Autofill enterré, passkeys couronnés : Microsoft force le pas vers l’authentification sans mot de passe

Publié le par Poster un commentaire

Ce n’est ni un bug, ni un oubli. À partir de juin 2025, Microsoft va commencer à désactiver progressivement le remplissage automatique de mots de passe et de données de paiement dans son application Microsoft Authenticator. Une décision qui s’inscrit dans une stratégie plus large : celle de pousser les utilisateurs – particuliers comme entreprises – vers un modèle passwordless, dominé par les passkeys et les systèmes biométriques.

Décryptage d’une transition qui, si elle semble sécurisante sur le papier, soulève aussi des questions d’usage, de centralisation et de dépendance technologique.

Le calendrier de la désactivation

Microsoft annonce un processus en trois temps, qui s’étalera sur trois mois, mais sera rapide :

  • Juin 2025 : fin de la possibilité de sauvegarder de nouveaux mots de passe dans Authenticator.
  • Juillet 2025 : suppression des fonctionnalités de remplissage automatique, y compris pour les cartes bancaires.
  • Août 2025 : effacement définitif de toutes les données enregistrées dans l’application (mots de passe, cartes, adresses).

Autrement dit : vous avez trois mois pour faire vos valises numériques. Microsoft recommande d’exporter vos mots de passe avant août, et de les importer dans Microsoft Edge ou dans un gestionnaire de mots de passe tiers.

Le discours officiel : sécurité, UX, et IA

Le choix est présenté comme une avancée en matière de cybersécurité. Dans ses communications officielles, Microsoft met en avant :

  • La vulnérabilité persistante des mots de passe aux attaques par phishing ou credential stuffing.
  • Les avantages des passkeys : authentification par biométrie ou code PIN, résistante au vol ou au hameçonnage.
  • L’intégration d’outils de sécurité avancés dans Edge, tels que Defender SmartScreen ou Password Monitor.

Microsoft pousse aussi sa vision d’un navigateur intelligent, sécurisé et “AI-powered” : Edge devient le nouvel épicentre de la gestion des identifiants, au détriment d’une application jusqu’ici plébiscitée pour sa simplicité mobile.

En supprimant l’autofill de l’application Authenticator, Microsoft déplace volontairement les usages vers Edge, son navigateur maison, et vers les passkeys hébergés dans l’écosystème Microsoft.

Pour les DSI, cela signifie :

  • Une centralisation accrue des identités numériques dans un périmètre contrôlé par l’éditeur.
  • Une réduction de l’indépendance des terminaux mobiles qui, auparavant, pouvaient fonctionner sans navigateur associé.
  • Une dépendance à Edge, qui reste encore minoritaire sur le marché malgré ses efforts de remontée.

On est loin de la promesse d’un écosystème ouvert, surtout si l’on considère que l’export des mots de passe nécessite des manipulations manuelles, et que les informations de paiement doivent être reconstituées de zéro.

Les passkeys : promesses et pièges

Le cœur de la transformation repose sur les passkeys, ces clés d’authentification cryptographiques qui remplacent les mots de passe par une validation biométrique locale (visage, empreinte digitale, code appareil). Microsoft les intègre désormais nativement dans Authenticator sur Android et iOS.

Avantages réels :

  • Plus rapides à utiliser (plus de saisie de mot de passe ou de code temporaire).
  • Immunisées aux attaques classiques sur les mots de passe.
  • Synchronisables sur plusieurs appareils via le cloud.

Mais… :

  • Les passkeys, dans l’implémentation Microsoft, restent hébergées et synchronisées via le compte Microsoft.
  • Leur gestion en entreprise nécessite une mise à jour des politiques IAM, une interopérabilité SSO (Single Sign-On) robuste et des mécanismes de récupération maîtrisés.

Pour les architectures SI, cela représente un effort d’intégration non négligeable, surtout si l’organisation utilise d’autres fournisseurs de services cloud (Google, AWS, Okta, etc.).

Ce que doivent faire les DSI

Face à cette bascule forcée, les responsables de la sécurité et de l’infrastructure doivent réagir rapidement :

  1. Auditer les usages actuels de Microsoft Authenticator : quelles équipes utilisent encore le remplissage automatique ?
  2. Sensibiliser les collaborateurs sur la disparition imminente de la fonctionnalité.
  3. Organiser l’export sécurisé des mots de passe vers Edge ou un gestionnaire tiers (Bitwarden, 1Password, Dashlane…).
  4. Évaluer la maturité des terminaux pour supporter les passkeys (OS, compatibilité FIDO2, authentification biométrique).
  5. Mettre à jour la documentation IT et les guides d’onboarding pour intégrer ces nouveaux mécanismes.

Conclusion

Microsoft prend ici un virage sans ambiguïté vers un modèle passwordless, fondé sur les passkeys et centré autour de son écosystème. L’intention est louable et techniquement pertinente — mais la manière de procéder soulève des critiques légitimes sur l’unilatéralité du changementl’absence de transition douce, et la captation fonctionnelle vers Edge.

C’est un signal fort envoyé à l’ensemble du marché IT : le futur de l’authentification se jouera sans mots de passe… mais avec beaucoup de dépendances techniques. À chacun de s’y préparer, mais c’est plutôt une bonne nouvelle.

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur la façon dont les données de vos commentaires sont traitées.