Guide des technologies

Que sont les passkeys Apple et comment les utiliser

11 min read Sécurité Mis à jour 18 Sep 2025
Passkeys Apple : guide complet et pratique
Passkeys Apple : guide complet et pratique

Table des matières

  • Que sont les passkeys ?
  • Appareils et compatibilité
  • Comment activer iCloud Keychain
  • Utiliser les passkeys sur Mac
  • Utiliser les passkeys sur iPhone et iPad
  • Récupérer une passkey si vous perdez un appareil
  • Quand les passkeys ne fonctionnent pas
  • Alternatives et scénarios hybrides
  • Sécurité, confidentialité et conformité
  • Playbook : activer, créer, restaurer
  • Checklists par rôle
  • Arbre de décision pour choisir une méthode d’authentification
  • FAQ
  • Résumé et recommandations

Que sont les passkeys ?

Image illustrative des passkeys et de leur rôle pour remplacer les mots de passe

Définition en une ligne : une passkey est une paire de clés cryptographiques utilisée pour s’authentifier sans mot de passe — la clé privée reste sur votre appareil, la clé publique est enregistrée par le service.

Les passkeys s’appuient sur des standards ouverts (FIDO/WebAuthn). Lors de la création d’une passkey, le service enregistre une clé publique. La clé privée ne quitte jamais votre appareil et n’est ni lisible ni exportable en clair. Lorsque vous vous authentifiez, le service envoie un défi que votre appareil signe localement avec la clé privée, puis le service vérifie la signature avec la clé publique.

Important : vous ne tapez plus de mot de passe, mais vous devez autoriser chaque connexion localement (Touch ID / Face ID / code) — cela prévient l’hameçonnage car l’appareil vérifie aussi l’origine du service.

Appareils et compatibilité

Logo et concept FIDO Alliance mis en contexte

  • Apple a annoncé le support des passkeys dans iOS 16, iPadOS 16 et macOS Ventura. Si votre appareil peut recevoir ces mises à jour, il peut utiliser les passkeys.
  • Les passkeys ne sont pas exclusifs à Apple ; elles se basent sur le standard FIDO2/WebAuthn. Android, Windows et les navigateurs modernes ajoutent également ce support. Les services doivent implémenter FIDO pour proposer la création et l’authentification par passkey.

Compatibilité pratique :

  • Vous pouvez vous connecter à un service compatible depuis un appareil non-Apple si vous utilisez votre iPhone pour valider via QR code (option « Autres options de connexion »).
  • Les services doivent offrir la prise en charge côté serveur (génération/stockage de clés publiques, vérification WebAuthn).

Comment activer iCloud Keychain

iCloud Keychain synchronise vos passkeys (et mots de passe si vous le souhaitez) entre vos appareils Apple. Sans Keychain activé, les passkeys restent locales à l’appareil.

Sur iPhone / iPad :

  1. Ouvrez Réglages → [Votre nom] → iCloud → Trousseau.
  2. Activez « Trousseau iCloud ».

Sur Mac (Résumé) :

  1. Apple → Réglages système → cliquez sur votre nom → iCloud → activez « Trousseau ».

Note : l’activation peut demander la validation via l’authentification à deux facteurs (2FA). Si vous n’avez pas configuré la 2FA, faites-le avant d’activer le Trousseau iCloud.

Utiliser les passkeys sur Mac

Fenêtre Préférences Système Mac pour accéder aux réglages iCloud Keychain

Étapes pratiques pour créer une passkey sur Mac :

  1. Accédez au site ou à l’application qui prend en charge l’authentification FIDO/WebAuthn.
  2. Choisissez « S’inscrire », « Créer un compte » ou « Se connecter » selon le flux.
  3. Lors de la création ou de la mise à jour du compte, macOS proposera d’enregistrer une passkey.
  4. Cliquez sur « Enregistrer » (ou « Save Password » si l’interface est en anglais) et confirmez avec Touch ID ou Face ID.
  5. La passkey est alors associée au compte et synchronisée via iCloud Keychain.

