Accéder au contenu
Nouvelles
Contact

Switching to English

Perspectives
  • Sécurité

Sommes-nous à l'aube de dire adieu aux mots de passe?

21 août — 2025

Empreinte digitale verte en 3D
Jean-Philippe Couture
Spécialiste en cybersécurité

À l'ère numérique, où la sécurité de nos interactions en ligne n'a jamais été aussi cruciale, une réalité préoccupante persiste : notre infrastructure d'authentification repose encore massivement sur une technologie vieille de plus de soixante ans. Les mots de passe, conçus dans les années 1960 pour des environnements informatiques bien différents, peinent aujourd'hui à répondre aux défis de sécurité modernes.

Les mots de passe montrent chaque jour leurs limites. Selon IBM, le coût moyen d'une violation de données en 2024 s'élève à 4,88 millions USD — une augmentation de 10 % par rapport à l'année précédente. Face à cette réalité, une alternative émerge et gagne du terrain : les passkeys, ou clés d'accès. Cette technologie ne propose pas simplement d'améliorer les mots de passe, elle les remplace complètement.



L'héritage pesant des mots de passe

Pour contrer les menaces croissantes, les mots de passe ont été rendus plus complexes : longueur minimale, majuscules, symboles, changements réguliers. Résultat? La charge pour les utilisateur·rices s’est retrouvée accrue sans véritablement améliorer la sécurité. Beaucoup finissent par les réutiliser, les noter quelque part, ou dépendre entièrement d'un gestionnaire de mots de passe.

Les failles sont multiples : choix de mots de passe faibles, réutilisation massive, stockage mal protégé côté serveur, interfaces vulnérables au phishing. Sans compter que les personnes malveillantes automatisent leurs attaques et exploitent systématiquement ces faiblesses humaines et techniques.



Les passkeys : un changement de paradigme

Les passkeys marquent une rupture fondamentale avec le modèle du secret partagé. Basées sur la cryptographie asymétrique, elles utilisent une paire de clés : la clé publique est stockée sur le serveur, tandis que la clé privée reste sécurisée sur l'appareil de l'utilisateur·rice.

Concrètement, l'authentification fonctionne par signature cryptographique. Lors de la connexion, le serveur envoie un défi aléatoire que l'utilisateur·rice signe avec sa clé privée. Le serveur vérifie ensuite cette signature avec la clé publique. Aucune information secrète n'est jamais transmise ou stockée côté serveur.

Schéma de connexion avec une Passkey

Cette approche élimine plusieurs vecteurs d'attaque :

  • Phishing : Une passkey ne fonctionne qu'avec le site pour lequel elle a été créée
  • Credential stuffing : Chaque clé est unique à un service, rendant la réutilisation impossible, contrairement à un mot de passe choisi par l’utilisateur·rice
  • Keylogging : Plus rien à taper, les enregistreurs de frappe deviennent inutiles
  • Fuites de données : Seules les clés publiques sont stockées dans les bases de données, rien à voler



Un écosystème déjà en place

Les passkeys sont déjà bien en place dans plusieurs écosystèmes. GitHub, Google, Apple ID et Microsoft Entra ID supportent déjà nativement cette technologie. Les navigateurs modernes et systèmes d'exploitation récents l'intègrent de base.

Le standard est ouvert et l'adoption s'accélère. Pour ceux et celles qui veulent explorer, l'infrastructure est déjà disponible.



Les défis à surmonter

Malgré leurs avantages indéniables, les passkeys font face à plusieurs défis qui freinent leur adoption massive.

Icone transfert

L'interopérabilité reste limitée entre écosystèmes. En utilisant uniquement des produits Apple ou Google, l'expérience est fluide. Mais changer d'appareil ou de plateforme pose encore des difficultés.

Icone Parcours

Les parcours utilisateur manquent souvent de clarté. Les interfaces proposant une passkey portent à confusion, avec des flux de connexion encore trop techniques pour le grand public.

Accès icon

La dépendance aux appareils pose question. Que se passe-t-il en cas de perte, vol ou panne? Les mécanismes de récupération existent mais restent peu connus.

Infos icone

Le manque de sensibilisation constitue le frein principal. Le vocabulaire technique (passkey, FIDO2, WebAuthn) est difficile à comprendre pour les utilisateur·rices. L'expérience paraît magique, donc suspecte, alors qu'un mot de passe semble plus tangible.

Vers un futur sans mot de passe

Les fondations sont en place pour généraliser les passkeys. La technologie est solide, mais mal comprise. Une boîte de dialogue qui apparaît sans contexte ni explication peut sembler opaque. La clé réside dans l'accompagnement intégré à l'interface : micro-contenus, info-bulles, rétroaction visuelle au bon moment, etc. Il ne suffit pas de déployer la technologie, il faut la rendre compréhensible. 

Les limites des mots de passe deviennent de plus en plus évidentes : multiplication des comptes, réutilisation fréquente, vulnérabilités persistantes. Malgré les efforts pour les renforcer par la complexité, ces mesures ne font que déplacer le problème sans le résoudre fondamentalement. Les passkeys constituent une option plus sûre que les mots de passe, sans pour autant simplifier l’expérience : interopérabilité imparfaite, parcours confus et dépendance aux appareils.

Cette transition vers l'authentification sans mot de passe est déjà en cours. Les organisations qui s'y préparent dès aujourd'hui pourront mieux protéger leur clientèle et leurs données, tout en offrant une expérience plus fluide. Dans un contexte où les violations de données coûtent en moyenne plusieurs millions $ et ébranlent la confiance, l'adoption des passkeys représente une évolution naturelle des pratiques de sécurité.

Article suivant

Illustration 3D de maillons de chaîne

Les dernières tendances en sécurité numérique

  • Sécurité
  • Rapport
00:00
00:00

Switching to English