Passkeys sur Windows : la fin du mot de passe… vraiment ?
Microsoft accélère. Les passkeys arrivent sur Windows via Microsoft Entra ID.
Pas une évolution. Une rupture.
Faits
- Déploiement progressif des passkeys sur Windows (2026)
- Basé sur le standard FIDO2
- Authentification sans mot de passe :
- biométrie
- PIN local
- Clé privée stockée sur le terminal (TPM / Windows Hello)
- Résistant au phishing et aux fuites de credentials
Ce que ça change vraiment
Le mot de passe disparaît.
Avec lui :
- plus de base de données d’identifiants à voler
- plus de phishing exploitable
- plus de credential stuffing
On passe d’un secret partagé à un modèle asymétrique.
Résultat :
👉 rien à exfiltrer côté serveur
👉 attaque déplacée vers le terminal
Le problème n’a pas disparu
Il s’est déplacé.
- Compromission du poste = compromission de l’accès
- Malware, vol physique, session active deviennent critiques
- L’identité dépend désormais du device
En clair :
👉 vous ne protégez plus un mot de passe
👉 vous devez protéger un terminal
Le vrai enjeu
Les passkeys améliorent la prévention.
Mais elles ne changent pas la réalité opérationnelle :
👉 un incident arrivera
La différence se joue ailleurs :
- vitesse de détection
- capacité de révocation
- maîtrise des terminaux
Actions immédiates
- Activer les passkeys (FIDO2) dans Entra
- Imposer des politiques d’accès conditionnel fortes
- Prévoir :
- perte de device
- compromission locale
- Mettre à jour les procédures de réponse à incident
Remarques
- Microsoft pousse vers le passwordless par défaut
- Le modèle de sécurité devient :
- identité + device + contexte
- Les environnements non préparés vont casser en production
Conclusion
Les passkeys ne sont pas une amélioration.
C’est un changement de champ de bataille.
Avant : voler un mot de passe
Maintenant : contrôler un terminal
Et dans les deux cas, une seule constante :
👉 votre capacité à réagir fait toujours la différence