Connexion ultérieure :

  • Lors du prochain accès, sélectionnez l’option « Passkey » ou « Continuer » puis authentifiez-vous localement (Face ID/Touch ID).

Important : le navigateur (Safari, Chrome, Edge) et la mise en œuvre côté serveur doivent prendre en charge WebAuthn pour que le flux fonctionne.

Utiliser les passkeys sur iPhone et iPad

Réglages iOS — menu Mots de passe pour gérer Autofill et iCloud Passwords & Keychain

Activer les options nécessaires :

  1. Réglages → Mots de passe.
  2. Tapez sur « Options de mot de passe ».
  3. Activez « Remplissage automatique des mots de passe » et « Mots de passe iCloud et trousseau ».

Créer une passkey sur iPhone/iPad :

  1. Ouvrez l’app ou le site compatible.
  2. Sélectionnez S’inscrire / Se connecter selon le cas.
  3. Remplissez votre profil (ou laissez Autofill faire le travail).
  4. Lorsque le système propose d’enregistrer une passkey, tapez sur « Continuer » et confirmez avec Face ID/Touch ID.

Connexion depuis un autre appareil (non‑Apple) :

  • Utilisez « Autres options de connexion » sur l’écran de connexion du service pour générer un QR code. Scannez le QR code avec votre iPhone et validez la connexion via Face ID/Touch ID.

Récupérer une passkey si vous perdez un appareil

Processus de connexion iCloud sur un nouvel appareil pour restaurer les passkeys

Scénarios :

  1. Vous avez plusieurs appareils Apple synchronisés : la passkey reste disponible sur les autres appareils via iCloud Keychain. Connectez-vous sur l’un d’eux.

  2. Vous avez perdu votre seul appareil Apple : utilisez la restauration du Trousseau iCloud (escrow). Pour restaurer :

    • Authentifiez-vous à iCloud sur un nouvel appareil (ou un appareil de remplacement) avec votre identifiant Apple.
    • Vous devrez vérifier votre identité (code d’appareil de confiance, SMS sur numéro de confiance, ou autre méthode configurée).
    • Après vérification, le Trousseau iCloud restaure les passkeys sur le nouvel appareil.

Important : vous n’avez que 10 tentatives pour authentifier la restauration. Après 10 échecs, iCloud supprime les enregistrements d’escrow pour des raisons de sécurité.

Conseil : conservez au moins un appareil de confiance ou un numéro de téléphone de confiance pour réduire le risque de perte d’accès.

Quand les passkeys ne fonctionnent pas (contre‑exemples)

  • Service non compatible : si le site ou l’app n’implémente pas WebAuthn/FIDO, vous devrez utiliser un mot de passe traditionnel ou une autre méthode.
  • Perte complète d’accès sans dispositif de confiance : sans appareil de confiance ni moyen de vérifier votre identité, la restauration peut échouer.
  • Politiques d’entreprise strictes : certaines entreprises imposent des VPN, SSO ou politiques d’authentification spécifiques qui ne sont pas immédiatement compatibles avec les passkeys.
  • Scénarios « partage de compte » : les passkeys sont liées à un utilisateur ; partager un compte entre plusieurs personnes est plus compliqué qu’avec un mot de passe partagé.

Alternatives et scénarios hybrides

  • Mot de passe + 2FA : solution éprouvée quand WebAuthn n’est pas disponible.
  • Gestionnaires de mots de passe (ex. iCloud Keychain, autres gestionnaires) : peuvent stocker mots de passe et, dans certains cas, passkeys.
  • Authentification forte basée sur certificats ou solutions d’entreprise (PKI) : adaptée aux environnements à haute sécurité.

Matrice de décision rapide :

  • Si le service supporte FIDO/WebAuthn → préférer passkey.
  • Sinon si vous contrôlez le serveur → envisager d’ajouter WebAuthn.
  • Sinon → mot de passe + 2FA via application ou clé physique.

