Sécurité 12 min de lecture

Passkeys 2026 : remplacer ses mots de passe en pratique

Les passkeys ferment la porte au phishing et au vol côté serveur. État réel des services compatibles, migration du compte Google et limites en juillet 2026.

Smartphone avec capteur d’empreinte et laptop authentification passkey

Les mots de passe ont quarante ans. Ils traînent toujours sur des post-it collés sous le clavier, dans des fichiers texte oubliés, dans la mémoire approximative d’un cerveau qui a déjà gérer cinquante comptes en ligne. Et même quand tu fais tout bien, qu’un gestionnaire de confiance les stocke et que la double authentification est activée, il reste cette faille intacte : le phishing. Un faux mail bien torché, une page de connexion clonée, et la phrase secrète part chez quelqu’un qui n’a rien demandé.

Les passkeys promettent de fermer cette plaie. L’idée a été poussée par l’alliance FIDO, adoptée par Apple, Google et Microsoft dès 2022, puis intégrée dans les grandes plateformes au fil des mois. À l’été 2026, on n’est plus dans la promesse : ton compte Google, ton compte Amazon, ton GitHub et même PayPal acceptent une connexion sans mot de passe, validée par ton empreinte ou ton visage. La bascule est silencieuse, presque invisible, et c’est sans doute pour ça qu’elle se fait lentement chez les particuliers.

On va regarder ce qu’est vraiment une passkey, pourquoi elle bat le mot de passe sur tous les terrains qui comptent, où tu peux l’utiliser dès aujourd’hui, et comment migrer ton compte Google en suivant la méthode pas à pas. Sans promesse magique : il reste des angles morts, surtout quand tu passes d’un écosystème à un autre.

Passkey : c’est quoi exactement ?

Une passkey est une paire de clés cryptographiques générée par ton appareil au moment où tu crées un compte ou actives l’option. La clé publique part sur le serveur du service (Google, Amazon, peu importe), la clé privée reste chez toi, enfermée dans le composant sécurisé de ton téléphone, de ton ordinateur, ou de ta clé physique type YubiKey. Cette clé privée ne quitte jamais le matériel qui l’a créée, et c’est tout l’intérêt.

Quand tu te connectes, le serveur envoie un défi mathématique. Ton appareil le signe avec la clé privée, mais avant de signer il te demande de prouver que c’est bien toi : empreinte digitale, scan facial, ou code PIN du téléphone. Pas de mot de passe à taper, pas de phrase secrète à retenir. La biométrie reste locale, elle ne part jamais sur Internet, elle sert juste à déverrouiller la clé sur ton matériel.

Le standard derrière s’appelle WebAuthn, complété par les protocoles FIDO2 et CTAP. Les ingénieurs travaillaient dessus depuis 2018. Ce qui a changé en 2022, c’est qu’Apple, Google et Microsoft ont accepté de synchroniser ces clés dans leurs trousseaux cloud respectifs, pour qu’une passkey créée sur ton iPhone fonctionne aussi sur ton Mac, et pareil dans l’écosystème Google. Cette synchro a tout débloqué pour le grand public, parce qu’elle évite de perdre l’accès dès qu’un appareil tombe en panne.

Pourquoi c’est mieux qu’un mot de passe

Le premier gain est le plus important : une passkey résiste au phishing par construction. La signature cryptographique est liée au domaine exact du site. Si tu cliques sur un faux lien qui imite paypal.com mais qui s’appelle en réalité paypa1.com, ton navigateur refuse de présenter la passkey. Pas de choix possible, pas de moment d’inattention où tu valides quand même. Le truc qui te perd avec un mot de passe (taper sur la mauvaise page) devient impossible. C’est notamment pour ça que les passkeys protègent contre les arnaques SMS qui imitent les impôts ou n’importe quel service officiel : le faux site ne peut pas demander ta clé privée.

Le deuxième gain concerne les fuites côté serveur. Quand un service stocke des mots de passe (même hachés), un piratage peut exposer ces hash et exposer les comptes faibles au cassage hors-ligne. Avec une passkey, le serveur ne stocke que la clé publique. Cette clé publique ne sert à rien sans la clé privée correspondante, qui dort dans ton matériel. Si Amazon se fait pirater demain, la base de passkeys volée ne donne accès à aucun compte.

