Passkeys : faut-il vraiment dire adieu aux mots de passe ?

Les mots de passe sont partout… et pourtant, ils sont souvent la faille la plus facile à exploiter. Avec les passkeys, une nouvelle alternative se dessine : plus simples, plus sûres, plus pratiques. Faut-il s’y intéresser dès aujourd’hui ? Faisons le point.

Passkeys : de quoi parle-t-on ?

Certains clients nous demandent parfois : « C’est quoi exactement ces passkeys ? Est-ce vraiment sécurisé ? »

Pour faire simple, imaginez la clé d’un casier de piscine : elle n’ouvre qu’un seul casier, et personne ne peut la dupliquer facilement. Une passkey, c’est pareil : c’est une clé numérique unique qui permet à votre navigateur d’accéder à un site, à votre place, sans que vous ayez besoin de taper un mot de passe.

En pratique, et pour garder l’explication simple, lorsque vous créez une passkey, votre navigateur génère une clé et un cadenas. Le cadenas est envoyé au site Web, pour usage ultérieur. Lors de votre connexion, le site vous envoie ce cadenas et vous demande de l’ouvrir avec votre clé. Si ça fonctionne, l’accès vous est accordé. Simple et transparent.

Qu’est-ce que ça change pour votre entreprise ?

Aujourd’hui, beaucoup de TPE et PME hésitent encore à utiliser des solutions d’authentification forte. Pourtant, les mots de passe seuls posent de vrais risques :

• Mots de passe trop simples ou réutilisés
• Vol ou fuite d’identifiants par phishing
• Partage d’identifiants entre plusieurs personnes

Les passkeys éliminent une grande partie de ces failles. Impossible de deviner ou de voler une passkey par phishing : la clé est unique, locale, et reste protégée sur votre appareil. Pour valider votre identité, votre navigateur vous demande en général d’utiliser un code PIN, une empreinte digitale ou la reconnaissance faciale. En résumé, vous combinez sécurité et simplicité.

Est-ce que ça remplace l’authentification multiple ?

Il s’agit là de la question que l’on nous pose généralement ensuite : « J’ai déjà une authentification multiple (MFA), est-ce que j’ai besoin des passkeys ? » 

Les passkeys ne remplacent pas forcément la MFA, elles l’intègrent différemment. Elles reposent sur un double facteur :

1. Vous devez posséder votre appareil
2. Vous devez prouver que vous êtes bien la bonne personne (PIN, biométrie)

Ainsi, même si vous perdez votre ordinateur ou votre téléphone, personne ne peut se connecter sans vous.

Est-ce vraiment prêt pour une PME ?

Soyons francs : pour l’instant, peu de sites supportent les passkeys¹. De plus, elles sont pour l'heure souvent liées à un appareil ou un navigateur. Si vous changez d’ordinateur sans avoir un gestionnaire de mots de passe compatible, vous risquez de perdre l’accès à vos sites, et de devoir réinitialiser vos accès.

Pour nos clients, nous recommandons deux choses :

• Utilisez les passkeys quand elles sont disponibles : Google, Apple et d’autres grands acteurs les adoptent déjà, pourquoi pas vous ?
• Si vous le pouvez, utilisez un gestionnaire de mots de passe moderne. Ainsi, vos passkeys y seront sauvegardées et vous suivront d’un appareil à l’autre

À savoir que la plupart des sites Web proposant une passkey supportent, en parallèle, d'autres méthodes de connexion dans le cas où vous l'auriez perdue.

Développeurs: Faut-il déjà investir ?

Si vous êtes développeur, la question mérite d’être posée. Intégrer les passkeys peut être complexe aujourd’hui, et tous vos utilisateurs ne pourront pas encore en profiter. Selon votre secteur, cela peut être un pari intéressant, mais une authentification forte plus classique (MFA avec biométrie ou application TOTP) reste une solution éprouvée.

Si vous souhaitez intégrer une solution pour démontrer votre sensibilité à la sécurité, pensez à vous orienter vers des implémentations de référence. Notez également que certains acteurs comme 1Password commencent à proposer des services d'intégration, tout comme Stripe, Worldline et PayPal ont des services pour vous éviter de devoir gérer vous-même le traitement des paiements.

Notre conseil

Les passkeys représentent une piste prometteuse pour renforcer la sécurité tout en simplifiant la vie de vos équipes. Elles ne remplacent pas encore totalement les mots de passe, mais elles apportent une couche de sécurité supplémentaire facile à adopter pour les utilisateurs.

Vous vous posez la question pour votre entreprise ? Parlons-en ensemble : nous pouvons vous aider à choisir les solutions les plus adaptées à votre taille, à vos risques et à vos usages.