La cybersécurité grand public tourne la page du mot de passe

Le National Cyber Security Centre britannique recommande désormais d'utiliser des passkeys dès qu'elles sont disponibles. Derrière ce conseil technique, c'est un vieux pilier d'Internet qui commence à s'enfoncer dans les sables du temps : le mot de passe, trop facile à voler, à oublier, à réutiliser et à contourner.

Le mot de passe a longtemps été le cadenas universel du numérique. Il protégeait une boîte mail, un compte bancaire, un service de streaming ou un réseau social avec la même formule fragile : une suite de caractères que l'utilisateur devait inventer, retenir et ne jamais réutiliser. Fin avril dernier, le National Cyber Security Centre britannique (NCSC), rattaché aux services secrets de sa Majesté, a planté un nouveau clou dans le cercueil numérique. L'organe de sécurité ne recommande plus les mots de passe lorsqu'une passkey est disponible. Pour la cybersécurité grand public, le message est simple : le vieux gardien du temple a fait son temps.

Le mot de passe craque

Le problème du mot de passe ne vient pas seulement des internautes qui choisissent encore « 123456 » ou le prénom d'un proche. Il vient de son principe même. Un mot de passe peut être deviné, intercepté, volé dans une fuite de données ou récupéré par hameçonnage sur une fausse page de connexion. La double authentification par SMS a amélioré la situation, mais elle ajoute une étape pénible et reste vulnérable à certaines attaques. Résultat : la sécurité repose souvent sur la mémoire humaine, c'est-à-dire sur le maillon le plus fatigué de la chaîne.

La passkey à la rescousse

Une passkey, ou clé d'accès, remplace le secret à taper par une paire de clés cryptographiques. Une partie reste sur le téléphone, l'ordinateur ou le gestionnaire d'identifiants. L'autre est connue du service en ligne. Pour se connecter, l'utilisateur déverrouille simplement son appareil avec Face ID, une empreinte digitale, un code PIN ou une clé de sécurité physique. Le site ne reçoit jamais un mot de passe réutilisable. Même si un pirate copie une fausse page de connexion, la passkey ne fonctionne pas sur le mauvais domaine. C'est là que le système devient redoutable contre le phishing.

Le déclic

Le NCSC estime désormais que les passkeys sont au moins aussi sûres, et généralement plus sûres, qu'un mot de passe robuste associé à une vérification en deux étapes. L'agence souligne aussi leur avantage d'usage : une connexion par passkey peut être jusqu'à huit fois plus rapide qu'un parcours classique avec identifiant, mot de passe et code temporaire. Signe que le sujet n'est plus réservé aux spécialistes, Google, eBay et PayPal font partie des services déjà compatibles, et un peu plus de 50 % des utilisateurs actifs des services Google au Royaume-Uni auraient déjà enregistré une passkey.

Une transition encore incomplète

La promesse reste pourtant moins simple qu'un bouton « supprimer les mots de passe ». Tous les sites ne prennent pas encore en charge les passkeys, les menus de réglage changent d'un service à l'autre, et la question de la récupération d'accès demeure sensible. Perdre son téléphone, changer d'écosystème ou mélanger iPhone, Android, Windows et navigateur tiers peut encore créer de la confusion. Les gestionnaires d'identifiants intégrés à Apple, Google, Microsoft, Samsung ou à des services spécialisés progressent vite, mais l'utilisateur se retrouve pour quelques années dans un entre-deux : moins de mots de passe, pas encore zéro mot de passe.

Une révolution discrète

La passkey n'a rien de spectaculaire. Elle ne se voit presque pas. C'est précisément sa force. La bonne sécurité grand public est celle qui demande moins d'effort, pas celle qui transforme chaque connexion en parcours administratif digne des 12 travaux d'Astérix. Le mot de passe ne disparaîtra pas demain matin : il restera nécessaire sur les anciens comptes et les petits services en retard. Mais son rôle change. Il passe du statut de première ligne de défense à celui de solution de secours. Après trente ans de post-it, de cadenas oubliés et de codes envoyés par SMS, Internet commence enfin à admettre que retenir un secret n'était pas la première qualité d'un cerveau humain.