Clés d’accès (FIDO2) pour Windows et les navigateurs : passer des mots de passe sans perdre l’accès
Les clés d’accès sont désormais une alternative réaliste et quotidienne aux mots de passe sur les PC Windows. Elles réduisent le risque de phishing, car il n’existe plus de « chaîne secrète » à voler, et la connexion est liée à un appareil de confiance ainsi qu’au déverrouillage de l’écran (PIN, empreinte digitale ou visage). La difficulté en 2026 ne consiste pas à créer des clés d’accès, mais à migrer en toute sécurité : choisir où elles sont stockées, préparer la récupération avant d’en avoir besoin et conserver l’accès aux services plus anciens qui exigent encore des mots de passe.
Comment les clés d’accès fonctionnent en pratique (et pourquoi elles bloquent le phishing)
Une clé d’accès est un identifiant FIDO2/WebAuthn basé sur la cryptographie à clé publique. Lorsque vous en créez une pour un site ou une application, votre appareil génère une paire de clés : une clé privée qui reste protégée de votre côté et une clé publique que le service enregistre. Lors de la connexion, le service envoie un défi et votre appareil le signe avec la clé privée — le service peut ainsi vérifier votre identité sans que vous ayez à saisir un mot de passe.
C’est précisément ce qui rend les clés d’accès très résistantes au phishing. Un faux site ne peut pas utiliser votre clé d’accès pour se connecter au vrai, car WebAuthn lie la connexion au domaine authentique. Même si quelqu’un vous attire sur une page imitée, le processus ne se finalisera pas pour la mauvaise origine, et il n’y a aucun mot de passe à divulguer.
Sur Windows, la connexion par clé d’accès est généralement gérée via Windows Hello. Autrement dit, le geste de connexion correspond à celui que vous utilisez déjà pour déverrouiller votre PC : un PIN Windows Hello ou des données biométriques si elles sont configurées. Sur Windows 11, disposer de Windows Hello (au minimum un PIN) est, dans la pratique, indispensable pour que l’expérience soit fluide.
Windows Hello, FIDO2 et l’emplacement réel de la clé privée
Dans une configuration Windows 11 typique, Windows Hello sert d’étape de vérification utilisateur pour les clés d’accès. Si la reconnaissance faciale ou l’empreinte est activée, vous verrez cette invite ; sinon, Windows bascule sur le PIN Hello. C’est un comportement normal, et c’est aussi la raison pour laquelle la qualité du PIN Windows Hello compte : considérez-le comme une mesure de sécurité, pas comme un simple code de confort.
En 2026, il existe deux « emplacements » courants pour les clés d’accès. Le premier est un authentificateur intégré à l’appareil (votre PC ou votre téléphone), protégé par le matériel de sécurité et la méthode de déverrouillage. Le second est un coffre synchronisé (par exemple, un stockage d’identifiants lié à un compte), capable de répliquer la clé d’accès sur d’autres appareils de confiance après authentification. Le compromis est simple : le stockage local est naturellement contenu ; le stockage synchronisé est plus pratique, mais dépend fortement de la protection du compte et des paramètres de récupération.
Enfin, il existe des clés de sécurité matérielles (souvent appelées « clés FIDO2 »). Elles peuvent également stocker des clés d’accès, et elles sont excellentes en secours, car elles ne dépendent pas d’un seul téléphone. Pour beaucoup, l’équilibre idéal est le suivant : des clés d’accès sur les appareils principaux pour la simplicité, plus une clé matérielle conservée en lieu sûr comme option « je peux toujours me reconnecter ».
Passer des mots de passe en 20 à 30 minutes (sans casser les anciens comptes)
Commencez par les comptes les plus importants : e-mail, votre gestionnaire de mots de passe (si vous en utilisez un), comptes Apple/Google/Microsoft et services bancaires lorsque c’est pris en charge. Ce sont vos « comptes racines », car ils contrôlent la récupération et l’accès à tout le reste. Avant d’ajouter des clés d’accès, assurez-vous que chaque compte dispose d’options de récupération à jour : second facteur, e-mail de secours, numéro de secours et, lorsque c’est proposé, codes de récupération stockés hors ligne.
Ensuite, activez les clés d’accès à au moins deux endroits : (1) votre appareil principal au quotidien (téléphone ou PC principal) et (2) un chemin de secours. Le secours peut être un autre appareil que vous possédez déjà (tablette, second ordinateur) ou une clé de sécurité matérielle. L’objectif n’est pas d’être sophistiqué — c’est d’éviter un point de défaillance unique.
