Qu'est-ce qu'un mot de passe et une passkey ?
Considérez ce scénario : à 2h14 du matin, votre analyste SOC examine les journaux d'authentification et constate des centaines de tentatives de connexion échouées au cours de la dernière heure. À 2h31, l'une d'elles réussit en utilisant des identifiants volés lors d'une précédente violation, et votre pile de sécurité ne l'a jamais signalée.
C'est la différence fondamentale entre les mots de passe et les passkeys. Les mots de passe reposent sur un modèle de secret partagé où le même identifiant existe à la fois sur votre appareil et sur le serveur. Lorsque des attaquants compromettent ce serveur ou hameçonnent cet identifiant, ils disposent de tout ce qui est nécessaire pour s'authentifier. Les passkeys éliminent cette vulnérabilité grâce à la cryptographie asymétrique. Les clés privées ne quittent jamais votre appareil, et les clés publiques stockées sur les serveurs sont cryptographiquement inutiles pour les attaquants.
Selon le DBIR 2025 analysant 22 052 incidents de sécurité, 88 % des violations impliquaient des identifiants volés. Les mots de passe créent une vulnérabilité systémique, quels que soient les exigences de complexité, les politiques de rotation ou la formation des utilisateurs.
Les passkeys mettent en œuvre l'architecture du protocole FIDO2 via deux standards complémentaires : la spécification W3C Web Authentication (WebAuthn) pour la gestion des identifiants sur navigateur et plateforme, et le CTAP2 (Client to Authenticator Protocol) de la FIDO Alliance pour la communication entre applications et authentificateurs. Ensemble, ces protocoles remplacent la transmission de mots de passe par une authentification par défi-réponse cryptographique liée à des domaines spécifiques.
Lorsque vous enregistrez une passkey, votre authentificateur génère une paire de clés publique-privée unique pour ce compte spécifique. La clé privée reste sécurisée dans le module de sécurité matériel ou l'enclave sécurisée de votre appareil et n'est jamais transmise sur le réseau. Seule la clé publique est enregistrée sur le serveur. Lors de l'authentification, le serveur envoie un défi cryptographique que votre appareil signe avec la clé privée, prouvant la possession sans jamais exposer la clé elle-même.
Ces différences architecturales déterminent directement quelles attaques réussissent et lesquelles échouent contre votre infrastructure.
Relation entre mot de passe, passkey et cybersécurité
Les passkeys répondent aux faiblesses d'authentification à l'origine de la majorité des violations. La publication spéciale 800-63B du NIST exige une authentification résistante au phishing pour l'AAL2 et la rend obligatoire pour l'AAL3, et CISA CPG 2.0 recommande explicitement les passkeys comme méthode résistante au phishing. Les mots de passe ne peuvent satisfaire à aucune de ces exigences, quelle que soit leur longueur, complexité ou fréquence de rotation.
Les données le confirment. Selon les recherches DBIR 2025, les attaques de credential stuffing représentaient 44 % de tout le trafic d'authentification lors des pics d'attaque, et 80 % des comptes compromis avaient déjà subi une exposition d'identifiants provenant d'autres services. Les ransomwares sont apparus dans 44 % des violations, la réutilisation de mots de passe fournissant le point d'accès initial. L'attaque contre Colonial Pipeline en 2021 l'illustre bien : les attaquants ont utilisé un seul mot de passe VPN compromis pour accéder au réseau, entraînant 4,4 millions de dollars de rançon selon les divulgations du DOJ.
Les passkeys éliminent ces vecteurs d'attaque. Selon la FIDO Alliance, la conception des passkeys rend les identifiants résistants au phishing, au credential stuffing et aux violations de données à grande échelle, car les clés publiques stockées sur les serveurs n'ont aucune valeur d'authentification sans les clés privées sur les appareils des utilisateurs.
Avant d'examiner en détail les vecteurs d'attaque spécifiques, le tableau suivant compare les mots de passe et les passkeys selon les dimensions les plus importantes pour les équipes de sécurité.
