Les clés d’accès en 2025 : le guide complet de l’authentification sans mot de passe

Peut-on dire adieu aux mots de passe et passer aux clés d’accès ? Nous analysons les situations où c’est envisageable et celles où cela reste problématique.

Imaginez-vous abandonner complètement les mots de passe et les codes de vérification par SMS, et vous connecter à des applications et des sites Internet d’un simple scan de vos empreintes digitales ou même d’un sourire à la caméra. Voilà la promesse des clés d’accès. De plus, contrairement aux mots de passe, les clés d’accès sont résistantes au vol. Autrement dit, vous pourriez lire des articles concernant des violations de données – comme le dernier piratage ayant touché 16 milliards de comptes – sans que cela vous angoisse.

Connue sous différents noms, cette méthode de connexion est fortement recommandée par WhatsApp, Xbox, Microsoft 365, YouTube et des dizaines d’autres services en ligne populaires. Mais à quoi ressemblent les clés d’accès dans la pratique ? Nous avons abordé cette question en détail pour les comptes Google. Aujourd’hui, nous examinerons comment d’autres services et plateformes en ligne prennent en charge les clés d’accès. Dans ce premier article, nous aborderons les bases de l’utilisation des clés d’accès sur un ou plusieurs appareils. Dans notre prochain article, nous aborderons des scénarios plus complexes, comme la connexion à votre compte sur un ordinateur public, l’utilisation de Linux ou le stockage de vos clés d’accès sur un dongle.

Qu’est-ce qu’une clé d’accès ?

Une clé d’accès est une clé d’identification numérique unique créée pour un site Internet ou une application en particulier. Elle est stockée en toute sécurité sur votre appareil : votre smartphone, votre ordinateur ou un dongle USB dédié, comme une YubiKey ou une clé de sécurité Google Titan. Lorsque vous vous connectez, votre appareil utilise des données biométriques ou un code PIN pour vérifier qu’il s’agit bien de vous. Après vérification, votre appareil envoie, au site Internet, une réponse sécurisée, générée à partir de cette clé d’accès unique. Ce mécanisme offre une solide protection contre le vol de compte, qui peut se produire avec des mots de passe traditionnels, que ce soit par le biais d’attaques de phishing ou de violations de sites Internet. Les clés d’accès sont prises en charge par les appareils Apple, Google et Microsoft et, en théorie, avec la synchronisation dans le cloud, elles devraient être accessibles sur tous vos appareils. Pour en savoir plus sur le fonctionnement interne des clés d’accès, consultez notre précédent article sur le sujet.

Les clés d’accès sont-elles vraiment sécurisées et simples d’utilisation ?

Avant de vous lancer pleinement dans l’utilisation des clés d’accès, il convient d’examiner dans quelle mesure elles conviennent à votre propre configuration. Bien que la technologie soit de plus en plus largement adoptée, chaque site et chaque plateforme la met en œuvre différemment, en utilisant une terminologie différente pour les mêmes fonctionnalités. En outre, le transfert ou la synchronisation des clés d’accès peut poser des problèmes.

Si votre smartphone est votre seul gadget, si vous utilisez exclusivement des appareils Apple, ou si vous avez quelques appareils Android ou ChromeOS récents, les clés d’accès vous feront probablement gagner du temps lors de la connexion aux sites Internet et aux applications, avec le moins de contraintes possible.

Toutefois, si vous utilisez plusieurs plateformes et possédez de nombreux appareils, nous vous recommandons vivement un gestionnaire de mots de passe et de clés d’accès tiers, comme Kaspersky Password Manager, pour une expérience plus fluide. Même dans ce cas, vous pourriez encore rencontrer des incompatibilités occasionnelles ou des problèmes d’interface sur certains sites et applications.

Pour ceux qui utilisent des navigateurs moins courants, des systèmes d’exploitation basés sur Linux ou des ordinateurs et des smartphones plus anciens, le passage aux clés d’accès peut être tout simplement impossible ou s’accompagner de limitations importantes.

Gardez en tête que très peu de services, voire aucun, ne désactivent l’ouverture de session par mot de passe lorsque vous activez une clé d’accès. Cela signifie qu’en réalité, la protection renforcée contre la compromission des comptes n’est pas aussi forte qu’annoncée, à moins de désactiver soi-même de manière proactive l’ouverture de session par mot de passe. En revanche, avoir un mot de passe comme méthode de connexion de secours réduit les risques de perdre l’accès à votre compte en cas de problème avec les clés d’accès, mais nous reviendrons sur ce point plus en détail plus tard.

