Les passkeys ont toujours des problèmes

 (fy.blackhats.net.au)
7 points par GN⁺ 2025-12-19 | 4 commentaires | Partager sur WhatsApp
  • En 2025, les passkeys continuent de soulever des débats sur la sécurité et la praticité, tout en conservant des problèmes d’expérience utilisateur et de dépendance aux fournisseurs
  • Le nouveau FIDO Credential Exchange permet désormais la portabilité entre fournisseurs, mais les frictions entre plateformes et la fragmentation persistent
  • Les risques de perte sans sauvegarde et de verrouillage liés aux gestionnaires de plateforme comme Apple, Google et Microsoft demeurent, et la conception des interfaces est critiquée pour limiter le choix des utilisateurs
  • La complexité du concept de passkey et la communication trompeuse de certains services nuisent à la confiance des utilisateurs grand public
  • Pour protéger les comptes critiques, il est important d’utiliser un Credential Manager contrôlable par l’utilisateur ainsi que des clés matérielles comme Yubikey

Résumé TL;DR

  • Les passkeys présentent toujours des défauts, et les utilisateurs doivent les comprendre pour les utiliser selon leurs propres contraintes
    • Utiliser uniquement les Credential Managers fournis par les plateformes (Apple, Google, Microsoft) expose à des risques d’absence de sauvegarde et de verrouillage
    • Il est recommandé d’utiliser des Credential Managers sauvegardables comme Bitwarden ou Vaultwarden
    • Une synchronisation régulière vers un Credential Manager externe via FIDO Credential Exchange est nécessaire
    • Pour les comptes importants comme l’e-mail, il est conseillé d’utiliser Yubikey comme stockage de passkeys, tout en conservant un mot de passe fort + TOTP comme solution complémentaire
    • Il faut vérifier à l’avance les voies de récupération au cas où l’accès au Credential Manager deviendrait impossible

Ce qui a changé au cours de l’année écoulée

  • Le principal changement est l’introduction de la spécification FIDO Credential Exchange
    • Elle permet désormais la migration des identifiants entre fournisseurs de passkeys
  • Mais les frictions entre plateformes et la rupture de l’écosystème existent toujours
    • Les passkeys peuvent se fragmenter entre différents appareils, et les utilisateurs risquent de ne pas s’en rendre compte
    • Les passkeys des appareils Apple ne peuvent pas être synchronisées vers des appareils non Apple, alors que Google et Microsoft le permettent partiellement
    • Les utilisateurs Apple peuvent ressentir une dépendance plus forte

La complexité du concept de passkey

  • Un mot de passe se comprend intuitivement comme « quelque chose que je sais », et le SMS 2FA comme « quelque chose que je peux recevoir »
  • À l’inverse, la passkey est un facteur d’authentification invisible, que l’utilisateur ne peut ni vérifier directement ni imprimer
  • Il faut normalement passer par un processus de confiance envers le Credential Manager, mais les passkeys tendent à escamoter cette étape de confiance
  • Même des experts en sécurité confondent parfois le fonctionnement des passkeys, ce qui montre que la barrière à la compréhension reste élevée

Le problème du « thought leadership » et de l’éducation des utilisateurs

  • Certaines figures du secteur affirment que « devoir apprendre à gérer des mots de passe est un échec de l’industrie »,
    alors qu’en réalité les passkeys exigent elles aussi de comprendre le Credential Manager
  • Les utilisateurs qui préfèrent les mots de passe et le TOTP ne sont pas forcément arrogants ; cela peut relever de problèmes d’utilisabilité
  • Croire que les passkeys fonctionnent sans aucune éducation des utilisateurs est une vision déconnectée de la réalité
  • Si un utilisateur, après avoir bien compris le sujet, choisit malgré tout une autre méthode, alors la passkey a échoué pour cet utilisateur

Une dépendance aux fournisseurs toujours présente

  • Même avec FIDO Credential Exchange, les frictions du parcours réel et les interfaces qui orientent le choix augmentent le coût du changement
  • La fenêtre de création de passkey d’Apple pousse par défaut vers Apple Keychain,
    tandis que les autres options (clé de sécurité, Android, etc.) sont cachées sous « Other Options »
  • Le choix de l’utilisateur n’est pas mémorisé et revient systématiquement à la valeur par défaut
  • Google Chrome présente une structure similaire et encourage lui aussi à rester dans l’écosystème de la plateforme
  • Il ne s’agit pas seulement du lieu de stockage, mais d’une dépendance qui s’étend à toute l’expérience utilisateur

Perte de données dans les cloud keychains

  • Des cas persistent où des passkeys disparaissent de Apple Keychain, ou ne peuvent être ni créées ni utilisées sur des appareils Android
  • Dans certains cas, même une réinitialisation de l’appareil ne permet pas la récupération, ce qui bloque totalement l’accès au compte de l’utilisateur
  • Ces problèmes contribuent à une baisse de confiance dans les passkeys

Verrouillage de compte par le fournisseur

  • Dans certains cas de verrouillage de compte Apple, toutes les passkeys deviennent irrécupérables
  • Des cas similaires existent aussi chez Google et Microsoft
  • Une seule action sur un compte peut entraîner le risque de destruction de tous les identifiants