Le troisième avantage est plus terre à terre. Tu ne peux pas réutiliser une passkey d’un service à l’autre, parce que chaque service génère sa propre paire. Tu ne peux pas non plus la noter quelque part. Le côté pénible de la sécurité (créer un mot de passe unique par compte) disparaît : c’est l’appareil qui gère, et il le fait bien. Et la connexion devient plus rapide, parce que valider une empreinte prend une demi-seconde quand taper un mot de passe complexe sur clavier mobile en prend dix. Si tu utilises encore un générateur de mot de passe pour tes comptes restants, garde-le sous la main : il reste utile pour les services qui n’ont pas migré.

Où utiliser les passkeys en juillet 2026

L’adoption a fait un bond en 2024 et 2025. À l’été 2026, l’état réel des grands services côté grand public se résume ainsi.

ServicePasskey supportéeRemarque
Google (Gmail, Drive, YouTube)Oui, depuis mai 2023Activable depuis g.co/passkeys, devenu défaut pour les nouveaux comptes en 2024
Apple IDOui, depuis iOS 16Synchro iCloud Keychain entre iPhone, iPad et Mac
Microsoft (compte personnel)Oui, depuis mai 2024Microsoft pousse l’option par défaut sur les nouveaux comptes
AmazonOui, depuis octobre 2023Disponible sur app mobile et site web
eBayOuiActivation depuis les paramètres de sécurité
PayPalOui, depuis 2022 aux US, étendu en 2023 en EuropeActivation depuis l’app
GitHubOui, depuis juillet 2023Adoption forte chez les devs, marche aussi pour 2FA
X (Twitter)Oui, partielDisponible côté iOS et Android, support web limité
RedditOui, depuis 2024Activable via Account settings
WhatsAppOuiPour sécuriser le login, pas le chiffrement des messages
LinkedInOui, depuis 2024Activable depuis la section sign-in
Banques françaises grand publicPartielQuelques néobanques ont migré, les banques traditionnelles restent au SMS et à la 3D Secure maison
Impôts.gouv, Ameli, FranceConnectNon en juillet 2026Pas d’annonce officielle, les services publics restent au mot de passe + 2FA

Beaucoup de services moyens (forums, sites e-commerce de seconde catégorie, vieux espaces clients) n’ont pas migré et ne migreront sans doute jamais. Pour ces comptes-là, ton gestionnaire reste indispensable. Si tu cherches une solution qui gère à la fois mots de passe classiques et passkeys, le comparatif des gestionnaires 2026 détaille les options compatibles, notamment 1Password, Bitwarden et Dashlane qui synchronisent les passkeys entre tes appareils.

Migrer pas à pas : ton compte Google d’abord

Google reste le meilleur point de départ : c’est probablement le compte le plus stratégique pour la plupart des gens (mail principal, recovery des autres comptes, contacts, photos), et son flux d’activation est devenu très propre. On y va dans l’ordre.

Sur Android

Ouvre Chrome et va sur g.co/passkeys. Connecte-toi si nécessaire. La page liste les passkeys déjà créées, et propose un bouton « Créer une passkey ». Clique. Android te demande de confirmer avec l’empreinte ou le visage, selon ce que ton téléphone connaît. La passkey est créée et synchronisée avec ton compte Google : elle servira aussi sur les autres Android où tu es connecté, et sur Chrome desktop si tu y es connecté avec le même compte.

Déconnecte-toi une fois de Gmail dans le navigateur pour tester. La page de login détecte la passkey et propose la validation biométrique directement, sans demander le mot de passe.

Sur iOS

Sur iPhone, ouvre Safari et va aussi sur g.co/passkeys. Le flux est identique, sauf que la passkey est stockée dans iCloud Keychain au lieu du trousseau Google. Ça reste fonctionnel sur Chrome desktop ou sur un PC, via la procédure de connexion croisée : ton iPhone affiche un QR code que tu scannes avec l’appareil distant, validation Face ID, et tu es connecté. C’est pratique en voyage ou sur un poste partagé.

Sur PC (Windows ou Mac)

Sur ordinateur, deux chemins. Soit tu crées la passkey directement sur la machine, et elle sera stockée dans Windows Hello (PIN, empreinte, caméra Hello) ou dans le trousseau macOS. Soit tu utilises ton téléphone comme authentificateur : Google propose un QR code, ton téléphone scanne, tu valides en biométrie, et le PC est connecté. Cette deuxième méthode évite de multiplier les passkeys sur tous tes appareils si tu préfères centraliser sur le mobile.

Une fois la passkey créée et testée, garde le mot de passe Google actif en secours pour quelques semaines. Tu pourras le supprimer quand tu seras à l’aise, ou le laisser dormir dans ton gestionnaire au cas où. Pense à tester la solidité de ce mot de passe résiduel tant qu’il sert encore : un mot de passe de récupération mou reste une porte ouverte si la passkey tombe en panne.

