IT Glossary

Passkey

Les passkeys remplacent les mots de passe par de la cryptographie FIDO2. Découvrez comment fonctionnent les passkeys, pourquoi ils résistent au phishing, et leur adoption en entreprise.

June 8, 2026

Un passkey (clé d'accès) est un identifiant numérique basé sur la cryptographie à clé publique/privée, conforme au standard FIDO2/WebAuthn. Il remplace le mot de passe : la clé privée reste sur l'appareil de l'utilisateur et n'est jamais transmise, tandis que la clé publique est enregistrée chez le service. L'authentification s'effectue via la biométrie ou le PIN de l'appareil, sans mot de passe à mémoriser.

Comment fonctionne un passkey

À l'enrôlement, l'appareil génère une paire de clés cryptographiques.
La clé publique est transmise et stockée par le service.
La clé privée reste sur l'appareil, protégée par le déverrouillage (biométrie, PIN).
À la connexion, le service envoie un défi ; l'appareil le signe avec la clé privée.
Le service vérifie la signature : aucun mot de passe n'a circulé.

Passkey vs mot de passe

Dimension	Passkey Recommandé	Mot de passe
Transmission	Aucun secret transmis	Mot de passe envoyé au serveur
Phishing	Résistant par construction	Vulnérable
Mémoire	Aucune	Charge cognitive élevée
Réutilisation	Impossible (lié à l'application)	Risque courant

Exemples et cas d'usage

Un dirigeant se connecte à Salesforce depuis son Mac : Face ID déclenche la signature de la clé privée et l'accès est accordé en moins d'une seconde, sans mot de passe. Les passkeys synchronisés (iCloud Keychain, Google Password Manager) permettent un usage multi-appareils. En entreprise, les passkeys d'entreprise (liés à un appareil géré) offrent le meilleur niveau de sécurité pour les accès aux applications sensibles.

Concepts associés

Authentification sans mot de passe et Authentification multifacteur (MFA)
Article : Tendances IAM 2025 et au-delà
Solution : Corma pour les équipes sécurité

FAQ

Les passkeys sont-ils vraiment résistants au phishing ?

‍Oui. La clé privée est liée cryptographiquement au domaine du service lors de l'enrôlement. Un site de phishing ne peut pas obtenir la signature, même s'il reproduit l'apparence du site légitime.

Que se passe-t-il en cas de perte d'appareil ?

‍Les passkeys synchronisés (cloud) sont récupérables depuis un autre appareil du même écosystème. Les passkeys d'appareil uniquement nécessitent une procédure de récupération via un second facteur.

Les passkeys sont-ils adaptés aux entreprises ?

‍Oui. Les RSSI et DSI les adoptent progressivement, notamment pour les applications à fort enjeu. Les IdP comme Okta, Google et Microsoft Entra ID supportent les passkeys d'entreprise.

Corma gouverne les accès SaaS quelle que soit la méthode d'authentification, y compris les passkeys. Voir Corma pour les équipes sécurité ou demandez une démo.