Mot de passe vs Passkey : aperçu
Les différences entre mots de passe et passkeys couvrent l'architecture de sécurité, l'expérience utilisateur, la conformité et le support de l'écosystème. Cette comparaison s'appuie sur les recherches de la FIDO Alliance, les normes NIST et les données DBIR de Verizon pour quantifier chaque dimension.
| Fonctionnalité | Mot de passe | Passkey |
| Modèle d'authentification | Secret partagé (le serveur stocke l'identifiant) | Cryptographie asymétrique (le serveur ne stocke que la clé publique) |
| Résistance au phishing | Aucune : les identifiants sont transmis à n'importe quel domaine | Liaison cryptographique au domaine bloque les sites de phishing |
| Risque de credential stuffing | Élevé : les identifiants réutilisés fonctionnent sur plusieurs services | Aucun : chaque identifiant est unique par service |
| Taux de réussite de connexion | 63 % en moyenne (FIDO Alliance Passkey Index) | 93 % en moyenne (FIDO Alliance Passkey Index) |
| Vitesse de connexion | ~27,5 secondes en moyenne | ~13,6 secondes en moyenne (FIDO Alliance Passkey Index) |
| Action requise de l'utilisateur | Mémoriser et saisir le mot de passe, puis compléter la MFA | Scan biométrique ou code PIN de l'appareil |
| Impact d'une violation serveur | Mots de passe hachés exposés à des attaques hors ligne | Les clés publiques sont inutiles sans les clés privées |
| Méthode de récupération | Réinitialisation du mot de passe par e-mail | Passkeys synchronisées, authentificateurs de secours ou récupération par administrateur |
| Conformité (NIST AAL2/AAL3) | Ne peut pas répondre aux exigences de résistance au phishing | Répond aux exigences de résistance au phishing |
| Support des plateformes | Universel | Écosystèmes Apple, Google, Microsoft ; 48 % des 100 premiers sites web |
Les sections suivantes examinent chacune de ces dimensions en détail, en commençant par les vulnérabilités spécifiques des mots de passe que les passkeys sont conçues pour éliminer.
Vulnérabilités de sécurité : vecteurs d'attaque des mots de passe
Les mots de passe créent quatre faiblesses principales qui affectent directement votre posture de sécurité : vulnérabilité au phishing, exposition au credential stuffing, interception de type man-in-the-middle et impact d'une violation de base de données. NIST SP 800-63B confirme que l'architecture cryptographique asymétrique de FIDO2/WebAuthn permet une authentification résistante au phishing que les mots de passe ne peuvent atteindre, quels que soient les critères de complexité.
- Les attaques de phishing restent efficaces contre l'authentification par mot de passe. Selon les recherches résumées dans le DBIR Verizon 2025, les utilisateurs continuent de cliquer sur des exercices de phishing simulés même après des sessions de formation. Lorsque les utilisateurs saisissent leurs mots de passe sur des domaines contrôlés par des attaquants, ces identifiants sont transmis en clair à des adversaires qui les testent immédiatement sur vos services réels. La violation de MGM Resorts en 2023 l'illustre bien : les attaquants ont utilisé l'ingénierie sociale pour contourner la MFA, entraînant environ 100 millions de dollars de dommages selon les dépôts auprès de la SEC.
- Le credential stuffing exploite la réutilisation des mots de passe à grande échelle. Le Data Breach Investigations Report 2025 de Verizon confirme que 80 % des comptes compromis avaient déjà subi une exposition d'identifiants provenant d'autres services. Les utilisateurs réutilisent systématiquement leurs identifiants sur des services grand public, des plateformes professionnelles et des applications d'entreprise. Lorsqu'un service grand public subit une violation, les attaquants testent immédiatement ces identifiants sur les points d'authentification de l'entreprise.
- Les attaques de type man-in-the-middle interceptent la transmission des mots de passe. Les attaquants MITM se positionnent entre les utilisateurs et les serveurs, utilisant des techniques comme de faux certificats SSL pour intercepter les données en transit. L'authentification par mot de passe nécessite la transmission d'un secret prouvant l'identité, et cette transmission crée une vulnérabilité, quel que soit le chiffrement du transport.
- Les violations de données exposent les mots de passe stockés malgré le hachage. Votre base de données d'authentification contient des mots de passe hachés, pas en clair. Cette protection retarde la compromission des identifiants mais ne l'empêche pas. Les attaquants ayant accès à la base de données effectuent des attaques par force brute hors ligne contre les mots de passe hachés sans déclencher de politiques de verrouillage de compte ou de limitation de débit. Lorsqu'une violation de base de données survient, chaque mot de passe doit être réinitialisé immédiatement pour l'ensemble de vos utilisateurs.
