Clés d’accès en 2025 : conseils pour les utilisateurs expérimentés

Ce guide aborde l’utilisation des clés d’accès pour se connecter à partir de l’ordinateur d’une autre personne, leur stockage sur un appareil amovible et leur transfert entre appareils.

Jusqu’à présent, dans notre guide complet sur les clés d’accès, nous avons découvert comment abandonner les mots de passe sur les combinaisons courantes de smartphones et d’ordinateurs Android, iOS, macOS et Windows. Cet article se concentre sur des cas particuliers importants :

  • Connexion unique à votre compte à partir de l’appareil d’une autre personne
  • Conseils pour les personnes qui changent souvent d’ordinateur ou de smartphone
  • Méthodes de sécurisation de votre compte lorsque l’option de connexion de secours au moyen d’un mot de passe est activée
  • Problèmes potentiels lors de voyages à l’étranger
  • Ce qui se passe lors de l’utilisation de navigateurs et de systèmes d’exploitation peu courants

Comment utiliser les clés d’accès sur des ordinateurs publics ou partagés ?

Que se passe-t-il si vous devez vous connecter à votre compte protégé par une clé d’accès à partir d’une bibliothèque, d’un ordinateur dans un aéroport ou du domicile d’un proche ? Inutile de vous presser pour vous rappeler votre mot de passe de secours.

Lancez la procédure de connexion sur l’ordinateur : saisissez votre nom d’utilisateur et, si vous y êtes invité, cliquez sur « Se connecter avec une clé d’accès ». Un code QR s’affichera à l’écran et vous devrez le scanner à l’aide du smartphone qui contient votre clé d’accès. Si le scan réussit, le code QR disparaîtra et vous serez connecté à votre compte.

Plusieurs facteurs doivent être réunis pour que ce processus en apparence simple puisse se dérouler sans accroc :

  • L’ordinateur doit être compatible avec la technologie Bluetooth Low Energy (BLE), qui vérifie que votre smartphone et l’ordinateur sont bien à proximité.
  • Le système d’exploitation et le navigateur de l’ordinateur doivent prendre en charge les clés d’accès.
  • L’ordinateur et le smartphone ont tous deux besoin d’une connexion Internet fiable.

Comment enregistrer des clés d’accès sur une clé de sécurité physique ?

L’utilisation de clés d’accès via des codes QR peut s’avérer peu pratique si vous accédez fréquemment à vos comptes à partir de différents appareils. Dans ce cas, vous pouvez stocker vos clés d’accès non pas sur votre ordinateur ou votre smartphone, mais sur une clé de sécurité physique USB, comme une YubiKey, une clé de sécurité Google Titan ou un appareil similaire, pour vous connecter en toute sécurité à un site Internet. Lorsque vous créez une clé d’accès, choisissez simplement de l’enregistrer dans votre clé physique. Vous pouvez ensuite vous connecter à votre compte à partir de n’importe quel ordinateur ou smartphone en branchant ce jeton de sécurité.

Assurez-vous simplement qu’il dispose de la bonne combinaison de ports (USB-A, USB-C, Lightning) ou qu’il prend en charge la technologie NFC de manière à être compatible avec tous vos appareils. Certains modèles de jetons intègrent même un lecteur d’empreintes digitales, qui offre une couche de protection supplémentaire contre le détournement de compte en cas de vol ou de perte de votre appareil.

Malheureusement, il y a un hic : de nombreux modèles de jetons anciens et populaires ne peuvent stocker que 25 clés d’accès au maximum. Seuls quelques modèles avancés, comme la YubiKey équipée du micrologiciel dans sa version 5.7, ont porté cette limite à 100.

En outre, les développeurs de systèmes d’exploitation considèrent les clés d’accès comme une excellente occasion de lier plus étroitement les utilisateurs à leurs écosystèmes. Par défaut, en fonction de votre smartphone, vous serez probablement invité à enregistrer votre clé d’accès dans le trousseau iCloud ou le gestionnaire de mots de passe Google. Il se peut donc que l’option permettant d’utiliser une clé de sécurité physique soit profondément enfouie dans l’interface.

La création d’une clé d’authentification sur un jeton physique passe souvent par le lien peu intuitif Autres options sous macOS/iOS, ou Appareil différent sous Android, afin de sélectionner l’option de clé physique.

Comment transférer des clés d’accès entre iOS et Android ?

Le plus gros casse-tête à l’heure actuelle, c’est si vous stockez toutes vos clés d’accès dans le stockage par défaut de votre smartphone et que vous souhaitez changer d’écosystème – en passant d’Android à iOS ou vice versa. À l’heure actuelle, aucun des trois principaux développeurs de systèmes d’exploitation (Google, Apple ou Microsoft) ne vous permet de transférer directement des clés d’accès. La raison en est que personne ne peut garantir la sécurité du processus. Apple et Google travaillent tous deux à la mise en œuvre de cette fonctionnalité à l’avenir, mais si vous décidez de changer d’appareil aujourd’hui, par exemple, de passer d’un iPhone à un Google Pixel, le transfert de vos clés d’accès ne sera pas simple.

  • Vous devrez d’abord vous connecter au compte protégé par une clé d’accès sur votre nouvel appareil. Vous pouvez le faire soit en utilisant votre bon vieux mot de passe (s’il est encore activé), soit en scannant un code QR au moyen de votre ancien appareil qui dispose de la clé d’accès active.
  • Ensuite, vous devrez créer et enregistrer une nouvelle clé d’accès sur votre nouvel appareil. En effet, il est possible d’avoir plusieurs clés d’accès pour chaque site ou service en ligne.
  • Enfin, si vous envisagez de vous débarrasser de votre ancien appareil, vous devrez en supprimer l’ancienne clé d’accès.

