Réponse courte : oui, les passkeys sont sûrs — et pour les attaques qui détournent réellement les comptes, ils sont nettement plus sûrs que les mots de passe. Mais « sûr » ne veut pas dire « rien à surveiller ». Les risques se déplacent simplement de ce que vous ne contrôlez pas (un site qui se fait pirater) vers ce que vous contrôlez (votre appareil, votre synchro, votre récupération). Ce guide explique précisément où les passkeys sont solides, où sont les vrais risques, et comment les utiliser pour qu'ils restent sûrs.
Pourquoi les passkeys sont sûrs par conception
Un passkey remplace votre mot de passe par une paire de clés cryptographiques. Votre appareil garde une clé privée qui ne le quitte jamais ; le site ne stocke qu'une clé publique. Pour vous connecter, votre appareil signe un défi à usage unique — vous ne tapez et ne transmettez jamais de secret. Ce seul choix de conception supprime les façons les plus courantes dont les comptes tombent :
- Aucun secret partagé à hameçonner. Un passkey est lié au domaine exact du site, donc une fausse page de phishing ne peut littéralement pas déclencher votre vrai passkey. C'est l'essentiel, car le phishing bat même les mots de passe forts. (Voir qu'est-ce que le phishing.)
- Aucune base de mots de passe à faire fuiter. Quand un site est piraté, il ne livre que des clés publiques — inutiles à un attaquant. Le défilé sans fin des fuites d'identifiants cesse simplement de compter pour ce compte.
- Rien de réutilisable n'est envoyé. Le credential stuffing et la réutilisation de mots de passe — cause de la plupart des piratages de comptes — ne s'appliquent plus, car il n'y a aucun secret réutilisable à capturer.
Pour la comparaison directe, voir passkeys vs mots de passe.
Alors, qu'est-ce qui peut mal tourner ?
Le point faible n'est pas la cryptographie — c'est la logistique. Voici la liste honnête des risques :
- Un appareil totalement compromis. Si un malware ou un keylogger tourne déjà avec un accès profond sur votre téléphone ou ordinateur, il peut potentiellement abuser d'une session après votre déverrouillage. Les passkeys protègent la connexion ; ils ne réparent pas un appareil déjà empoisonné. Gardez votre système à jour et évitez les applis hors store.
- Votre appareil déverrouillé entre de mauvaises mains. Un passkey se déverrouille par votre biométrie ou votre code PIN. Quelqu'un avec votre téléphone et votre PIN pourrait approuver une connexion. Un PIN non trivial et le verrou biométrique comblent l'essentiel.
- Perdre la seule copie. Si un passkey est lié à l'appareil et non synchronisé, un appareil perdu ou cassé peut signifier perdre l'accès à ce compte.
- La confiance dans la synchro. Des passkeys synchronisés sont aussi sûrs que le compte par lequel ils se synchronisent. Un compte Apple, Google ou gestionnaire mal protégé devient le nouveau point unique de défaillance — ce compte a donc besoin de son propre identifiant maître fort et de la 2FA.
Remarquez qu'aucun de ces points ne consiste à casser le chiffrement — il s'agit d'hygiène de l'appareil et de récupération. C'est une surface bien plus petite et plus maîtrisable que « n'importe lequel des centaines de sites détenant mon mot de passe pourrait être piraté ».
Passkeys vs mot de passe + 2FA
On demande souvent si un passkey est vraiment plus sûr qu'un mot de passe fort doublé d'une authentification à deux facteurs. Pour la plupart des comptes, oui :
| Mot de passe + 2FA | Passkey | |
|---|---|---|
| Hameçonnable sur une fausse page | Oui (mot de passe et même codes) | Non — lié au vrai domaine |
| Le serveur stocke un secret utilisable | Oui (mot de passe haché) | Non — seulement une clé publique |
| Vulnérable au SIM-swap | Si codes par SMS | Non |
| Étapes à réaliser | Taper le mot de passe, puis approuver un code | Une touche biométrique |
Un passkey combine de fait quelque chose que vous avez (votre appareil) et quelque chose que vous êtes (votre biométrie) en une seule étape résistante au phishing — d'où son statut de forme plus forte de connexion multifacteur, et non de raccourci. Quand la 2FA passe par SMS, l'écart est encore plus grand, car les codes sont exposés aux attaques de SIM-swap.
Comment garder vos passkeys sûrs en pratique
- Verrouillez correctement votre appareil — biométrie active, PIN fort, verrouillage automatique, système à jour.
- Synchronisez via un foyer récupérable. Stocker ses passkeys dans un gestionnaire de mots de passe multiplateforme évite qu'ils soient piégés sur un seul appareil ou dans un seul écosystème, avec un chemin de récupération clair en cas de perte du téléphone.
- Protégez le compte de synchro. Quel que soit le détenteur de vos passkeys — Apple, Google ou un gestionnaire — il lui faut un mot de passe maître fort et unique et sa propre 2FA.