Où les clés d’accès sont-elles prises en charge en 2025 ?

Les clés d’accès peuvent être utilisées sur les principaux systèmes d’exploitation et navigateurs, et vous n’avez pas nécessairement besoin des versions les plus récentes.

  • Windows 11 : pris en charge à partir de la version 22H2, bien que partiellement utilisable sur Windows 10 grâce aux mises à jour.
  • macOS : pris en charge à partir de Ventura.
  • iOS/iPadOS : pris en charge à partir de la version 16.
  • Android : les clés d’accès sont utilisables à partir de la version 9, mais des paramètres supplémentaires essentiels, notamment l’intégration avec des gestionnaires de mots de passe externes et des fournisseurs de clés d’accès, ont seulement été ajoutés à partir de la version 14.
  • Linux : la plupart des grandes distributions ne prennent pas en charge les clés d’accès en natif. Vous pouvez toutefois utiliser cette technologie en exploitant les navigateurs Chrome, Edge ou Firefox parallèlement à un gestionnaire de mots de passe externe ou à un jeton USB. Nous approfondirons l’utilisation des clés d’accès sous Linux dans notre deuxième article sur le sujet.
  • Chrome/Edge/Opera : les fonctions de base des clés d’accès existent depuis la version 108 de Chromium, mais certaines facilités et fonctionnalités importantes ne sont apparues qu’à partir de la version 128.
  • Firefox : pris en charge à partir de la version 122. Malgré la prise en charge du navigateur, les clés d’accès ne fonctionnent souvent pas sur de nombreux sites, en particulier avec Firefox.
  • Safari : pris en charge à partir de la version 16, mais certaines fonctionnalités ne sont disponibles qu’à partir de la version 18.

Pour pouvoir utiliser une clé d’accès, l’application ou le site auquel vous vous connectez doit également prendre en charge cette technologie. Des centaines de services la proposent déjà, c’est pourquoi nous nous contenterons de mentionner quelques-uns des principaux acteurs.

  • Microsoft : les clés d’accès sont prises en charge pour tous les comptes personnels Microsoft et Xbox. À partir du printemps 2025, lors de la création d’un nouveau compte, la principale option proposée est de créer une clé d’accès plutôt que de définir un mot de passe.
  • iCloud : la connexion par clé d’accès est prise en charge pour iCloud, mais la clé d’accès elle-même doit être stockée sur un appareil Apple.
  • Google : les clés d’accès sont prises en charge pour tous les comptes Google personnels, y compris YouTube.
  • Meta : prend en charge les clés d’accès pour la connexion à Facebook et WhatsApp.
  • Vous pouvez également abandonner les mots de passe au profit de clés d’accès sur X/Twitter, LinkedIn, Amazon, PayPal, TikTok, Yahoo, Discord, Adobe Creative Cloud, GitHub, et bien plus encore.

Voici quelques services populaires qui ne prennent pas en charge les clés d’accès : ChatGPT, Claude, DeepSeek, Reddit, Spotify, Instagram, AliExpress, Temu et Shein.

Quels sont les inconvénients des clés d’accès ?

Avant de passer aux clés d’accès et de décider comment les stocker, il convient de prendre en compte quelques inconvénients importants. Les deux premiers ne seront probablement jamais totalement résolus, tandis que les autres peuvent devenir moins problématiques au fil du temps.

  • Quiconque peut déverrouiller votre appareil (en connaissant votre code PIN ou en vous ressemblant suffisamment pour contourner Face ID) peut potentiellement accéder à tous vos comptes. Ce point est particulièrement important pour les ordinateurs familiaux partagés.
  • Si vos clés d’accès sont stockées sur un seul appareil et que cet appareil est endommagé ou volé, vous risquez de perdre l’accès à vos comptes. Si vous n’avez pas configuré d’autres méthodes de connexion, comme un mot de passe ou un numéro de téléphone ou d’adresse email de secours, vous devrez passer par une procédure de récupération de compte. Pour certains services en ligne, cette procédure peut prendre des jours, voire des semaines. Et si vous avez configuré une connexion par clé d’accès uniquement pour votre adresse email principale, sur laquelle vous recevez des codes de récupération pour d’autres services, vous risquez de perdre à tout jamais l’accès à vos comptes.
  • Les utilisateurs disposant de plusieurs appareils fonctionnant sous divers systèmes d’exploitation ou utilisant différents navigateurs risquent de rencontrer des difficultés pour synchroniser leurs clés d’accès. Plus d’informations à ce sujet ci-dessous.
  • Si vous devez vous connecter à un compte à partir de l’appareil de quelqu’un d’autre (comme l’ordinateur d’une bibliothèque ou d’un hôtel), il est possible qu’un logiciel obsolète installé sur cet appareil empêche la connexion par clé d’accès. Il est donc essentiel d’avoir un plan B.
  • Un inconvénient moins apparent découle des points ci-dessus : la plupart des services en ligne qui proposent de passer aux clés d’accès ne désactivent pas les autres méthodes d’ouverture de session. Par conséquent, si vous avez protégé votre compte avec un mot de passe faible ou réutilisé avant de passer aux clés d’accès, des pirates informatiques peuvent toujours compromettre votre compte en se connectant à l’aide du mot de passe au lieu de la clé d’accès.

