Passkeys pour tous : Microsoft accélère, mais à quel prix ?
Vous le savez peut-être pas mais le 1er mai dernier s’est tenue la Journée mondiale du Passkey (« World Passkey Day »), portée par la FIDO Alliance. Cette organisation internationale milite pour un monde sans mots de passe, et Microsoft en a profité pour annoncer que tous ses nouveaux comptes seraient désormais passwordless par défaut. À première vue, l’initiative semble un pas de géant vers la cybersécurité. Mais derrière l’innovation se cachent des questions techniques et éthiques qu’il est utile de soulever.
La FIDO Alliance organise le World Passkey Day pour sensibiliser à l’authentification sans mot de passe. Cette coalition regroupe des géants technologiques comme Microsoft, Google et Apple, qui cherchent à standardiser les méthodes de connexion reposant sur des clés cryptographiques, appelées passkeys.
Bien qu’ambitieux, l’objectif pose la question de la dépendance croissante à des normes centralisées. Qui valide ces standards, et que deviennent-ils en cas de vulnérabilité ?
Depuis Windows 10 et l’introduction de Windows Hello (reconnaissance faciale, empreinte digitale, PIN), Microsoft s’éloigne des mots de passe classiques. L’intégration de WebAuthn dans Edge et les guides pour Windows 11 illustrent cette volonté. Cette stratégie renforce la sécurité mais multiplie les vecteurs techniques. Si le système biométrique échoue (capteur cassé, reconnaissance ratée), combien d’utilisateurs seront coincés hors de leur compte ?
Pourquoi abandonner les mots de passe ?
Microsoft estime qu’il y a aujourd’hui 7 000 attaques par seconde sur les mots de passe, soit plus du double de 2023. Les passkeys utilisent la cryptographie liée à l’appareil ou à l’identité, les rendant beaucoup plus difficiles à pirater. Si le gain en sécurité est clair, il repose sur une hypothèse : la solidité des terminaux personnels.
Tout nouvel utilisateur crée désormais un compte Microsoft sans mot de passe, en choisissant une méthode comme Windows Hello ou l’application Microsoft Authenticator. Simplification oui, mais au prix d’une dépendance technologique accrue. Et quid des utilisateurs moins technophiles ou mal équipés ?
Les comptes existants sont invités à privilégier les options sans mot de passe. Microsoft a constaté que les utilisateurs de passkeys se connectaient plus vite et plus souvent avec succès. Cette « nudging strategy » (stratégie d’incitation douce) est habile mais peut être perçue comme intrusive.
Derrière l’innovation, on trouve des défis majeurs. L’authentification sans mot de passe est indéniablement plus sûre contre les attaques de phishing, mais elle déplace le risque : l’appareil devient le maillon faible. Que se passe-t-il si l’utilisateur perd son téléphone, si son capteur biométrique est défectueux ou si une vulnérabilité matérielle est découverte ? De plus, il faut interroger la question de l’inclusivité : tout le monde ne dispose pas des derniers appareils, ni du même niveau de confort numérique.
Nous reviendrons sur tout cela lors du prochain Briefing Calipia, n’hésitez pas à vous y inscrire !
Calipia : le blog 