Les passkeys éliminent ces vulnérabilités grâce à une architecture cryptographique qui rend le vol d'identifiants inefficace.
Architecture cryptographique des passkeys
Les garanties de sécurité offertes par les passkeys reposent sur le fonctionnement de la cryptographie sous-jacente. Contrairement aux mots de passe, qui reposent sur le secret d'une valeur partagée, les passkeys utilisent la cryptographie à clé publique où la preuve d'authentification et le secret d'authentification sont fondamentalement différents.
Lors de l'authentification, votre serveur envoie un défi cryptographique à l'authentificateur de l'utilisateur via l'API WebAuthn. L'authentificateur signe ce défi à l'aide de la clé privée stockée sur l'appareil, et l'assertion signée est renvoyée à votre serveur via le navigateur. Votre serveur vérifie la signature numérique à l'aide de la clé publique précédemment enregistrée. Ce processus de défi-réponse prouve que l'utilisateur possède la clé privée sans jamais l'exposer.
La liaison au domaine assure la résistance au phishing. WebAuthn lie cryptographiquement l'authentification au domaine d'origine spécifique où l'enregistrement a eu lieu. Lorsque les utilisateurs visitent des sites de phishing imitant votre domaine, l'implémentation WebAuthn du navigateur bloque les réponses d'authentification destinées au mauvais domaine. Cette protection fonctionne au niveau du protocole, indépendamment du jugement de l'utilisateur. Les sites de phishing ne peuvent pas recevoir de réponses d'authentification valides pour votre domaine, même si les utilisateurs sont totalement trompés par la ressemblance visuelle.
Les algorithmes cryptographiques sont conformes aux spécifications NIST pour les déploiements gouvernementaux et d'entreprise. Les algorithmes pris en charge incluent :
- ECDSA, RSA et variantes EdDSA pour les opérations de signature
- FIPS 202 (SHA-3) pour le hachage
- SP 800-108 pour la dérivation de clés
- SP 800-90a pour la génération de nombres aléatoires
Ces éléments sont définis dans la FIDO Authenticator Allowed Cryptography List, qui fait explicitement référence aux normes NIST. Les identifiants découvrables basés sur cette architecture permettent une authentification sans mot de passe où les utilisateurs n'ont pas besoin de se souvenir de noms d'utilisateur, et l'intégration de l'autoremplissage du navigateur simplifie l'expérience de connexion.
Cette base cryptographique se traduit par des différences tangibles dans la façon dont les mots de passe et les passkeys sont perçus au quotidien.
Expérience utilisateur : connexion par mot de passe vs passkey
L'authentification par mot de passe exige que les utilisateurs se souviennent d'identifiants uniques pour chaque service, les saisissent correctement et effectuent des étapes MFA supplémentaires comme la saisie de codes SMS ou l'approbation de notifications push. Ce processus en plusieurs étapes génère une friction mesurable. Selon le FIDO Alliance Passkey Index, les connexions par mot de passe affichent un taux de réussite moyen de 63 %, ce qui signifie qu'une tentative sur trois échoue en raison d'identifiants oubliés, de fautes de frappe ou de jetons MFA expirés.
L'authentification par passkey réduit la connexion à une seule étape. Les utilisateurs s'authentifient via la biométrie (Face ID, empreinte digitale ou Windows Hello) ou un code PIN d'appareil. La recherche FIDO Alliance World Passkey Day a révélé que les passkeys atteignent un taux de réussite de connexion de 93 % et une moyenne de 13,6 secondes par connexion contre 27,5 secondes pour les mots de passe. Il n'y a rien à mémoriser, rien à saisir, rien à intercepter. Les données biométriques restent sur l'appareil et ne sont jamais transmises au serveur, préservant à la fois la sécurité et la confidentialité.
Pour les organisations, cette amélioration UX se traduit directement par des économies opérationnelles. Les participants au FIDO Alliance Passkey Index ont signalé une réduction de 81 % des appels au support liés à la connexion après le déploiement des passkeys, éliminant l'un des plus grands coûts récurrents du support informatique.