Communication trompeuse de certains services d’authentification

  • Certains services expliquent que « la passkey transmet des données faciales ou d’empreinte digitale »
  • En réalité, les données biométriques ne quittent pas l’appareil,
    mais les utilisateurs grand public peuvent comprendre cela comme « mon visage/mes empreintes sont envoyés sur Internet »
  • Ce type d’explication engendre méfiance et rejet à l’égard des passkeys
  • L’interface des fournisseurs de plateforme ne parvient pas non plus à corriger ces malentendus

Des services d’authentification qui limitent le choix des utilisateurs

  • Certains sites web continuent de n’autoriser qu’une seule passkey,
    ou imposent uniquement des passkeys dépendantes de la plateforme via l’option authenticatorAttachment
  • Cela bloque l’usage de clés de sécurité ou de Credential Managers non liés à la plateforme
  • Certains sites tentent même d’enregistrer automatiquement une passkey à la connexion sans consentement préalable, une pratique jugée non éthique

Conclusion et recommandations

  • La plupart des problèmes proviennent d’une structure de gestion des passkeys centrée sur les fournisseurs de plateforme
  • Les utilisateurs devraient recourir à un Credential Manager qu’ils contrôlent eux-mêmes afin de
    réduire les risques de verrouillage de compte et de perte de données, tout en effectuant des sauvegardes régulières
  • Yubikey (firmware 5.7 ou supérieur) peut stocker jusqu’à 150 passkeys
    • Pour certains comptes, il peut remplacer un Credential Manager logiciel
  • Le compte e-mail est au cœur des mécanismes de récupération ;
    il faut donc combiner clé matérielle + mot de passe fort + TOTP et conserver une sauvegarde hors ligne
  • Les plateformes comme Apple et Google devraient mémoriser les préférences des utilisateurs
    et présenter à égalité dans l’interface les clés de sécurité et les fournisseurs tiers
  • Les développeurs devraient éviter le préfiltrage du WebAuthn API
    et ne lancer l’enregistrement d’une passkey qu’après en avoir clairement informé l’utilisateur
  • Le principe clé est de garantir le contrôle utilisateur et le consentement

À lire aussi

4 commentaires

 
roxie 2025-12-19

J’aime bien les passkeys,,
 
yeobi222 2025-12-19

Si l’utilisateur ne comprend pas la structure du système de sécurité, cela ne fait qu’accroître la méfiance.
Et on ne peut pas vraiment dire non plus que l’utilisabilité soit bonne en soi.
 
koxel 2025-12-19

Après avoir supprimé une fois Google Password Manager, tout a disparu, donc après avoir dû tout réémettre, je suis passé à Bitwarden..
 
GN⁺ 2025-12-19
Réactions sur Hacker News

  • L’auteur continue de mal comprendre les passkeys. Beaucoup pensent que si l’on perd une passkey, la récupération est impossible, alors qu’en pratique c’est comparable à la perte d’un mot de passe. La plupart des services permettent une réinitialisation de mot de passe par e-mail ou SMS. En revanche, pour des comptes comme Apple, Google ou Facebook, la procédure de récupération est complexe, donc il faut imprimer les codes de secours et les conserver en lieu sûr. Il faut aussi impérativement disposer du dernier mot de passe permettant de se connecter au gestionnaire de mots de passe, ou d’un moyen externe comme une YubiKey

    • Je me demande s’il y avait déjà des problèmes de verrouillage sur les comptes Apple et Google avant l’introduction des passkeys. Aujourd’hui, les passkeys ne peuvent ni être sauvegardées ni exportées directement par l’utilisateur, et à force pour les ingénieurs sécurité de se focaliser uniquement sur la prévention de la duplication des clés, des milliards de personnes se retrouvent exposées à un risque de verrouillage. Cette approche pourrait entraîner des risques réglementaires
    • La possibilité de réinitialiser une passkey dépend de l’implémentation du fournisseur de service. Certains se sont plaints que la récupération n’était possible que par téléphone
    • Les comptes Apple et Google stockent la plupart des autres mots de passe et passkeys, donc les perdre est un problème bien plus grave
    • Les passkeys existent indépendamment sur chaque appareil, et il n’est pas nécessaire de les configurer sur tous. Sur d’autres appareils, il suffit simplement de se connecter avec un mot de passe

  • Il y a deux points que j’aimerais voir améliorés concernant les passkeys.

