Vous vous connectez d'un simple regard sur votre téléphone — aucun mot de passe tapé, rien à oublier, rien à hameçonner. C'est un passkey, et en 2026 c'est la technologie qui remplace discrètement le mot de passe. Ce guide explique, simplement, ce qu'est un passkey, son fonctionnement, pourquoi il est plus sûr qu'un mot de passe, et comment garder vos passkeys disponibles sur tous vos appareils.
Ce qu'est un passkey
Un passkey remplace votre mot de passe par une paire de clés cryptographiques. Quand vous créez un passkey pour un site, votre appareil génère deux clés :
- une clé privée qui ne quitte jamais votre appareil, protégée par votre visage, votre empreinte ou votre PIN ;
- une clé publique que le site stocke.
Pour vous connecter, le site envoie un défi à usage unique ; votre appareil le signe avec la clé privée et renvoie la signature. Le site la vérifie avec la clé publique. Vous ne tapez ni ne transmettez jamais de secret — vous approuvez avec votre biométrie. C'est quelque chose que vous avez (l'appareil qui détient la clé) plus quelque chose que vous êtes (votre biométrie).
Passkey vs mot de passe
Un mot de passe est un secret partagé : vous et le site le détenez, vous le tapez, et quiconque le vole, l'hameçonne ou le devine devient vous. Un passkey est une paire de clés : la moitié privée reste sur votre appareil et n'est jamais envoyée, et le site ne garde que la moitié publique, inutile aux voleurs.
| Mot de passe | Passkey | |
|---|---|---|
| Secret stocké sur le serveur | Oui (haché) | Non — clé publique seulement |
| Hameçonnable | Oui | Non (lié au vrai domaine) |
| Réutilisable entre sites | Souvent (mauvais) | Jamais — unique par site |
| À mémoriser | Oui | Non |
Pour l'habitude plus large dans laquelle il s'inscrit, voir qu'est-ce qu'un gestionnaire de mots de passe et qu'est-ce qu'une phrase secrète.
Pourquoi les passkeys sont plus sûrs
- Aucun secret partagé — une fuite de serveur ne livre que des clés publiques, qui ne connectent personne. Le défilé sans fin des fuites de bases de mots de passe cesse simplement de compter.
- Résistance au phishing — un passkey est lié au domaine exact du site, donc une page de phishing sosie ne peut pas déclencher votre vrai passkey. C'est l'atout majeur, puisque le phishing défait même les mots de passe forts. (Voir qu'est-ce que le phishing.)
- Rien de réutilisable n'est envoyé — le credential stuffing et la réutilisation, cause de la plupart des piratages de comptes, ne s'appliquent plus.
Comment les passkeys sont stockés et synchronisés
Vos clés privées vivent sur vos appareils, mais elles se synchronisent en général pour ne pas vous enfermer sur un seul appareil :
- Synchro de plateforme — Apple iCloud Keychain, Google Password Manager, Microsoft — pratique si vous vivez dans un écosystème.
- Un gestionnaire de mots de passe multiplateforme — stocke vos passkeys et les synchronise entre iPhone, Android, Windows, Mac et navigateurs, donc vous n'êtes lié à aucun fournisseur et avez un foyer unique et récupérable.
L'enfermement dans un écosystème et la récupération sont les principales frictions pratiques des passkeys — et un gestionnaire multiplateforme y répond le plus proprement.
Stockez vos passkeys sur tous vos appareils → BitwardenOpen source · Stockage de passkeys multiplateforme (iPhone, Android, Windows, Mac, navigateur) · Coffre zero-knowledge avec 2FA→Où utiliser les passkeys
L'adoption est large en 2026 — Google, Apple, Microsoft, Amazon, PayPal et de nombreuses banques gèrent les passkeys, avec une prise en charge native dans les grands navigateurs et systèmes. Beaucoup de petits sites utilisent encore des mots de passe, donc l'approche réaliste est hybride : passkeys partout où ils sont proposés, et un gestionnaire de mots de passe avec une 2FA solide pour le reste. Pour aller plus loin sur la mise en place et la comparaison, voir passkeys vs mots de passe et configurer les passkeys sur Google, Apple & Microsoft.
En résumé
Un passkey vous connecte avec une clé privée sur votre appareil, déverrouillée par votre visage ou votre empreinte, au lieu d'un secret que vous tapez. Parce qu'il n'y a aucun secret partagé et que les passkeys sont liés au vrai site, ils défont le phishing, le credential stuffing, la réutilisation et les fuites de bases d'un seul coup. Utilisez les passkeys partout où ils sont proposés, stockez-les dans un gestionnaire multiplateforme pour ne jamais être enfermé, et gardez un gestionnaire de mots de passe avec 2FA pour les sites pas encore à jour.
Guide éditorial fondé sur le modèle documenté des passkeys FIDO2/WebAuthn (clé privée sur l'appareil, vérification par clé publique, liaison au domaine). Les liens commerciaux portent l'attribut rel="sponsored nofollow" ; une commission d'affiliation peut s'appliquer sans surcoût pour vous.
★ Audit Cure53 2024 · ✓ Plan gratuit · Cross-platform
Verrouille tes comptes → NordPassMots de passe forts et uniques · scanner de fuites · offre gratuite→