Ces avantages UX dépendent de l'environnement réel de vos utilisateurs et applications, ce qui met en lumière la préparation des plateformes et de l'écosystème.
Support des plateformes et de l'écosystème
Le support des passkeys est désormais largement disponible sur les principales plateformes :
- Apple synchronise les passkeys via iCloud Keychain sur les appareils iOS, iPadOS et macOS avec chiffrement de bout en bout.
- Google gère les passkeys via Google Password Manager sur Android 9+ et Chrome, avec synchronisation sur tous les appareils connectés au même compte Google.
- Microsoft intègre les passkeys via Windows Hello sur Windows 10+ avec support dans Edge et les comptes Microsoft.
Selon la FIDO Alliance, 48 % des 100 premiers sites web mondiaux prennent désormais en charge l'authentification par passkey, soit plus du double par rapport à 2022.
L'authentification multiplateforme fonctionne via des transferts par QR code et la proximité Bluetooth, permettant aux utilisateurs de s'authentifier sur un ordinateur portable à l'aide d'une passkey stockée sur leur téléphone. Les gestionnaires de mots de passe tiers, dont 1Password et Bitwarden, prennent désormais en charge le stockage et la synchronisation des passkeys, réduisant la dépendance à un seul écosystème. Le Credential Exchange Protocol (CXP) de la FIDO Alliance progresse également pour permettre le transfert sécurisé de passkeys entre fournisseurs, répondant aux préoccupations de verrouillage fournisseur.
Le support des navigateurs est complet. Safari, Chrome, Edge et Firefox implémentent tous l'API WebAuthn requise pour l'authentification par passkey. Cela signifie que vos applications web peuvent prendre en charge les passkeys sans code spécifique à un navigateur.
Malgré ce large support des plateformes, les passkeys introduisent des compromis que les organisations doivent anticiper avant de généraliser leur déploiement.
Limites et compromis des passkeys
Aucune technologie d'authentification n'est sans friction, et comprendre ces contraintes vous aide à élaborer une stratégie de déploiement réaliste.
- La dépendance à l'écosystème reste un enjeu. Les passkeys synchronisées sont actuellement liées aux gestionnaires d'identifiants propres à chaque plateforme. Un employé utilisant Apple iCloud Keychain ne peut pas accéder directement à ces passkeys depuis un appareil Android. Bien que l'authentification par QR code et les gestionnaires de mots de passe tiers offrent des solutions, la portabilité inter-écosystèmes est encore en développement. Le Credential Exchange Protocol de la FIDO Alliance vise à résoudre ce problème, mais l'interopérabilité totale n'est pas encore standard.
- Les comptes partagés et de service posent des difficultés. Les passkeys sont liées à des appareils et à la biométrie individuels, ce qui complique leur utilisation pour des comptes d'équipe partagés, des comptes de service ou des bornes où plusieurs utilisateurs s'authentifient sur le même appareil. Les organisations maintiennent généralement l'authentification par mot de passe pour les comptes partagés tout en déployant les passkeys pour l'accès individuel.
- La récupération sans mot de passe nécessite de nouveaux processus. Lorsqu'un utilisateur perd tous ses appareils et n'a pas d'authentificateur de secours enregistré, la récupération de compte devient plus complexe qu'une simple réinitialisation de mot de passe. Les organisations doivent prévoir des procédures de récupération bien testées, incluant la récupération assistée par administrateur et la vérification d'identité hors bande.
- Tous les services ne prennent pas encore en charge les passkeys. Malgré l'adoption croissante, de nombreuses applications héritées, outils internes et produits SaaS tiers ne prennent pas encore en charge WebAuthn. Votre organisation conservera probablement une authentification hybride, avec des passkeys protégeant les fournisseurs d'identité principaux et des mots de passe subsistant pour les systèmes non pris en charge pendant la migration.
Ces limites influencent la manière dont les entreprises abordent le déploiement des passkeys en pratique, et les données montrent que la plupart avancent malgré la complexité.