Sécurité, confidentialité et conformité

Sécurité technique :

  • Les passkeys réduisent l’hameçonnage car l’appareil vérifie l’origine du site avant de signer.
  • La clé privée ne quitte jamais l’appareil en clair.
  • Les passkeys synchronisées via iCloud Keychain sont chiffrées de bout en bout.

Respect de la vie privée et conformité :

  • Apple ne peut pas lire vos passkeys ; elles sont stockées chiffrées dans le trousseau iCloud.
  • Pour les organisations soumises au RGPD, l’utilisation de passkeys change les flux d’authentification mais n’ajoute pas de nouveaux types de données personnelles par rapport aux identifiants déjà collectés. Documentez les changements de flux d’authentification et mettez à jour vos mentions et contrats si nécessaire.

Bonnes pratiques :

  • Activez la 2FA pour votre identifiant Apple.
  • Désignez au moins un appareil ou numéro de confiance.
  • Maintenez vos appareils et navigateurs à jour.

Playbook : activer, créer et restaurer une passkey (SOP)

Étapes rapides — pour un utilisateur individuel :

  1. Préparation
  • Assurez-vous que votre appareil exécute iOS 16 / iPadOS 16 / macOS Ventura ou version ultérieure.
  • Activez l’authentification à deux facteurs sur votre identifiant Apple.
  • Activez Trousseau iCloud sur tous les appareils.
  1. Création d’une passkey (nouveau compte)
  • Ouvrez le site ou l’app compatible.
  • Choisissez « S’inscrire » / « Créer un compte ».
  • Remplissez le formulaire et acceptez l’enregistrement de la passkey.
  • Confirmez avec Face ID/Touch ID.
  1. Création d’une passkey (migration d’un compte existant)
  • Sur le service compatible, allez dans les paramètres de sécurité.
  • Choisissez « Activer passkey » ou « Ajouter une méthode d’authentification ».
  • Suivez le flux et validez localement.
  1. Restauration sur un nouvel appareil
  • Connectez-vous à iCloud sur le nouvel appareil.
  • Vérifiez votre identité avec un appareil ou numéro de confiance.
  • Autorisez la restauration du Trousseau iCloud.
  • Vérifiez l’accès au site/app.
  1. Si la restauration échoue
  • Vérifiez le code de confiance et le numéro de téléphone.
  • Contactez le support du service (certains services peuvent offrir des procédures de récupération spécifiques).

Checklists par rôle

Utilisateur final — avant de migrer aux passkeys :

  • Mettre à jour l’OS du/des appareils.
  • Activer la 2FA pour l’identifiant Apple.
  • Activer Trousseau iCloud.
  • Enregistrer un numéro de téléphone de confiance.
  • Noter quels services n’ont pas encore de support WebAuthn.

Administrateur IT (PME/entreprise) :

  • Cartographier les applications internes/externes compatibles FIDO.
  • Mettre à jour la politique d’accès et SSO si nécessaire.
  • Informer les employés et fournir tutoriels de transition.
  • Préparer une procédure de récupération avec vérifications d’identité.

Développeur web / ingénieur sécurité :

  • Implémenter WebAuthn côté serveur.
  • Tester flux d’inscription et d’authentification pour différents navigateurs et plateformes.
  • Prévoir prise en charge des cas de migration / rollback.
  • Documenter les procédures pour les équipes de support.

