passkey ?

Un passkey est une clé cryptographique stockée sur votre appareil (téléphone, ordinateur). Pour vous connecter à un site, vous vous authentifiez avec votre empreinte digitale, votre visage ou votre code PIN — et c'est tout. Aucun mot de passe à retenir, aucun à voler.

Concrètement, quand vous créez un passkey sur un site, votre appareil génère une paire de clés unique. Le site ne reçoit que la partie publique — la partie privée reste sur votre appareil et n'est jamais transmise. C'est un changement fondamental par rapport au mot de passe classique, qui est envoyé au serveur à chaque connexion.

Comment fonctionnent les passkeys techniquement ?

Pas de panique, on reste simple. Le principe repose sur la cryptographie asymétrique, une technologie éprouvée depuis des décennies.

Quand vous créez un passkey pour un site web, deux clés sont générées :

  • La clé privée : elle reste sur votre appareil (iPhone, Android, PC). Elle ne quitte jamais votre appareil et est protégée par votre empreinte digitale, Face ID ou code PIN.
  • La clé publique : elle est envoyée au site web. Même si un pirate la récupère, elle est inutile sans la clé privée correspondante.

Lors de la connexion, le site envoie un défi (un message aléatoire) à votre appareil. Votre appareil signe ce défi avec la clé privée, et le site vérifie la signature avec la clé publique. Si ça correspond, vous êtes connecté. Aucun secret n'est échangé sur le réseau.

C'est un peu comme un cadenas et sa clé : le site possède le cadenas (clé publique), mais seul votre appareil détient la clé qui l'ouvre (clé privée).

Pourquoi c'est plus sécurisé ?

  • Impossible à phisher : le passkey est lié à un domaine précis. Un faux site ne peut pas l'intercepter. Même les attaques de phishing les plus sophistiquées en Suisse deviennent inefficaces face aux passkeys.
  • Rien à mémoriser : plus de « Mot de passe oublié ? » ni de post-it sous le clavier.
  • Résistant aux fuites de données : les serveurs ne stockent jamais votre clé privée.
  • Protection contre les keyloggers : même si un logiciel malveillant enregistre vos frappes clavier, il n'y a aucun mot de passe à capturer.
  • Pas de réutilisation possible : chaque passkey est unique à un site donné, contrairement aux mots de passe que beaucoup de gens réutilisent partout.

Comment activer les passkeys

La plupart des grands services proposent déjà les passkeys : Google, Apple ID, Microsoft, GitHub, PayPal...

Authentification par passkey avec empreinte digitale sur smartphone
Les passkeys remplacent les mots de passe par la biométrie.

Sur iPhone / iPad

  • Allez dans Réglages → Mots de passe et vérifiez que iCloud Keychain est activé.
  • Rendez-vous sur un site compatible (par ex. google.com) et accédez aux paramètres de sécurité de votre compte.
  • Choisissez « Créer un passkey » — Face ID ou Touch ID confirmera votre identité.
  • Le passkey est automatiquement synchronisé sur tous vos appareils Apple via iCloud.

Sur Android

  • Google Password Manager gère les passkeys automatiquement dès Android 9+.
  • Ouvrez le site ou l'app concerné et cherchez l'option « Passkey » ou « Clé d'accès » dans les paramètres de sécurité.
  • Confirmez avec votre empreinte digitale, reconnaissance faciale ou code de verrouillage.
  • Le passkey est synchronisé via votre compte Google sur tous vos appareils Android.

Sur Windows

  • Windows Hello (empreinte ou visage) stocke vos passkeys localement sur votre PC.
  • Ouvrez un site compatible dans Edge ou Chrome, puis accédez aux paramètres de sécurité du compte.
  • Sélectionnez « Créer un passkey » et validez avec Windows Hello.
  • Astuce : vous pouvez aussi scanner un QR code avec votre téléphone pour utiliser un passkey stocké sur votre smartphone depuis votre PC.

Pour vérifier quels services supportent les passkeys, consultez le site passkeys.directory qui tient à jour la liste complète.

Les limites actuelles des passkeys

Les passkeys sont une avancée majeure, mais la technologie est encore jeune. Voici les points à connaître avant de tout migrer :

  • Synchronisation entre écosystèmes : vos passkeys Apple ne se synchronisent pas automatiquement sur Android, et inversement. Si vous utilisez un iPhone et un PC Windows, il faudra parfois scanner un QR code pour s'authentifier. C'est fonctionnel, mais pas encore parfaitement fluide.
  • Tous les sites ne les supportent pas encore : en 2026, la plupart des grands services sont compatibles, mais beaucoup de sites suisses (banques cantonales, assurances, commerces en ligne) n'ont pas encore adopté cette technologie.
  • Perte d'appareil : si vous perdez votre téléphone et que vos passkeys ne sont pas synchronisés dans le cloud (iCloud, Google), vous pourriez être bloqué. C'est pourquoi il est essentiel de configurer la synchronisation ou de garder une méthode de récupération (numéro de téléphone, email secondaire).
  • Appareils anciens non compatibles : les passkeys nécessitent un appareil relativement récent — iOS 16+, Android 9+ ou Windows 10+. Les appareils plus anciens ne les supportent pas.

Malgré ces limites, la direction est claire : les passkeys sont l'avenir de l'authentification, et leur adoption progresse rapidement.

Faut-il migrer maintenant ?

Pour les comptes sensibles (banque, email, réseaux sociaux), oui, sans hésiter. Pour les autres, le mot de passe reste acceptable à condition d'utiliser un gestionnaire comme Bitwarden (gratuit) ou 1Password.

Voici notre recommandation concrète pour une transition en douceur :

  • Étape 1 — Vos comptes critiques : activez les passkeys sur votre compte Google, Apple ID et votre messagerie principale. Ce sont les comptes qui donnent accès à tous les autres.
  • Étape 2 — Gardez un filet de sécurité : ne supprimez pas vos mots de passe existants tout de suite. Laissez-les en parallèle le temps de vous familiariser avec les passkeys.
  • Étape 3 — Activez la 2FA partout : pour les sites qui ne supportent pas encore les passkeys, activez au minimum l'authentification à deux facteurs (SMS ou app type Authy).
  • Étape 4 — Étendez progressivement : au fil des semaines, activez les passkeys sur chaque service qui le propose (PayPal, GitHub, LinkedIn, etc.).

Besoin d'aide pour sécuriser vos appareils ou configurer vos passkeys ? Contactez CyberClinique — nous accompagnons les particuliers et les entreprises de Suisse romande dans leur transition vers une sécurité numérique moderne.

Tous les articles Besoin d'aide ?