Déploiement en entreprise : mot de passe vs passkey
Selon la FIDO Alliance Enterprise Deployment Survey menée auprès de 400 dirigeants britanniques et américains d'entreprises de plus de 500 employés, 87 % des organisations ont déployé ou sont en cours de déploiement de l'authentification par passkey pour les connexions des employés. Beaucoup adoptent une approche progressive, traitant l'intégration à l'infrastructure avant un déploiement généralisé. Les organisations ont constaté une réduction de 26 % de l'utilisation des mots de passe après la mise en œuvre des passkeys, montrant qu'une adoption partielle apporte déjà des améliorations de sécurité mesurables tout en traitant la compatibilité des systèmes hérités.
Votre plateforme d'identité doit prendre en charge l'API WebAuthn et la gestion du cycle de vie des passkeys. La plupart des fournisseurs d'identité modernes prennent désormais en charge l'authentification par passkey via WebAuthn. L'intégration se fait au niveau de votre fournisseur d'identité (IdP), où les utilisateurs s'authentifient avec des passkeys avant que des assertions SAML ou des jetons OIDC ne soient émis aux applications fédérées. Les plateformes de sécurité comme SentinelOne Singularity Platform doivent s'intégrer à votre IdP pour maintenir la visibilité sur les événements d'authentification, en corrélant les connexions par passkey avec l'activité des endpoints et l'analyse du comportement utilisateur.
Vos politiques de gestion des appareils mobiles (MDM) et de gestion unifiée des endpoints (UEM) doivent également être mises à jour pour prendre en charge les authentificateurs passkey et l'attestation des appareils. La compatibilité avec les applications héritées constitue le principal obstacle au déploiement. Vous avez besoin d'un inventaire complet des applications pour cartographier les systèmes compatibles avec les passkeys et ceux nécessitant des solutions passerelles ou le maintien de l'authentification par mot de passe pendant la migration.
L'adoption par les utilisateurs conditionne les résultats en matière de sécurité. Le rapport Thales/FIDO Alliance sur l'état du déploiement des passkeys pour 2024 identifie la formation des utilisateurs comme un défi majeur. Il documente la confusion des utilisateurs sur les concepts de passkey, en particulier la synchronisation inter-appareils, et la résistance au changement d'habitudes établies. Les organisations qui ne favorisent pas l'adoption risquent de conserver les mêmes vulnérabilités et coûts même après la mise en œuvre des passkeys.
Au-delà du déploiement opérationnel, l'adoption des passkeys doit également répondre aux cadres de conformité et aux architectures Zero Trust qui régissent la posture de sécurité des entreprises.
Conformité et alignement Zero Trust
Les passkeys répondent aux exigences d'authentification résistante au phishing que les mots de passe ne peuvent satisfaire. La publication spéciale 800-63B du NIST définit des niveaux d'assurance d'authentification où l'AAL2 exige explicitement des options résistantes au phishing et l'AAL3 les rend obligatoires. Si vous utilisez uniquement des mots de passe, vous ne pouvez pas satisfaire à ces exigences, quelles que soient les politiques de complexité ou les couches de MFA.
Pour les déploiements fédéraux, les directives complémentaires du NIST confirment que les passkeys synchronisées répondent aux exigences AAL2. Les clés d'authentification fédérales doivent être stockées dans des infrastructures de synchronisation ayant obtenu la conformité FISMA. Le PCI Security Standards Council a également publié les FAQ 1595 et 1596 traitant spécifiquement des passkeys et de l'authentification basée sur FIDO2 pour la conformité PCI.
Les passkeys s'alignent sur les principes fondamentaux du Zero Trust :
- Les clés privées ne quittent jamais l'appareil authentificateur, empêchant le vol d'identifiants et les attaques par rejeu.
- L'authentification est liée cryptographiquement aux domaines vérifiés, stoppant le phishing par validation de la partie de confiance.
- Chaque session exige une preuve cryptographique de possession de l'appareil plutôt que la présentation d'identifiants mis en cache.
Ensemble, ces propriétés soutiennent le principe Zero Trust : « ne jamais faire confiance, toujours vérifier ».
Pour les organisations soumises au RGPD, au secteur de la santé ou à la conformité SOC 2, les passkeys favorisent la conformité en réduisant l'exposition des données personnelles et en offrant une authentification résistante au phishing conforme aux normes NIST AAL2/AAL3. Répondre à ces exigences n'est qu'une partie de l'équation ; l'autre consiste à maintenir la visibilité sur votre infrastructure d'authentification pendant la transition.
