Chaque fois que nous nous connectons à un compte ou déverrouillons un appareil, nous devons prouver que nous sommes autorisés à y accéder. Historiquement, cette preuve a pris la forme d’un mot de passe : une chaîne secrète que nous devons mémoriser, ou stocker dans un gestionnaire de mots de passe.
Une clé d’accès diffère d’un mot de passe en ce qu’elle lie l’accès à quelque chose que vous possédez physiquement — un jeton cryptographique stocké sur votre téléphone, votre ordinateur portable ou votre clé de sécurité — ainsi qu’à un facteur biométrique, comme une empreinte digitale ou un scan facial.
Une manière courante de décrire la différence est la suivante :
- Mot de passe = quelque chose que vous savez
- Clé d’accès = quelque chose que vous avez + qui vous êtes
Bien que les deux méthodes vous permettent d’accéder à un service, la manière dont elles atteignent cet objectif diffère et peut avoir un impact significatif sur la sécurité et la facilité d’utilisation.
Qu’est-ce qu’une clé d’accès ?
Une clé d’accès est comparable à un mot de passe qui réside sur votre appareil et que les comptes auxquels vous vous connectez peuvent vérifier à l’aide de la cryptographie. Les clés d’accès reposent sur la norme FIDO2 (définie par la FIDO Alliance(nouvelle fenêtre)) et l’API WebAuthn.
Voici comment ça fonctionne :
Lorsqu’une clé d’accès est créée, votre gestionnaire de mots de passe génère une paire de clés cryptographiques : une clé publique et une clé privée.
- La clé publique est partagée avec le service auprès duquel vous vous inscrivez.
- La clé privée reste sur votre gestionnaire de mots de passe ou votre appareil et ne le quitte jamais.
Lors d’une tentative de connexion, le service émet un défi aléatoire. Votre appareil utilise la clé privée présente sur votre appareil pour signer ce défi, produisant une réponse que seule la clé privée correspondante pouvait générer. Le service vérifie ensuite la signature à l’aide de la clé publique précédemment stockée, confirmant que vous êtes bien le titulaire légitime du compte.
Comme la clé privée ne quitte jamais votre appareil, un site d’hameçonnage ne peut pas vous piéger pour que vous la lui remettiez, ce qui rend les clés d’accès intrinsèquement résistantes à l’hameçonnage.
En savoir plus sur les clés d’accès
Comparaison de sécurité : clé d’accès ou mot de passe
Le choix d’utiliser un mot de passe ou une clé d’accès dépend de nombreux facteurs. Tous les sites internet ne proposent pas les clés d’accès. Mais pour ceux qui les prennent en charge, il existe plusieurs raisons d’envisager le passage à cette solution.
Les clés d’accès sont considérées comme plus sûres que les mots de passe, car la clé secrète ne quitte jamais votre appareil. Même si quelqu’un vous piège avec un faux site, intercepte le trafic réseau ou tente une attaque par force brute, cette personne ne peut pas obtenir la clé privée — elle est conservée dans votre téléphone, votre ordinateur ou un dongle de clé de sécurité. Tant que vous protégez l’appareil avec un PIN, une empreinte digitale ou une autre forme d’authentification à deux facteurs (A2F) et que vous disposez d’une méthode de récupération fiable, une clé d’accès vous offre une configuration de sécurité plus robuste et mieux protégée contre l’hameçonnage qu’un mot de passe classique.
| Fonctionnalité | Clés d’accès | Mots de passe |
| Méthode d’authentification | Cryptographie à clé publique (clé privée stockée sur l’appareil) | Chaîne secrète mémorisée par l’utilisateur |
| Résistance à l’hameçonnage | Élevée | Faible |
| Options de récupération | Sauvegarde de l’appareil, procédure de récupération du compte | Réinitialisation par message, questions de sécurité |
| Expérience utilisateur | Biométrie ou PIN | Saisie ou remplissage automatique |
| Compatibilité | En croissance | Support universel |
| Vulnérabilité liée à la réutilisation | Toujours unique pour chaque site | Problème courant |
Facilité d’utilisation et expérience utilisateur des clés d’accès
Outre les avantages de sécurité liés à l’utilisation d’une clé d’accès, il existe d’autres bénéfices :
- Les clés d’accès accélèrent la connexion, car le processus d’authentification se réduit à un seul appui ou à un simple regard, supprimant la contrainte de saisir manuellement des mots de passe ou de réinitialiser des mots de passe oubliés.
- De nombreux gestionnaires de mots de passe peuvent synchroniser en toute sécurité les clés d’accès sur vos appareils. Ainsi, une clé d’accès créée sur un smartphone peut être utilisée sur un ordinateur portable, une tablette ou un autre téléphone sans nécessiter une nouvelle inscription. Proton Pass fonctionne sur n’importe quelle plateforme ou appareil, ce qui vous permet d’utiliser des clés d’accès sur tout site internet qui les prend en charge.
Limites et cas particuliers des clés d’accès
Bien que les clés d’accès offrent une sécurité élevée et une expérience de connexion fluide, elles ne constituent pas une solution miracle. Il existe encore certaines situations dans lesquelles l’utilisation d’une clé d’accès peut poser des difficultés.
Perte et récupération de l’appareil
Si l’appareil sur lequel votre clé d’accès est stockée est perdu, volé ou endommagé, vous devrez compter sur des mécanismes de sauvegarde pour récupérer l’accès. Récupérer une clé d’accès nécessite souvent un appareil secondaire ou une phrase de récupération. Ainsi, si vous ne disposez pas d’une procédure de récupération bien conçue, vous risquez de perdre l’accès à vos comptes.