Les limites à connaître avant de basculer

Le premier risque est la perte du device. Si ta passkey est synchronisée via iCloud Keychain ou Google, le téléphone perdu n’est pas un drame : tu en récupères une copie sur le suivant. Si elle est stockée sur une clé matérielle type YubiKey et que tu perds la clé, en revanche, l’accès est mort. La parade : enrôler systématiquement au moins deux authentificateurs par compte critique. Deux clés physiques rangées dans deux endroits différents, ou une passkey synchronisée et une clé hardware en secours.

Le deuxième angle mort, plus pénible au quotidien, c’est le passage entre écosystèmes. Une passkey créée sur iPhone vit dans iCloud Keychain, et elle reste utilisable sur Mac sans souci. Mais si tu veux la même passkey directement disponible sur un PC Windows ou un Android, ça coince. Il faut soit créer une deuxième passkey sur l’autre écosystème, soit utiliser le téléphone comme authentificateur via QR code à chaque connexion. Les gestionnaires tiers (1Password, Bitwarden, Dashlane) règlent ce problème en stockant les passkeys dans leur propre coffre, accessible depuis n’importe quelle plateforme. C’est probablement la meilleure approche si tu vis à cheval sur plusieurs OS.

Troisième point : tous les services n’ont pas migré, et certains ne migreront pas avant longtemps. Les services publics français, beaucoup de banques traditionnelles, des espaces clients d’opérateurs ou de fournisseurs d’énergie, des forums, des vieux comptes oubliés. Pour tout ça, le gestionnaire de mots de passe reste obligatoire. La bonne nouvelle, c’est que le nombre de mots de passe à gérer va baisser au fil des mois, ce qui rend l’hygiène plus tenable.

Dernier point d’attention : la récupération de compte. Si tu perds toutes tes passkeys d’un coup (incendie, vol des deux téléphones, oubli du mot de passe maître du gestionnaire), il te faut un plan de récupération. Codes de secours imprimés et rangés au coffre, adresse mail secondaire vérifiée, numéro de téléphone à jour. Ne pas négliger cette étape, c’est elle qui te sauve quand tout part de travers.

Questions fréquentes

Si je perds mon téléphone, je perds toutes mes passkeys ?

Non, dans la majorité des cas. Tant que tu utilises la synchro iCloud Keychain (Apple), Google Password Manager (Android) ou un gestionnaire tiers comme 1Password ou Bitwarden, tes passkeys sont sauvegardées dans le cloud chiffré du fournisseur et restaurées sur un nouvel appareil après authentification de ton compte. Les seules passkeys non récupérables sont celles stockées uniquement sur une clé matérielle physique, sans copie ailleurs.

Mon empreinte digitale part-elle chez Google ou Apple ?

Non. La biométrie sert uniquement à déverrouiller la clé privée stockée localement sur ton appareil. Elle est traitée par le composant sécurisé du téléphone ou de l’ordinateur, et ne quitte jamais ce composant. Le service distant ne reçoit qu’une signature cryptographique, jamais ton empreinte ni ton scan facial.

Faut-il garder un mot de passe en secours ?

Sur la plupart des grands services, oui, au moins pendant la phase de transition. Google, Microsoft et Amazon te permettent de désactiver complètement le mot de passe une fois la passkey active, mais cette option mérite d’attendre quelques semaines pour vérifier que tout fonctionne dans toutes les situations (poste public, voyage, panne de téléphone). Tant qu’un mot de passe de secours existe, garde-le fort et unique dans ton gestionnaire.

Peut-on partager une passkey, comme on partage un mot de passe Netflix ?

Pas directement. Une passkey est liée à un appareil ou à un trousseau cloud personnel. Les gestionnaires comme 1Password et Bitwarden proposent désormais le partage de passkeys dans des coffres d’équipe ou de famille, ce qui résout le cas du compte partagé légitime. En dehors de ces outils, il n’y a pas de mécanisme natif pour copier-coller une passkey d’un compte à un autre, ce qui est plutôt sain côté sécurité.

La bascule vers les passkeys ne se fait pas en un week-end, mais elle vaut le coup d’être commencée. Active la passkey sur ton compte Google ce soir, teste la connexion sans mot de passe demain matin, puis avance service par service au rythme qui te convient. Dans six mois, tu auras divisé par cinq le nombre de mots de passe que tu tapes chaque semaine, et tu auras refermé une des plus vieilles portes d’entrée des attaques en ligne.