- Gardez une connexion de secours. Pour les comptes importants, enregistrez un second passkey (ou des codes de récupération) pour qu'un seul appareil perdu ne vous bloque jamais.
★ Audit Cure53 2024 · ✓ Plan gratuit · Cross-platform
Un gestionnaire avec 2FA et passkeys intégrés → NordPassStocke TOTP et passkeys · chiffrement XChaCha20 · coffre à divulgation nulle · offre gratuite→En résumé
Les passkeys sont-ils sûrs ? Oui — et contre le phishing, le credential stuffing, la réutilisation et les fuites de bases, ils sont plus sûrs que n'importe quel mot de passe que vous pourriez choisir. Les risques restants ne sont pas cryptographiques ; ils touchent votre appareil et votre récupération : verrouillez votre appareil, synchronisez vos passkeys via un compte protégé et récupérable, et gardez une connexion de secours pour les comptes qui comptent. Faites cela et les passkeys ne sont pas seulement sûrs — ce sont la connexion quotidienne la plus sûre disponible en 2026.
Guide éditorial basé sur le modèle documenté de passkey FIDO2/WebAuthn (clé privée détenue par l'appareil, vérification par clé publique, liaison au domaine) et les bonnes pratiques standard de sécurité des comptes. Les liens commerciaux portent l'attribut rel="sponsored nofollow" ; une commission d'affiliation peut s'appliquer sans coût supplémentaire pour vous.
★ Audit Cure53 2024 · ✓ Plan gratuit · Cross-platform
Verrouille tes comptes → NordPassMots de passe forts et uniques · scanner de fuites · offre gratuite→Questions fréquentes
Les passkeys sont-ils vraiment sûrs ?
Oui — pour les menaces qui détournent la plupart des comptes, les passkeys sont plus sûrs que les mots de passe. Un passkey est une paire de clés cryptographiques : la clé privée reste sur votre appareil et n'est jamais envoyée au site, qui ne conserve qu'une clé publique. Aucun secret partagé à hameçonner, aucune base de mots de passe à faire fuiter, rien de réutilisable à injecter ailleurs. Les risques restants ne touchent pas la cryptographie mais la logistique : perdre son appareil, faire confiance à l'endroit où les passkeys se synchronisent, et la récupération de compte. Tout cela se gère, et reste bien plus petit que les risques des mots de passe qu'ils remplacent.
Un passkey peut-il être piraté ou volé ?
La clé privée d'un passkey ne peut pas vous être hameçonnée comme un mot de passe, car elle ne quitte jamais votre appareil et est liée au domaine exact du site — une fausse page de connexion ne peut pas la déclencher. Il n'y a pas non plus de secret côté serveur à voler lors d'une fuite ; un site piraté ne livre que des clés publiques inutiles. La vraie surface d'attaque, c'est un appareil totalement compromis avec un malware déjà actif, ou quelqu'un qui a votre téléphone déverrouillé et son code PIN. Une bonne sécurité de l'appareil (biométrie, PIN non trivial, système à jour) comble l'essentiel de cet écart.
Que deviennent mes passkeys si je perds mon téléphone ?
Cela dépend d'où ils se trouvent. La plupart des passkeys se synchronisent via un fournisseur — iCloud Keychain d'Apple, Google Password Manager, ou un gestionnaire de mots de passe multiplateforme — donc se connecter à ce compte sur un nouvel appareil les restaure. Si un passkey est lié à l'appareil et non synchronisé, perdre l'appareil peut signifier perdre ce passkey, d'où l'importance de garder pour chaque compte une méthode de connexion de secours ou des codes de récupération. Stocker ses passkeys dans un gestionnaire multiplateforme et récupérable évite de se retrouver bloqué par un seul appareil perdu ou cassé.
Un passkey est-il plus sûr qu'un mot de passe avec 2FA ?
Dans la plupart des cas, oui. Un mot de passe plus un code SMS ou par appli, ce sont deux secrets que vous tapez ou approuvez encore, et les deux peuvent être hameçonnés sur une fausse page convaincante — et les codes SMS sont exposés aux attaques de SIM-swap. Un passkey résiste au phishing par conception : il ne fonctionne que sur le vrai domaine et ne transmet rien de réutilisable. Il combine de fait quelque chose que vous avez (votre appareil) et quelque chose que vous êtes (votre biométrie) en une étape, raison pour laquelle les équipes sécurité voient le passkey comme une forme plus forte d'authentification multifacteur, pas un raccourci plus faible.
Est-il sûr de stocker ses passkeys dans un gestionnaire de mots de passe ?
Oui, et c'est souvent le choix le plus sûr en pratique. Un gestionnaire réputé stocke vos passkeys dans un coffre chiffré de bout en bout à divulgation nulle, les synchronise sur tous vos appareils et leur offre un foyer unique et récupérable plutôt que de les laisser éparpillés ou enfermés dans un seul écosystème. Protégez ce coffre avec un mot de passe maître fort et unique et la 2FA, et vous obtenez la résistance au phishing des passkeys plus un chemin de récupération clair si un appareil est perdu.