Lacunes d’adoption
Certains sites internet et certaines applications n’ont pas mis en œuvre les normes WebAuthn/FIDO2 qui sous-tendent les clés d’accès. Même parmi ceux qui l’ont fait, le support des clés d’accès peut être limité à certains écosystèmes ou systèmes d’exploitation.
Limites des anciens matériels
Les appareils anciens, comme les vieux smartphones, les ordinateurs portables sans capteurs biométriques ou les navigateurs sans support de WebAuthn, ne peuvent pas générer ni stocker de clés d’accès.
Quand ai-je encore besoin d’un mot de passe ?
En plus de disposer d’un mot de passe configuré comme solution de secours, il existe certaines situations dans lesquelles un mot de passe traditionnel est nécessaire comme méthode d’accès principale.
1. Sites sans support des clés d’accès
Tant que l’adoption des clés d’accès ne sera pas généralisée, vous devrez peut-être encore vous appuyer sur des mots de passe pour certains sites. Dans ce cas, vous pouvez configurer des méthodes d’A2F comme un OTP afin d’accroître la sécurité.
2. Cas d’utilisation d’un ordinateur public ou partagé
Si vous n’utilisez pas votre propre appareil, saisir un mot de passe (idéalement combiné à l’A2F) permet un accès temporaire sans laisser d’identifiants persistants.
3. Politiques organisationnelles et exigences de conformité
Les réglementations des entreprises, y compris les normes gouvernementales ou financières, peuvent exiger des configurations multifactorielles qui incluent encore un composant de mot de passe, ou imposer une rotation périodique des mots de passe à des fins d’audit. En outre, les solutions d’authentification unique (SSO) d’entreprise intègrent parfois les clés d’accès uniquement comme facteur optionnel, les mots de passe restant l’identifiant principal.
Comment adopter les clés d’accès
Passer aux clés d’accès est relativement simple.
- Activer le support des clés d’accès dans votre système d’exploitation
- Télécharger un gestionnaire de mots de passe
- Choisissez un gestionnaire de mots de passe qui prend en charge l’espace de stockage des clés d’accès, comme Proton Pass.
- Ajouter des clés d’accès à votre gestionnaire de mots de passe
- Importez des clés d’accès existantes ou créez-en de nouvelles directement depuis l’application.
- Enregistrer des clés d’accès sur les services pris en charge
- Lorsque vous vous inscrivez ou vous connectez à un site qui propose « Se connecter avec une clé d’accès », sélectionnez cette option.
- Configurer une méthode de récupération
- Activez un appareil secondaire pour stocker une copie de la clé d’accès et notez toute phrase de récupération fournie par le service.
Questions fréquentes
Puis-je utiliser une clé d’accès si je n’ai pas de gestionnaire de mots de passe ?
Oui. La plupart des systèmes d’exploitation modernes stockent les clés d’accès localement (iCloud Keychain sur les appareils Apple, Google Password Manager sur Android, Windows Hello sur Windows). Un gestionnaire de mots de passe dédié peut simplifier la synchronisation entre appareils et fournir une couche de sauvegarde supplémentaire, mais il n’est pas nécessaire pour utiliser des clés d’accès.
Puis-je utiliser des clés d’accès sur des appareils plus anciens ?
Les clés d’accès nécessitent que le système d’exploitation et le navigateur prennent en charge les normes WebAuthn/FIDO2. Les plateformes modernes (iOS 15+, Android 14+, versions récentes de macOS, Windows 10 1903+ et versions à jour de Chrome/Edge/Firefox/Safari) fonctionnent immédiatement. Les anciens téléphones, les navigateurs legacy ou les appareils antérieurs à iOS 15/Android 13 ne disposent pas de ce support, vous ne pourriez donc pas utiliser de clé d’accès sur ces appareils.
Quelle est la différence entre une clé d’accès et un jeton physique ?
Une clé d’accès est un identifiant stocké sur un appareil ou dans un gestionnaire de mots de passe et synchronisé de manière sécurisée sur vos appareils. Un jeton physique (par exemple, une YubiKey) est une clé matérielle autonome que vous devez insérer dans votre appareil. Un jeton physique ne stocke pas la clé privée sur l’appareil hôte, ce qui offre une meilleure isolation, mais vous oblige à transporter le jeton et à gérer les sauvegardes. Les deux options fournissent une authentification sans mot de passe et résistante à l’hameçonnage, mais les clés d’accès privilégient la commodité et la synchronisation, tandis que les jetons physiques privilégient l’isolation matérielle.
Puis-je utiliser une clé d’accès sur mon PC Windows ?
Oui, les versions modernes de Windows 10/11 prennent en charge les clés d’accès via Windows Hello. Après avoir activé « Connexion sans mot de passe » dans les paramètres, vous pouvez vous enregistrer et vous authentifier avec une empreinte digitale, la reconnaissance faciale ou un PIN qui déverrouille la clé privée stockée dans le module de plateforme sécurisée (TPM). Un TPM est une petite puce résistante aux manipulations, intégrée dans la plupart des PC modernes, des ordinateurs portables et certaines tablettes. Son rôle est de fournir une racine de confiance matérielle pour les opérations critiques de sécurité.
Que se passe-t-il si je perds mon téléphone ?
Si votre téléphone contient la seule copie d’une clé d’accès, vous aurez besoin d’une méthode de sauvegarde préconfigurée pour récupérer l’accès. Il s’agit généralement d’un autre appareil, d’un gestionnaire de mots de passe ou d’une phrase de récupération fournie par le service. Sans sauvegarde, vous devrez suivre la procédure de récupération de compte du service.