Comment créer et utiliser des clés d’accès sur un seul appareil ?

Si vous n’utilisez qu’un seul appareil compatible avec les clés d’accès (comme les smartphones Apple, Google ou Samsung sortis au cours des deux dernières années), le passage aux clés d’accès est un jeu d’enfant.

Il vous suffit de vous rendre dans les paramètres de chaque service que vous utilisez, de trouver la section « Sécurité » et de chercher l’option « Créer une clé d’accès ».

Voici des instructions détaillées pour Google, Microsoft, Facebook, WhatsApp, TikTok, Discord, Amazon, PayPal, Adobe, Linkedin et Yahoo.

Vous ne trouverez pas ici d’instructions pour créer une clé d’accès pour votre compte iCloud, car la création se fait automatiquement. Chaque fois que vous connectez à votre compte un appareil fonctionnant sous iOS 16 ou une version ultérieure, ou macOS Ventura ou une version ultérieure, une clé d’accès est créée. Même si vous ne le voyez pas dans vos paramètres, lorsque vous vous connectez au site web d’iCloud à partir d’un appareil que vous ne connaissez pas, vous pouvez utiliser votre clé d’accès au lieu d’un mot de passe.

Une fois créées, les clés d’accès sont enregistrées localement sur votre appareil : sur iOS/macOS, elles se trouvent dans Keychain, et sur Android, elles se trouvent dans le gestionnaire de mots de passe Google. Sous Windows, la situation est un peu plus complexe, car les clés d’accès peuvent être liées au système de stockage intégré de l’ordinateur (accessible via Windows Hello) ou à d’autres options de stockage.

À l’avenir, pour se connecter à un site Internet ou à une application, il suffira de sélectionner « Se connecter avec une clé d’accès » et de procéder à la vérification standard de l’appareil : empreinte digitale, scan du visage ou code PIN.

Les dernières versions de Safari sur iOS et macOS, ainsi que de Chrome sur Windows et macOS (versions 136 et ultérieures, avec une prise en charge sous Android  » bientôt disponible « ), proposent désormais une option de mise à niveau automatique. Si votre navigateur dispose d’un mot de passe enregistré pour un site Internet qui prend désormais en charge les clés d’accès, il se peut qu’après votre connexion, le navigateur crée et enregistre automatiquement une clé d’accès, puis vous invite à l’utiliser lors de vos prochaines connexions sans mot de passe.

Comment utiliser les clés d’accès sur plusieurs appareils ?

Si vous possédez plusieurs appareils, vous devrez trouver un moyen de synchroniser vos clés d’accès sur chacun d’entre eux.

Si vous n’utilisez que des Mac et des iPhone, ou exclusivement des appareils Android et ChromeOS, vous n’aurez pas à configurer manuellement les clés d’accès sur chaque gadget. Il suffit de créer toutes vos clés d’accès sur un seul appareil et de s’assurer que l’option de synchronisation est activée dans les paramètres.

Sous iOS, vous pouvez l’activer dans les paramètres de l’iPhone sous Réglages → [votre nom] → iCloud → Enregistré sur iCloud → Mots de passe et trousseau → Synchroniser cet iPhone (guide complet). Sous Android, les données enregistrées dans le gestionnaire de mots de passe Google sont automatiquement synchronisées avec votre compte Google. Windows et Linux, en revanche, ne disposent actuellement pas de fonction intégrée de synchronisation des clés d’accès, bien que Microsoft ait annoncé le développement prochain d’un tel outil.

Les choses se compliquent un peu pour ceux qui mélangent différents écosystèmes, en particulier avec des combinaisons populaires, telles que Windows + Android ou macOS + Android. Certes, vous pouvez utiliser sur votre ordinateur les clés d’accès enregistrées sur un smartphone Android, mais cette opération est généralement limitée à Chrome, et uniquement tant que vous êtes connecté à votre compte Google dans le navigateur. Compte tenu des inconvénients importants de Chrome en matière de confidentialité et de suivi des utilisateurs, cette solution ne plaira pas à tout le monde. Qui plus est, sur un ordinateur, il n’est possible de se connecter qu’à des sites Internet avec des clés d’accès ; les connexions aux applications ne sont disponibles que sur votre smartphone Android.

