- Une clé d'accès est une paire de clés cryptographiques liée à votre appareil. Vous vous connectez par biométrie ou NIP.
- Rien de transférable n'est envoyé au site, ce qui rend les clés d'accès impossibles à hameçonner.
- En 2025, environ 48% des 100 plus grands sites web prenaient en charge les clés d'accès. L'adoption s'accélère.
- Pas besoin de choisir. Vous pouvez garder votre gestionnaire et ajouter des clés d'accès où c'est offert.
Les mots de passe ont fait leur temps. Ils sont la norme depuis soixante ans, et ils sont responsables de la plupart des fuites dont vous entendez parler. Le remplacement est réel, il est là, et Apple, Google et Microsoft ont tous parié sur lui.
Cela s'appelle une clé d'accès, ou passkey en anglais. Voici ce que c'est, comment ça marche, et pourquoi ça compte pour les dix prochaines années de la vie en ligne.
Ce qu'est vraiment une clé d'accès
Une clé d'accès est une paire de clés cryptographiques générée par votre appareil quand vous créez un compte. La clé publique va au site. La clé privée ne quitte jamais votre téléphone, votre portable ou votre clé physique.
Quand vous vous connectez, le site envoie un défi. Votre appareil signe le défi avec la clé privée, que lui seul a, et renvoie la signature. Le site la vérifie contre la clé publique. Vous êtes connecté.
De votre côté, tout ressemble à Face ID ou à votre empreinte. En coulisse, c'est de la cryptographie à clé publique, le même genre qui sécurise HTTPS, sauf qu'on l'applique à la connexion.
Pourquoi les clés d'accès sont impossibles à hameçonner
Un mot de passe est un secret transférable. Vous le tapez, vous l'envoyez au site, et il va où le formulaire pointe. Un faux site ressemblant à votre banque peut récolter votre mot de passe et l'utiliser sur la vraie banque. C'est l'hameçonnage, responsable d'une part énorme des prises de contrôle.
Une clé d'accès n'est pas transférable. Votre appareil ne signe que les défis du domaine exact où la clé a été enregistrée. Si vous visitez une page d'hameçonnage qui imite votre banque, votre appareil ne reconnaît pas le domaine et ne signe rien. L'attaque échoue avant de commencer.
C'est le plus grand avantage des clés d'accès, et la raison pour laquelle tous les organismes de standardisation, dont la FIDO Alliance, les recommandent comme l'avenir de l'authentification.
Le site demande: prouvez qui vous êtes. Votre appareil le prouve sans révéler le secret. La preuve ne marche que pour le site précis qui a émis le défi. Aucune page d'hameçonnage ne peut la rejouer.
L'état de l'adoption en 2025
Il y a deux ans, les clés d'accès étaient une curiosité. Aujourd'hui, elles sont grand public. Selon le rapport 2025 de la FIDO Alliance:
- Environ 75% des consommateurs dans le monde savent ce qu'est une clé d'accès.
- 69% des utilisateurs en ont au moins une configurée.
- 48% des 100 plus grands sites prennent en charge les clés d'accès, contre 22% en 2022.
- Les clés d'accès atteignent un taux de réussite de connexion de 93% contre 63% pour les mots de passe.
Apple, Google, Microsoft, Amazon, eBay, PayPal, GitHub, Adobe, Best Buy et Shopify acceptent toutes la connexion par clé d'accès. La plupart des grandes banques déploient le support en 2025 et 2026. Vos banques canadiennes peuvent déjà l'offrir; vérifiez les paramètres de sécurité de votre compte.
Où vivent les clés d'accès
C'est la partie qui sème la confusion. Une clé d'accès doit vivre quelque part. Les options:
Clés synchronisées
La plupart des clés d'accès grand public se synchronisent par un fournisseur infonuagique: Trousseau iCloud, Gestionnaire Google, Authenticator de Microsoft, ou gestionnaires tiers comme 1Password et Bitwarden. La clé est chiffrée de bout en bout en transit et au repos.
C'est pratique. Vous configurez une clé sur votre téléphone et l'utilisez sur votre portable sans étape supplémentaire. Le compromis: vous faites confiance à la sécurité du fournisseur de synchronisation et dépendez de la continuité de son service.
Clés liées à l'appareil
Certaines clés physiques, comme la série YubiKey 5, stockent les clés d'accès directement sur la clé. Elles ne partent jamais. Option la plus solide pour les comptes critiques, mais il faut transporter la clé et avoir un backup.
Hybride (entre appareils)
Parfois vous vous connectez sur un nouvel appareil qui n'a pas votre clé. Le standard prévoit un flux où vous utilisez votre téléphone pour authentifier sur le nouvel appareil via Bluetooth ou code QR. La clé elle même ne bouge pas; seule la preuve circule.
Ce que les clés d'accès ne règlent pas
Les clés d'accès sont excellentes contre l'hameçonnage et le credential stuffing. Elles ne règlent pas tous les problèmes.
- Récupération de compte. Si vous perdez votre téléphone et votre compte de synchronisation, vous pouvez être verrouillé. C'est pourquoi les méthodes de secours comptent.
- Vol d'appareil. Une clé d'accès n'est aussi sûre que l'écran de verrouillage qui la garde. Utilisez un NIP solide et la biométrie.
- Violations côté serveur. Les clés d'accès protègent la connexion. Elles ne protègent pas les données déjà collectées par le site.
Vous avez toujours besoin du reste. Codes d'accès solides sur l'appareil, sauvegardes chiffrées, codes de récupération sauvegardés ailleurs. Les clés d'accès réduisent le problème des mots de passe; elles ne suppriment pas le besoin de vigilance.
Devriez vous basculer?
La réponse est surtout oui, graduellement, là où c'est offert. Quelques conseils pratiques:
- Ajoutez une clé d'accès, ne supprimez pas le mot de passe. La plupart des sites permettent les deux pendant la transition. Gardez le mot de passe en secours.
- Commencez par vos comptes les plus importants. Courriel, gestionnaire, finance.
- Assurez vous que la récupération est en place. Au moins deux moyens d'entrer dans chaque compte.
- Gardez votre gestionnaire de mots de passe. Vous aurez encore des sites uniquement par mot de passe pendant des années.
Les clés d'accès se répandent, mais la plupart des comptes ont encore besoin d'un mot de passe. Générez en un fort et unique pour tout ce qui n'est pas encore passé au sans mot de passe.
Le contexte canadien
Les régulateurs financiers canadiens et le Centre canadien pour la cybersécurité ont approuvé les standards FIDO comme partie de l'authentification forte. Les Normes numériques du gouvernement du Canada vont dans la même direction. Des banques comme RBC, TD et BMO offrent maintenant la connexion par clé d'accès dans leurs applications. La plateforme fédérale Sign In Canada teste le support des clés d'accès pour son service d'identité.
Pendant les prochaines années, clés d'accès et mots de passe coexisteront. La bonne stratégie pour un individu est d'utiliser les clés d'accès là où c'est offert, tout en gardant un gestionnaire solide pour le reste. Nous traitons cela dans notre guide des gestionnaires pour les Canadiens.
À retenir
Les clés d'accès sont le premier identifiant depuis le mot de passe à avoir une vraie chance de le remplacer. Plus rapides, plus sûres, immunisées contre les attaques les plus courantes.
Si vous vous demandez quand commencer, la réponse est maintenant. La plupart des grands services le supportent. Votre téléphone est prêt. Votre gestionnaire est prêt. Ajoutez une clé, gardez le mot de passe en secours.