Enfin, ne supprimez pas tous les mots de passe dès le premier jour. Beaucoup de services conservent encore le mot de passe comme solution de repli pour des applications héritées, des appareils plus anciens ou certains flux de récupération. Une migration raisonnable consiste à : ajouter une clé d’accès, la tester sur un second appareil/navigateur, vérifier que la récupération est opérationnelle, puis décider de conserver le mot de passe en accès d’urgence ou de le supprimer si le service prend clairement en charge une utilisation totalement sans mot de passe.
Que faire avec les services qui ne prennent pas encore en charge les clés d’accès
Pour les services plus anciens, la stratégie la plus sûre consiste à conserver un mot de passe fort et unique généré par un gestionnaire, et à ajouter un second facteur (application TOTP, approbation push ou clé matérielle) si disponible. Les clés d’accès sont excellentes, mais il ne faut pas affaiblir la sécurité ailleurs simplement parce que certains accès restent basés sur un mot de passe.
Si un service propose « Se connecter avec Microsoft/Google/Apple », vous pouvez l’utiliser comme solution de transition. Vous protégez alors le compte d’identité avec des clés d’accès et vous réduisez le nombre de mots de passe distincts à gérer. Cette approche simplifie aussi la récupération, car vous centralisez l’accès sur un petit nombre de comptes bien protégés.
Lorsqu’un service impose la récupération par SMS, considérez cela comme un risque et compensez-le : verrouillez votre numéro auprès de l’opérateur lorsque c’est possible, activez les alertes de compte et gardez les codes de récupération hors ligne. L’objectif est de rendre le maillon le plus faible moins exploitable en attendant une prise en charge correcte des clés d’accès.
Plan de récupération : téléphone perdu, PC remplacé et appareils partagés ou professionnels
L’histoire d’échec la plus courante est prévisible : quelqu’un configure des clés d’accès sur un téléphone, perd le téléphone, puis découvre que la récupération n’a jamais été finalisée. Évitez cela en planifiant dès le départ le scénario « je perds un appareil ». Il vous faut au moins deux moyens indépendants de revenir : un autre appareil déjà connecté et approuvé, ou une clé de sécurité matérielle, plus des options de récupération de compte que vous avez réellement testées récemment.
Si vos clés d’accès sont synchronisées via un compte (selon le fournisseur), la récupération dépend de la sécurité de ce compte. Cela implique une protection solide à la connexion (clé d’accès + vérification supplémentaire lorsque proposée) et une gestion prudente des canaux de récupération. Si votre e-mail de secours est faible, ou si votre numéro est facile à détourner, vos clés d’accès synchronisées deviennent plus vulnérables par attaque indirecte.
Sur les PC partagés et les machines professionnelles gérées, les clés d’accès demandent une réflexion supplémentaire. En général, vous ne devriez pas stocker des clés d’accès personnelles sur un profil Windows partagé. Pour le travail, suivez la politique interne : de nombreuses organisations exigent Windows Hello for Business, la conformité de l’appareil ou des fournisseurs d’identifiants spécifiques. En cas de doute, séparez strictement les connexions personnelles et professionnelles et privilégiez les clés matérielles pour un accès portable et compatible avec les règles.
Checklist PC maison vs PC pro (pour éviter de vous bloquer)
Pour un PC à la maison : configurez Windows Hello (PIN et biométrie si possible), assurez-vous que l’appareil est chiffré (BitLocker sur les éditions compatibles) et maintenez à jour les options de récupération de vos comptes Microsoft/Google/Apple. Ajoutez au moins une clé d’accès pour un compte majeur, testez-la dans deux navigateurs et vérifiez que vous pouvez vous connecter depuis un second appareil.
Pour un PC professionnel : utilisez uniquement les navigateurs et types de comptes approuvés, et vérifiez si les fournisseurs d’identifiants tiers sont autorisés. Si l’organisation utilise un accès conditionnel ou exige des clés de sécurité, enregistrez une clé matérielle tôt et gardez-la accessible. Documentez le chemin de récupération dans le processus sécurisé de l’équipe (pas dans un document public et pas dans une discussion).
Pour les deux : gardez une méthode de secours hors ligne. La solution la plus simple est une clé de sécurité matérielle conservée en lieu sûr, plus des codes de récupération imprimés ou stockés hors ligne pour vos comptes racines. Cela peut sembler à l’ancienne, mais c’est précisément ce qui vous sauve quand un téléphone est perdu, un ordinateur volé ou lorsque vous voyagez et que vous ne pouvez plus valider une étape de vérification.