Si vous utilisez un iPhone et un ordinateur Windows, vos mots de passe iPhone sont accessibles via l’application iCloud pour Windows, mais celle-ci ne prend pas encore en charge les clés d’accès.

Heureusement, une alternative efficace est disponible depuis fin 2024. Les gestionnaires de mots de passe tiers ont progressivement ajouté des fonctionnalités de gestion des clés d’accès sur toutes les grandes plateformes. Par conséquent, le moyen le plus fiable et le plus universel de stocker des clés d’accès, quel que soit le nombre d’appareils dont vous disposez ou leur type, est d’utiliser un gestionnaire de mots de passe robuste qui prend en charge les clés d’accès et qui n’est PAS développé par Apple, Google, ni Microsoft. Par exemple, Kaspersky Password Manager prend déjà en charge les clés d’accès sous Windows, la prise en charge d’Android étant prévue pour juillet, et celle d’iOS/macOS pour août 2025.

Un gestionnaire de mots de passe résout également le problème de sauvegarde et de rétablissement décrit ci-dessus. Si votre seul appareil contenant des clés d’accès stockées dans un gestionnaire de mots de passe tiers est perdu ou endommagé, vous pouvez restaurer vos clés d’accès sur un nouvel appareil à partir du stockage cloud sécurisé du gestionnaire de mots de passe.

Pour utiliser un gestionnaire de mots de passe pour clés d’accès, vous devrez l’installer sur tous vos appareils et ajouter son extension de navigateur à l’ensemble des navigateurs de votre ordinateur.

Comment gérer vos clés d’accès ?

La gestion des clés d’accès enregistrées est centralisée. Si vous n’utilisez pas de gestionnaire de mots de passe tiers, vous pouvez vérifier, supprimer ou remplacer les clés d’accès obsolètes comme suit :

  • iOS : pour les versions jusqu’à la version 17, accédez à Paramètres → Mots de passe. À partir d’iOS 18, utilisez l’application dédiée Mots de passe.
  • macOS Sequoia et versions ultérieures : utilisez l’application Mots de passe. Pour les versions antérieures, recherchez Mots de passe dans Paramètres système.
  • Android : la structure des menus varie selon le fabricant, mais recherchez un paramètre du type Mots de passe, clés d’accès et comptes ou Gestionnaire de mots de passe. Pour les appareils Samsung, ouvrez l’application Samsung Pass.
  • Windows : accédez aux paramètres, puis à la section Comptes → Clés d’accès.
  • Si vous enregistrez vos clés d’accès dans le gestionnaire de mots de passe de Google, vous pouvez les gérer à partir de votre ordinateur via le site google.com.

Si vous utilisez un gestionnaire de mots de passe tiers, toute la gestion des clés d’accès est assurée par l’application en question.

Dans notre prochain article, nous aborderons des situations plus complexes lors de l’utilisation des clés d’accès, notamment :

  • Comment vous connecter à votre compte à partir d’un ordinateur public (par exemple, dans un hôtel ou une bibliothèque).
  • Si vous pouvez transférer des clés d’accès entre iOS et Android.
  • Comment stocker des clés d’accès sur des clés de sécurité physiques (comme les jetons YubiKey ou Google Titan Security Key).
  • Les défis posés par l’utilisation de clés d’accès sur les sites Internet internationaux multilingues.
  • Comment protéger votre compte s’il prend également en charge l’ouverture de session par mot de passe en guise de sauvegarde.

En attendant, n’oubliez pas de vous abonner à notre canal Telegram pour être informé de la suite !…

Conseils

Les coûts cachés d’un SIEM gratuit

Bien que les projets à code ouvert vous permettent de créer presque n’importe quelle solution d’infosécurité, il est essentiel d’évaluer de manière réaliste les ressources de votre équipe et le temps qu’il vous faudra pour atteindre vos objectifs.

Ce que les enfants font en ligne

Vous êtes-vous déjà demandé pourquoi les enfants passent aujourd’hui autant de temps en ligne ? La plupart des parents se posent la question. Nous avons donc découvert ce qu’ils y font réellement (spoiler : rien de bien méchant).

Abonnez-vous et recevez tous nos titres à la une par e-mail
  • For all other countries