Fabrice de Vésian, Sales Director South EMEA et France chez Yubico, revient sur les idées reçues qui freinent encore l’adoption des passkeys en entreprise. Alors que ces mécanismes d’authentification gagnent du terrain, il met en lumière les écarts entre perception et réalité, notamment sur leur déploiement, leur coût et leur niveau de sécurité.
Lors de la conférence FIDO Authenticate de 2025, le directeur exécutif de l’alliance FIDO a annoncé que plus de 3 milliards de passkeys sont aujourd’hui utilisés dans le monde. Aussi, selon le Passkey Index 2025, l’utilisation des passkeys permettrait un taux moyen de réussite de connexion de 93 %, soit plus du double de celui obtenu avec d’autres méthodes.
Si les passkeys liées à un appareil et résistantes au phishing s’imposent comme la norme de l’authentification sécurisée et gagnent en popularité, elles suscitent toutefois de nombreuses questions et idées reçues, notamment concernant leurs différentes formes. Cinq mythes courants et persistants continuent de circuler et nécessitent d’être démystifiés pour encourager une adoption plus large et éclairée de cette technologie d’authentification de nouvelle génération.
Mythe n° 1 : seuls les informaticiens ont besoin de passkeys
Les comptes d’administrateurs informatiques et les utilisateurs privilégiés sont parmi les plus critiques car ils disposent de droits d’accès étendus et leur compromission peut causer des dommages importants. Les passkeys permettent non seulement à ces collaborateurs de résister au phishing, mais aussi de consolider l’authentification dans plusieurs scénarios à l’aide d’un seul authentificateur : connexion client et serveur, RDP, SSH, élévation de privilèges (sur site et dans le cloud), signature de commit, signature de code, etc. La protection des comptes IT et autres comptes à privilèges à l’aide de passkeys est une priorité pour toutes les entreprises, mais cela ne doit pas s’arrêter là.
Si seuls ces derniers sont protégés, l’organisation verrouille la porte d’entrée mais laisse les fenêtres ouvertes. Chaque employé peut être la cible d’une tentative de phishing, et les utilisateurs moins technophiles sont statistiquement plus susceptibles de se laisser piéger, ce qui permet souvent à un cybercriminel d’accéder initialement au système. C’est pourquoi il est tout aussi important, sinon plus, d’équiper tous les collaborateurs.
Mythe n° 2 : le déploiement de passkeys est difficile
Cette croyance provient probablement de l’expérience acquise avec les anciennes générations de jetons matériels, des appareils alimentés par batterie et dotés d’écrans LCD qui nécessitaient une distribution initiale, des remplacements fréquents et une assistance importante et récurrente pour les utilisateurs finaux. Les passkeys ne comportent ni batterie, ni écran, ni pièce mobile.
Leur déploiement à grande échelle peut être simplifié grâce au pré-enregistrement et à la configuration avant distribution. Les utilisateurs reçoivent des appareils prêts à l’emploi et n’ont qu’à modifier leur code PIN pour les activer, sans charge pour le service informatique.
Pour les organisations qui gèrent la distribution en interne, des outils permettent de configurer et réutiliser efficacement les clés tout au long du cycle de vie des utilisateurs. Ces pratiques rendent le déploiement plus rapide, fiable et économique que les solutions MFA traditionnelles.
Mythe n° 3 : toutes les MFA se valent
Une idée fausse malheureusement persistante, même parmi les professionnels de l’informatique, consiste à penser que n’importe quelle MFA est « suffisante » ou que toutes les solutions MFA d’une même catégorie (par exemple, celles résistantes au phishing) sont interchangeables. Néanmoins, toutes les méthodes n’offrent pas le même niveau de sécurité.
Les mots de passe à usage unique (OTP), générés par application ou SMS, ne résistent pas au phishing. Basés sur des secrets partagés, ils peuvent être dérobés sur un serveur, dans la supply chain, ou capturés via une attaque « man-in-the-middle » (MiTM), permettant un accès facile à l’attaquant. Aussi, l’authentification par push, bien que pratique, présente des risques comme le « push bombing » (multiples demandes d’approbation non désirées).
Les passkeys, en revanche, offrent une résistance au phishing dès leur conception. Lorsqu’elle est configurée comme une clé d’accès liée à un appareil ou comme un identifiant basé sur un certificat (PKI), elle offre une authentification véritablement résistante au phishing sans nécessiter de vigilance particulière de la part de l’utilisateur ni de formation spéciale, même contre les attaques les plus sophistiquées comme celles d’AiTM.
Mythe n° 4 : toutes les passkeys se valent
Les passkeys ont été introduites par l’Alliance FIDO, en s’appuyant sur les travaux de ses pionniers et contributeurs historiques, pour accélérer le passwordless auprès des particuliers comme des entreprises. Toutefois, toutes les passkeys ne se valent pas.
En effet, les passkeys synchronisées sont partageables entre appareils, offrant une sécurité grand public au degré d’assurance modéré. À l’inverse, les passkeys liés à un appareil unique sont restreintes à un seul support, garantissant une sécurité plus adaptée aux entreprises et des capacités de gestion accrues.
Ces dernières sont plus sûres, particulièrement lorsqu’elles résident dans des clés de sécurité matérielles dédiées. Les entreprises doivent ainsi privilégier une approche rendant leurs utilisateurs résistants au phishing, plutôt que de se focaliser uniquement sur l’authentification.
Mythe n° 5 : les passkeys sont onéreuses
À première vue, les passkeys peuvent sembler coûteuses, certainement plus que les MFA basées sur des applications, qui sont souvent perçues comme « gratuites » ou même comparées à certaines alternatives matérielles peu coûteuses. Cependant, cette perception ne tient pas compte de la situation dans son ensemble.
Les passkeys sont conçues pour durer, sans batterie, sans pièce mobile et sans entretien. Les alternatives moins coûteuses peuvent réduire les coûts initiaux, mais entraînent souvent un coût total de possession plus élevé en raison des remplacements, de l’augmentation du volume d’appels au service d’assistance et de la perte de productivité lorsque les utilisateurs ne parviennent pas à s’authentifier. L’absence d’outils et d’utilitaires de niveau professionnel amplifie encore ces coûts cachés.
La MFA basée sur les appareils mobiles présente également des lacunes en matière de sécurité. La plupart des implémentations ne sont pas résistantes au phishing, ce qui remet en cause le principe de la comparaison des coûts.
Alors, les passkeys sont un élément essentiel de l’architecture moderne de sécurité « Zero Trust » et des stratégies « MFA everywhere ». Leur déploiement en entreprise permet de renforcer la sécurité des identités, d’accélérer le processus d’authentification et de diminuer les coûts opérationnels. Les bénéfices sont multiples : une sécurité significativement accrue et une valeur commerciale concrète, se traduisant par une meilleure productivité, une baisse des coûts d’assistance technique et un ROI positif.