Arbre de décision (Mermaid)

flowchart TD
  A[Besoin d'authentifier un utilisateur ?] --> B{Service supporte WebAuthn/FIDO ?}
  B -- Oui --> C[Proposer passkey comme option principale]
  B -- Non --> D{Service sous contrôle interne ?}
  D -- Oui --> E[Planifier ajout de WebAuthn]
  D -- Non --> F[Utiliser mot de passe + 2FA ou clé physique]
  C --> G{Utilisateur a Trousseau iCloud activé ?}
  G -- Oui --> H[Création de passkey et synchronisation]
  G -- Non --> I[Inviter à activer Trousseau + 2FA]
  H --> J[Connexion simplifiée via FaceID/TouchID]

Scénarios de tests et critères d’acceptation

Cas de test principaux :

  • Création de passkey sur nouvel enregistrement → succès et synchronisation.
  • Connexion depuis un autre appareil Apple synchronisé → connexion sans mot de passe.
  • Connexion depuis un appareil non‑Apple via QR → validation sur iPhone fonctionne.
  • Restauration après remplacement d’appareil → passkeys restaurées après vérification.
  • Gestion des tentatives invalides → suppression après 10 tentatives d’authentification échouées.

Critères d’acceptation :

  • L’utilisateur peut s’inscrire et se connecter en utilisant uniquement la passkey.
  • La clé privée n’est jamais exportée en clair.
  • La restauration nécessite une preuve d’identité.

Conseils pratiques et pièges à éviter

  • Ne supprimez pas le seul appareil de confiance sans avoir ajouté un autre point de confiance.
  • Les passkeys simplifient la vie, mais exigez une politique de secours pour les environnements d’entreprise.
  • Pour les comptes critiques, conservez des méthodes de récupération documentées.

FAQ

Comment utiliser une passkey depuis un appareil non‑Apple ?

Si votre passkey est stockée sur votre iPhone, utilisez « Autres options de connexion » sur l’écran de connexion du service pour générer un QR code. Ensuite, scannez ce QR code avec votre iPhone et authentifiez la connexion avec Touch ID ou Face ID.

Apple peut‑il lire mes passkeys ?

Non. Les passkeys synchronisées via le Trousseau iCloud sont chiffrées de bout en bout. Apple ne peut pas lire les clés privées stockées dans votre trousseau.

Les passkeys remplaceront‑elles tous les mots de passe ?

Théoriquement oui, mais en pratique cela dépend de l’adoption par les services. Beaucoup de sites et applications devront implémenter le standard FIDO/WebAuthn pour permettre une adoption complète.

Que se passe‑t‑il si je refuse l’activation du Trousseau iCloud ?

Vos passkeys resteront locales à l’appareil. Elles ne seront pas synchronisées. En cas de perte de l’appareil, vous risquez de perdre l’accès au compte si aucun autre mécanisme de récupération n’est disponible.

Résumé et recommandations

  • Les passkeys sont une évolution majeure de l’authentification : elles suppriment la saisie de mots de passe et réduisent l’hameçonnage.
  • Activez iCloud Keychain et la 2FA pour profiter pleinement des passkeys sur tous vos appareils Apple.
  • Documentez un plan de secours pour les cas de perte d’appareil, et formez les utilisateurs dans les environnements professionnels.

Important : si vous gérez des utilisateurs ou des systèmes critiques, testez les flux de création, connexion et restauration sur plusieurs scénarios avant migration complète.

Image credit: Unsplash. Tous les captures d’écran sont de Hashir Ibrahim.

Partager: X/Twitter Facebook LinkedIn Telegram
Auteur
Édition

Matériaux similaires

Installer et utiliser Podman sur Debian 11
Conteneurs

Installer et utiliser Podman sur Debian 11

Guide pratique : apt-pinning sur Debian
Administration système

Guide pratique : apt-pinning sur Debian

OptiScaler : activer FSR 4 dans n'importe quel jeu
Jeux PC

OptiScaler : activer FSR 4 dans n'importe quel jeu

Dansguardian + Squid NTLM sur Debian Etch
réseau

Dansguardian + Squid NTLM sur Debian Etch

Corriger l'erreur d'installation Android sur SD
Android, Dépannage

Corriger l'erreur d'installation Android sur SD

KNetAttach et remote:/ — Dossiers réseau KDE
Tutoriel

KNetAttach et remote:/ — Dossiers réseau KDE