Singularity™ Identity
Détecter et répondre aux attaques en temps réel grâce à des solutions globales pour Active Directory et Entra ID.
Obtenir une démonstrationPoints clés à retenir
Les mots de passe créent une vulnérabilité systémique via des secrets partagés que les attaquants volent par phishing, credential stuffing et violations de données. Les passkeys éliminent ces attaques grâce à la cryptographie asymétrique où les clés privées ne quittent jamais les appareils des utilisateurs.
Avec 88 % des violations impliquant des identifiants volés et 87 % des entreprises américaines et britanniques de plus de 500 employés déployant ou mettant en œuvre des passkeys, la tendance est claire. Le NIST et la CISA exigent explicitement une authentification résistante au phishing que les mots de passe ne peuvent fournir, quels que soient les critères de complexité.
FAQ
Une passkey est un identifiant d’authentification résistante au phishing basé sur la norme FIDO2/WebAuthn. Elle utilise la cryptographie asymétrique pour générer une paire de clés publique-privée unique pour chaque compte. La clé privée reste sur votre appareil et n’est jamais transmise aux serveurs.
Un mot de passe est un secret partagé stocké à la fois sur votre appareil et sur le serveur, ce qui le rend vulnérable au phishing, au credential stuffing et aux violations de bases de données. Les passkeys prouvent l’identité via un mécanisme de défi-réponse cryptographique plutôt qu’en transmettant un secret réutilisable.
Les passkeys utilisent une liaison cryptographique au domaine qui rend les réponses d’authentification valides uniquement pour le domaine d’origine où l’enregistrement a eu lieu. Lorsque les utilisateurs visitent des sites de phishing, l’implémentation WebAuthn du navigateur bloque les réponses d’authentification afin qu’elles n’atteignent pas le mauvais domaine.
Cette protection fonctionne au niveau du protocole plutôt que de compter sur la capacité des utilisateurs à détecter les sites frauduleux. La FIDO Alliance classe officiellement les passkeys synchronisées et liées à l’appareil comme résistantes au phishing, tandis que les mots de passe restent dans la catégorie vulnérable au phishing, aux côtés des OTP par SMS, OTP par e-mail et méthodes similaires.
Les implémentations de passkeys en entreprise utilisent des passkeys synchronisées qui se répliquent sur les appareils connectés au même écosystème de compte, tel qu’Apple, Google ou Microsoft. Lorsque les utilisateurs perdent un appareil, leurs passkeys restent accessibles sur d’autres appareils authentifiés. Les organisations doivent mettre en place des authentificateurs de secours et des procédures de récupération assistée par un administrateur pour les scénarios où les utilisateurs perdent l’accès à tous les appareils.
Pour la conformité NIST, les déploiements fédéraux doivent stocker les clés d’authentification dans des infrastructures de synchronisation conformes FISMA, comme spécifié dans le supplément NIST SP 800-63B sur les authentificateurs synchronisables.
Les applications héritées sans prise en charge de WebAuthn ne peuvent pas accepter directement l'authentification par passkey. Les organisations déploient les passkeys au niveau du fournisseur d'identité, où les utilisateurs s'authentifient à l'aide de passkeys avant que des assertions SAML ou des jetons OIDC ne soient émis aux applications fédérées.
Cela permet une migration progressive ; les applications modernes s'intègrent directement à l'authentification par passkey, tandis que les applications héritées reçoivent des jetons de fédération standard après l'authentification IdP basée sur passkey.
NIST SP 800-63B exige une authentification résistante au phishing pour AAL2 et AAL3, ce que les mots de passe ne peuvent pas satisfaire, quelle que soit leur complexité ou les politiques de rotation. La CISA recommande les passkeys comme méthode d'authentification par défaut pour les infrastructures critiques via des méthodes résistantes au phishing.
PCI DSS v4.x traite les passkeys dans les FAQ 1595 et 1596 pour la conformité du secteur des cartes de paiement. Les déploiements fédéraux doivent répondre aux exigences FISMA pour le stockage des clés d'authentification dans des environnements de synchronisation conformes.