    1. Même lorsqu’un seul appareil est enregistré, l’interface affiche des choix inutiles
    2. Il aurait mieux valu qu’elles aient dès le départ la portabilité et la flexibilité d’une clé SSH. Aujourd’hui, la dépendance au fournisseur est trop forte
    • Sur Mac, on peut d’abord cliquer sur le bouton de clé de sécurité pour passer l’étape de sélection
    • Il ne faut pas masquer les options, mais les griser et indiquer « aucune clé enregistrée ». Ainsi, l’utilisateur peut comprendre l’origine du problème
    • Le système de passkeys a été conçu avec pour objectif d’être impossible à phishing, ce qui empêche l’utilisateur d’exporter lui-même ses identifiants. Cela aboutit au final à une structure de vendor lock-in. Par exemple, pour utiliser une passkey dans Safari, iCloud Keychain est indispensable, ce qui rend impossible un usage strictement local
    • Pour les utilisateurs peu à l’aise avec la technique, les passkeys peuvent être un bon choix. Mais il faut les aider à noter le code de secours sur papier et à le conserver en lieu sûr

  • Quand on regarde les problèmes liés à KeePass, on voit que la pression de l’industrie pour empêcher l’export des clés privées des utilisateurs devient de plus en plus forte. C’est inquiétant
    Issue GitHub associée

    • Je suis l’auteur du commentaire dans cette issue. Exiger par défaut des sauvegardes chiffrées ne revient pas à empêcher l’export, mais au contraire à permettre à l’utilisateur de garder le contrôle direct sur ses clés

  • Tant que les fournisseurs de service pourront imposer la manière dont les passkeys sont stockées (matériel/logiciel), ou imposer une MFA comme Touch ID, je continuerai à préférer la combinaison mot de passe + TOTP

    • (1) est déjà impossible. Un service ne peut pas imposer le mode de stockage d’une passkey
    • (2) ne relève pas vraiment de la MFA, mais plutôt d’une vérification biométrique de présence (liveness check). C’est simplement une procédure qui prouve qu’un humain est bien en train de se connecter
    • En situation d’urgence, il faut une sauvegarde utilisable par saisie manuelle. On revient donc au final à quelque chose qui ressemble à un mot de passe

  • Je n’utiliserai jamais les passkeys à cause du fait que le fournisseur peut verrouiller l’utilisateur. Le problème est particulièrement grave quand l’utilisateur décède et que ses héritiers ne peuvent plus accéder aux comptes

    • Il existe des cas concrets : échec de récupération d’un Apple ID, discussion HN
    • Certains gestionnaires de mots de passe proposent une chaîne de confiance racine hors ligne. Par exemple, l’Emergency Kit de 1Password permet à des héritiers ou à la famille d’accéder aux comptes grâce à un code de récupération imprimé
    • Que l’on parle de mots de passe ou de passkeys, si la politique du fournisseur est la même, les restrictions d’accès seront identiques
    • Ce serait bien de pouvoir transformer ce type d’accord en trust juridique, mais les entreprises n’aimeraient probablement pas ça
    • Les dark patterns d’interface qui forcent l’enregistrement d’une passkey sont insupportables. On me demande sans arrêt d’en enregistrer une alors que je n’utilise le compte que pour le travail. J’ai déjà du SSO et de la 2FA, alors je ne comprends pas pourquoi on m’impose encore une passkey

  • L’UX des passkeys est catastrophique. On ne sait même pas combien sont actives, et il arrive que l’application d’authentification oublie la passkey. C’est juste confus

  • La combinaison mot de passe + TOTP reste la plus pratique. Pour passer d’un appareil à l’autre, il suffit de se connecter à Bitwarden. À l’inverse, avec les passkeys, la procédure de récupération en cas de perte d’appareil n’est pas claire. On ne comprend même pas vraiment pourquoi une passkey configurée sur un iPhone fonctionne aussi sur un desktop Linux. Cela ne profite vraiment qu’aux utilisateurs d’une plateforme unique

    • Si plusieurs appareils ont été enregistrés ou synchronisés, la récupération est possible, mais sinon il n’y a pas d’autre solution que la procédure de récupération de compte. Au final, ce n’est pas mieux qu’un mot de passe

  • Au bout du compte, les passkeys sont une conception excessivement complexe. Accepter le lock-in réduit certains problèmes, mais crée de nouvelles contraintes. TOTP est une alternative réaliste

    • TOTP est pénible, mais il laisse à l’utilisateur le contrôle. C’est pour cela que j’ai créé moi-même l’extension Chrome LazyOTP, afin de l’utiliser comme une authentification unique

  • Les passkeys sont une excellente solution pour la plupart des utilisateurs grand public. Elles éliminent les problèmes de gestion de mots de passe complexes ou réutilisés, et simplifient aussi la connexion.
    Même d’un point de vue technique, je trouve l’expérience de connexion rapide et fluide bien meilleure

    • Mais si l’on perd ou casse son appareil, l’accès à tous les comptes est bloqué. Un mot de passe sur papier n’a pas ce problème
    • Le plus grand avantage des passkeys, c’est leur résistance au phishing. Il est impossible d’envoyer ses identifiants au mauvais domaine
    • En revanche, le processus de synchronisation des clés secrètes entre PC et téléphone reste flou. Au final, cela ressemble à un système entièrement lié à l’écosystème Apple
    • En pratique, je n’ai encore jamais vu d’implémentation réellement parfaitement fluide entre plusieurs plateformes

  • J’avais mis en place à l’avance un gestionnaire de mots de passe et un système 2FA, et maintenant j’ai l’impression que tous ces efforts deviennent inutiles à cause de cette tendance à nous pousser vers les passkeys. Je déteste cet environnement technologique qui pénalise ceux qui avaient anticipé