Pour éviter ce désagrément, il est préférable d’utiliser dès le départ un gestionnaire de mots de passe et de clés d’accès tiers. Avec Kaspersky Password Manager, la prise en charge des clés d’accès est déjà disponible sous Windows, celle d’Android étant prévue pour juillet, et celle d’iOS et macOS pour août 2025.

Comment protéger un compte avec une clé d’accès contre le piratage à l’aide d’un mot de passe de secours ?

La plupart des services en ligne qui proposent de passer aux clés d’accès ne désactivent pas les autres méthodes de connexion. Si votre compte était protégé par un mot de passe faible ou compromis avant que vous ne passiez à une clé d’accès, les cybercriminels peuvent toujours contourner votre nouvelle clé d’accès en se connectant simplement avec l’ancien mot de passe.

Mettre en place une clé d’accès sur un compte dont la sécurité repose encore sur un mot de passe faible équivaut à renforcer l’entrée principale avec une porte blindée, tout en laissant la porte arrière fragile ouverte et la clé cachée sous le paillasson.

C’est pourquoi, avant d’activer les clés d’accès pour tout service en ligne, nous vous recommandons vivement de modifier également votre mot de passe. Comme vous ne taperez pas ce mot de passe tous les jours (il s’agit simplement d’un mot de secours pour votre compte protégé par clé d’accès), vous pouvez vraiment vous permettre de le complexifier au maximum. Il est question ici de mots de passe forts, composés d’au moins 16 caractères et mélangeant des lettres, des chiffres et des caractères spéciaux. Il est pratiquement impossible de pirater ce genre de mots de passe. Idéalement, générez et enregistrez ce mot de passe robuste dans le même gestionnaire de mots de passeque celui dans lequel vous prévoyez de stocker vos clés d’accès. Ne vous fiez pas aux modèles d’IA pour générer des mots de passe complexes. Nos recherches récentes ont révélé que si ces mots de passe peuvent sembler complexes, les grands modèles de langage ont tendance à privilégier certains caractères sans raison évidente lorsqu’ils créent des mots de passe, ce qui rend leurs résultats étonnamment prévisibles.

Quels sont les inconvénients des clés d’accès ?

La norme WebAuthn sous-jacente qui régit les clés d’accès peut être appliquée de manière très différente selon les navigateurs et les systèmes d’exploitation. Les sites Internet adoptent souvent ces capacités à leur manière. Cela peut engendrer des difficultés frustrantes, même pour les utilisateurs avertis. En voici quelques exemples :

  • Lors de la création de clés d’accès, les invites standard de Windows vous offrent de nombreuses options concernant l’endroit et la manière de les enregistrer. Par défaut, Windows enregistre les clés d’accès dans un espace de stockage local sécurisé sur votre ordinateur. En cas d’oubli de la sélection du gestionnaire de mots de passe tiers comme emplacement d’enregistrement, la clé d’accès ne sera pas disponible sur vos autres appareils.
  • De nombreux services en ligne, comme Kayak ou AliExpress, comptent des dizaines de versions régionales, chacune faisant l’objet d’un site Internet distinct : .com, .com.tr, .co.uk, etc. Si vous créez une clé d’accès pour votre site local, par exemple, et que vous essayez ensuite, pour toute autre raison, d’accéder au même service en ligne dans une autre région, il est fort probable que vous ne puissiez pas vous connecter au moyen de cette clé d’accès.
  • Certains sites Internet ne permettent pas de se connecter avec des clés d’accès sous Firefox, ni d’en créer, quelle que soit la plateforme. En réalité, il n’y a pas d’incompatibilité technique, et des astuces simples permettent de résoudre le problème, mais les utilisateurs ne devraient pas être obligés de recourir à ces solutions de contournement.
  • Certains utilisateurs d’Apple ont signalé que toutes leurs clés d’accès enregistrées disparaissaient périodiquement de leur trousseau, pendant que certains utilisateurs d’Android ne pouvaient pas activer les clés d’accès sans reflasher ou réinitialiser leur appareil aux paramètres d’usine.

Chacune de ces situations est accentuée par le fait que les erreurs survenant lors de la création ou de la connexion à l’aide de clés d’accès ne sont pas du tout mentionnées dans la documentation d’aide, ou sont décrites de façon très vague. Bien souvent, il n’est pas facile de trouver une solution au problème. Toutefois, en cas de problème de clé d’accès, les sites Internet proposent presque systématiquement une option de secours, comme l’envoi d’un code d’accès à usage unique à votre messagerie.

Malgré ces difficultés, un avenir sans mot de passe avec les clés d’accès se profile à l’horizon. Nous vous recommandons de vous préparer dès maintenant en créant des clés d’accès chaque fois que c’est possible, en les enregistrant dans votre gestionnaire de mots de passe tiers et en n’oubliant pas de vérifier et de mettre à jour vos mots de passe ainsi que vos coordonnées sur les sites Internet afin de vous assurer de pouvoir y accéder en cas de problème avec vos clés d’accès.

Vous voulez en savoir plus sur les mots de passe et les clés d’accès ?

16 milliards de mots de passe divulgués : que dois-je faire ?

Trojan dans KeePass : les leçons à tirer

Kaspersky Password Manager fait peau neuve

Clé d’accès à votre compte Google : quoi, où, comment et pourquoi ?

Normes relatives aux mots de passe : exigences pour 2024

Conseils

Comment survivre à la numérisation

En nous appuyant sur le rapport Africa Cyberthreat Assessment Report qu’INTERPOL vient de publier, nous recensons les menaces qui visent le plus souvent les entreprises en développement et déterminons les façons d’y mettre fin.

Abonnez-vous et recevez tous nos titres à la une par e-mail
  • For all other countries