Le mot de passe perd la main, les passkeys avancent

Le mot de passe garde une force symbolique. Il donne l’impression d’un secret que l’on possède et que l’on contrôle. Pourtant, les chiffres récents racontent une autre histoire. En 2025, des chercheurs en cybersécurité ayant analysé 19 milliards d’identifiants divulgués ont constaté que seuls 6 % étaient véritablement uniques. Les 94 % restants correspondaient à des mots de passe réutilisés, recyclés ou à peine modifiés, selon une analyse de DeepStrike fondée sur des données de SpyCloud.

Le chiffre qui change la nature du débat

Ce constat suffit presque à clore la discussion. Le mot de passe n’est plus seulement imparfait; il est devenu un matériau exploitable à grande échelle. Le DBIR 2025 de Verizon indique que des identifiants volés ont constitué le vecteur d’accès initial dans 22 % des violations étudiées. En outre, le credential stuffing, c’est-à-dire l’essai automatisé de couples identifiant-mot de passe dérobés sur des milliers de services, représente 19 % des tentatives d’authentification adressées aux fournisseurs de connexion unifiée un jour ordinaire. Lors des pics, ce taux atteint 44 %.

Vu de France, cette évolution résonne avec une culture déjà sensible à la protection des données. La CNIL, les débats sur l’identité numérique européenne et l’exigence croissante de traçabilité ont préparé le terrain à une question plus fondamentale: peut-on encore bâtir une sécurité robuste sur un secret que l’utilisateur doit mémoriser, recopier et parfois réemployer? Les données suggèrent que non.

Pourquoi les passkeys changent la logique de sécurité

Les passkeys, que l’on peut décrire comme des clés d’accès cryptographiques, fonctionnent autrement. Le Passkey Index 2025 de la FIDO Alliance, nourri par des données d’Amazon, Google, Microsoft, PayPal, Target et TikTok, attribue aux passkeys un taux de réussite de 98 % lors de l’authentification. Les mots de passe, eux, plafonnent à 32 %. Il ne s’agit pas d’un confort marginal, mais d’un changement de paradigme.

Le mécanisme est relativement simple à décrire. Pour chaque compte, un couple de clés cryptographiques est généré. L’une demeure sur votre appareil, l’autre chez le service concerné. Au moment de la connexion, votre appareil prouve qu’il détient la clé privée, généralement au moyen d’une empreinte, d’une reconnaissance faciale ou d’un code local. Aucun secret partageable n’est transmis. Ce point est décisif: ce qui n’est ni envoyé ni réutilisable devient beaucoup plus difficile à intercepter, à reproduire ou à détourner.

L’avantage n’est pas uniquement théorique. Selon une analyse de Microsoft sur l’adoption des passkeys, se connecter avec ce système est trois fois plus rapide que saisir un mot de passe, et huit fois plus rapide qu’un mot de passe accompagné d’une authentification multifacteur classique. TikTok a doublé son taux de réussite à la connexion; Zoho a observé des connexions six fois plus rapides.

Les grandes plateformes ont déjà tranché

Google, Apple et Microsoft n’annoncent pas frontalement la fin du mot de passe. Elles organisent plutôt son effacement progressif. Google compte désormais plus de 800 millions de comptes utilisant des passkeys et rapporte un taux de compromission inférieur de 99,9 % pour ces utilisateurs, d’après les chiffres réunis par DeepStrike. Amazon a fait basculer 175 millions d’utilisateurs en un an. Microsoft enregistre près d’un million de nouvelles passkeys par jour et a fait de cette méthode l’option par défaut pour tous les nouveaux comptes à partir de mai 2025, ce qui a entraîné une hausse de 120 % de l’authentification par passkey sur sa plateforme.

Apple a, de son côté, levé un frein majeur en septembre 2025 avec iOS 26, qui a introduit la portabilité des identifiants via la norme Credential Exchange. L’un des grands arguments contre les passkeys, la crainte d’un enfermement chez un fournisseur, s’est donc affaibli. Fin 2025, 69 % des utilisateurs disposaient déjà d’au moins une passkey, contre 39 % de notoriété deux ans plus tôt, selon la FIDO Alliance. Gartner anticipe qu’elles deviendront la méthode principale d’authentification d’ici 2027.

Pourquoi le gestionnaire de mots de passe ne suffit plus

Les gestionnaires de mots de passe n’ont pas cessé d’être utiles. Ils répondent au problème de mémoire et encouragent des secrets distincts. Néanmoins, ils laissent intacte la faille conceptuelle: le mot de passe demeure un secret partagé, stocké quelque part, transmissible et réutilisable s’il est volé.

Le rapport de Verizon précise que les logiciels malveillants de type infostealer ont capturé 548 millions de mots de passe et 17 milliards de cookies de session pour la seule année 2024. Sur les appareils compromis, seulement 49 % des mots de passe d’un même utilisateur différaient réellement d’un service à l’autre, même en présence d’un gestionnaire. Plus préoccupant encore, le détournement de session permet de contourner l’authentification multifacteur: il suffit parfois de dérober le cookie d’une session déjà ouverte, comme l’expose une analyse consacrée aux identifiants compromis.

Ce qu’il vaut mieux faire maintenant

La conclusion est moins spectaculaire qu’elle n’est concrète. Il faut activer les passkeys d’abord sur le courriel, les services bancaires, les paiements et tous les comptes qui servent à réinitialiser les autres. Le gestionnaire de mots de passe conserve un rôle, mais un rôle différent: couvrir les sites qui n’ont pas encore évolué et stocker les passkeys lorsque cela est possible. Il convient aussi d’activer la biométrie sur téléphone et ordinateur, puisque la vérification locale en dépend. Enfin, il est prudent d’auditer les mots de passe encore réutilisés.

Le taux de réemploi de 94 % ne dit pas que les utilisateurs seraient négligents par nature. Il révèle plutôt l’échec d’un modèle qui exige de chacun la mémorisation de dizaines de secrets distincts. Les passkeys proposent une autre discipline, plus conforme à la réalité technique actuelle: supprimer du processus l’élément que les attaquants savent le mieux exploiter. Dans un espace européen où la sécurité et la souveraineté numériques prennent un poids croissant, ce basculement ressemble moins à une mode qu’à une révision attendue.