Comment les passkeys synchronisées réduisent les risques de phishing ?

Les mots de passe vivent peut-être leurs dernières années. Depuis plusieurs mois, les passkeys synchronisées s'imposent progressivement comme une alternative plus simple et plus sûre aux méthodes d'authentification traditionnelles. Derrière cette évolution se cache un objectif clair : réduire les attaques de phishing, qui restent l'une des principales causes de compromission des comptes en entreprise.
Mais les passkeys sont-elles réellement capables de mettre un terme au phishing ? Si elles constituent une avancée importante, elles ne sont pas pour autant une solution miracle. Leur véritable intérêt réside dans leur capacité à supprimer l'un des maillons les plus faibles de la cybersécurité : le mot de passe.
Pourquoi le phishing continue de faire autant de victimes ?
Le phishing ne cesse d'évoluer. Les cybercriminels utilisent aujourd'hui des e-mails personnalisés, des sites web presque identiques aux originaux et même des outils d'intelligence artificielle pour rendre leurs campagnes plus crédibles.
Le principe reste pourtant le même : pousser un utilisateur à communiquer volontairement ses identifiants.
Les attaques les plus courantes reposent notamment sur :
des faux portails de connexion reproduisant des services populaires ;
des campagnes de spear phishing ciblant certains collaborateurs ;
des attaques Adversary-in-the-Middle (AiTM) capables d'intercepter une session MFA ;
le vol de cookies de session.
Même lorsqu'une entreprise impose une authentification multifacteur, un utilisateur peut toujours être trompé et valider une demande de connexion frauduleuse. Autrement dit, tant que le processus d'authentification repose sur un secret que l'utilisateur peut transmettre, le phishing conserve une efficacité redoutable.
À retenir
Le phishing ne cible pas les serveurs ou les applications. Il cible avant tout les utilisateurs et leurs identifiants.
Les passkeys changent complètement le modèle d'authentification
Les passkeys ne sont pas une version améliorée du mot de passe. Elles reposent sur un fonctionnement totalement différent.
Lorsqu'un utilisateur crée une passkey, deux clés cryptographiques sont générées :
Une clé privée, conservée uniquement sur l'appareil de l'utilisateur.
Une clé publique, enregistrée par le service auquel il souhaite accéder.
Lors de la connexion, le site web envoie un défi cryptographique que seule la clé privée peut signer. Cette clé ne quitte jamais l'appareil et n'est jamais communiquée au serveur.
Cette différence est essentielle. Avec un mot de passe, l'utilisateur saisit une information qui peut être interceptée ou réutilisée. Avec une passkey, aucun secret n'est transmis.
Mot de passe | Passkey |
Secret partagé entre l'utilisateur et le service | Clé privée stockée uniquement sur l'appareil |
Peut être saisi sur un faux site | Fonctionne uniquement avec le domaine légitime |
Peut être réutilisé après un vol | Impossible à réutiliser par un attaquant |
C'est cette architecture qui rend les passkeys et phishing étroitement liés. Si le secret n'est jamais partagé, il devient beaucoup plus difficile pour un cybercriminel de le dérober.
Pourquoi les passkeys synchronisées changent la donne
Les premières passkeys présentaient toutefois une limite importante : elles étaient souvent associées à un seul appareil.
Perdre son téléphone ou changer d'ordinateur pouvait compliquer la récupération des accès.
Les passkeys synchronisées répondent précisément à ce problème. Elles sont sauvegardées dans un coffre-fort chiffré puis synchronisées de manière sécurisée entre plusieurs appareils appartenant au même utilisateur.
Pour les entreprises, cette évolution présente plusieurs avantages :
une adoption plus simple par les utilisateurs ;
moins de réinitialisations de mots de passe ;
une meilleure continuité en cas de changement d'appareil ;
une réduction des erreurs liées à la gestion des identifiants.
En améliorant l'expérience utilisateur, les passkeys synchronisées augmentent également les chances d'une adoption à grande échelle.
Les passkeys mettent-elles vraiment fin au phishing ?
La réponse est nuancée.
Les passkeys empêchent efficacement le vol d'identifiants sur un faux site web, mais elles n'éliminent pas toutes les techniques utilisées par les cybercriminels.
Elles réduisent fortement les risques liés à :
la collecte de mots de passe ;
la réutilisation d'identifiants compromis ;
la création de faux portails de connexion.
En revanche, elles ne protègent pas contre :
la compromission d'un appareil déjà infecté ;
l'ingénierie sociale visant à convaincre un utilisateur d'approuver une action légitime ;
le détournement de sessions déjà authentifiées ;
certaines attaques ciblant directement le terminal de l'utilisateur.
Les passkeys réduisent donc une partie importante de la surface d'attaque, mais elles ne remplacent pas les autres mesures de sécurité.
Une évolution qui s'inscrit dans une stratégie plus large
Adopter des passkeys ne consiste pas simplement à remplacer un mot de passe par une nouvelle technologie. Cette évolution s'inscrit dans une stratégie globale de protection des identités.
Pour en tirer pleinement parti, les entreprises devront également :
mettre en œuvre une authentification adaptative lorsque le risque augmente ;
appliquer le principe du moindre privilège ;
surveiller les connexions inhabituelles et les comportements anormaux ;
protéger les comptes à privilèges grâce à une solution de gestion des accès privilégiés (PAM) ;
sensibiliser les collaborateurs aux nouvelles formes d'ingénierie sociale.
Les passkeys deviennent alors un élément d'une stratégie Zero Trust, dans laquelle chaque demande d'accès est évaluée selon le contexte, le niveau de risque et l'identité de l'utilisateur.
Les entreprises doivent-elles adopter les passkeys dès aujourd'hui ?
Les passkeys sont appelées à jouer un rôle croissant dans les stratégies de cybersécurité des organisations. Toutefois, leur adoption ne se résume pas à activer une nouvelle méthode de connexion.
Avant de les déployer à grande échelle, les équipes IT ont intérêt à se poser plusieurs questions :
Les applications métiers sont-elles compatibles avec les standards FIDO2 et WebAuthn ?
Les utilisateurs disposent-ils d'appareils compatibles ?
Les procédures de récupération de compte sont-elles suffisamment robustes ?
Les politiques de gestion des identités et des accès (IAM) prennent-elles en compte cette nouvelle méthode d'authentification ?
Répondre à ces questions permettra d'intégrer les passkeys sans créer de nouvelles contraintes pour les utilisateurs ni de nouvelles failles opérationnelles.
Conclusion
Les passkeys synchronisées représentent une avancée majeure dans la lutte contre le phishing en supprimant le besoin de partager un mot de passe. Si elles ne mettent pas fin à toutes les cybermenaces, elles réduisent considérablement les risques liés au vol d'identifiants et renforcent la sécurité des accès.
Leur adoption ne doit toutefois pas être envisagée comme une solution isolée. Intégrées à une stratégie combinant gestion des identités, Zero Trust et surveillance continue, les passkeys et phishing pourraient bien redéfinir la manière dont les entreprises protègent leurs utilisateurs face aux cyberattaques modernes.