Mathieu, 42 ans, Montréal, se fait hameçonner un vendredi soir. Le courriel ressemblait à Desjardins. Le site aussi. Il entre son mot de passe. Il entre son code SMS à 6 chiffres. En 90 secondes, l’arnaqueur vide 8 400 $ de son compte épargne.
Mathieu avait tout fait « correctement » selon les guides de 2015. Mot de passe complexe, 2FA par SMS activée. Ça n’a pas suffi.
Si Mathieu avait utilisé un passkey, l’arnaqueur n’aurait rien pu faire. Zéro. L’attaque était impossible par design.
Les passkeys sont la plus grosse amélioration en cybersécurité grand public depuis le HTTPS. Et en 2026, tous les grands services (Apple, Google, Microsoft, Amazon, GitHub, PayPal) les supportent. Je vais vous expliquer pourquoi c’est révolutionnaire, et comment les activer en 10 minutes.
Le problème fondamental des mots de passe
Un mot de passe, c’est un secret partagé. Vous le connaissez. Le serveur du site le connaît (en version chiffrée, idéalement). Pour vous authentifier, vous le tapez, et le site le compare à sa version.
Ce modèle a un problème philosophique : si quelqu’un d’autre convainc le site qu’il est vous, en fournissant le bon mot de passe, le site va croire que c’est vous. Point.
D’où l’hameçonnage. Un faux site Desjardins qui ressemble au vrai. Vous tapez votre mot de passe. Le faux site l’envoie au vrai site, et se connecte comme vous.
La 2FA par SMS ou par Google Authenticator améliore les choses, mais le problème de base persiste : vous tapez un code sur un site. Si le site est frauduleux et sert de proxy, le code est volé en temps réel et réutilisé sur le vrai site.
Honnêtement, tant qu’on tape des secrets sur des sites web, on peut se faire avoir.
Le passkey : cryptographie asymétrique pour tous
Voici l’idée. Quand vous créez un compte sur un site, votre appareil (iPhone, Mac, Android, PC) génère deux clés mathématiquement liées :
- Une clé privée, qui reste sur votre appareil, chiffrée et protégée par Face ID ou Touch ID.
- Une clé publique, que l’appareil envoie au site.
Le site garde votre clé publique. Il ne voit jamais la clé privée.
Quand vous vous connectez, le site vous envoie un défi mathématique (un « challenge ») aléatoire. Votre appareil signe ce défi avec votre clé privée. Le site vérifie la signature avec la clé publique qu’il a en mémoire.
Aucun secret n’est jamais envoyé. La clé privée ne quitte jamais votre appareil.
Pourquoi ça tue l’hameçonnage
Un passkey est lié cryptographiquement au domaine exact du site. Votre passkey créé pour desjardins.com ne fonctionnera jamais sur desjardins-securite.net ou desjardin.com (avec un seul s). Le navigateur refuse purement et simplement.
Même si vous tombez sur une page de phishing parfaite, votre iPhone ou votre Android ne va pas proposer votre passkey. Il ne le voit pas parce que le domaine ne correspond pas.
C’est pas une « amélioration », c’est un changement de paradigme.
Le standard technique derrière (pour les curieux)
Les passkeys reposent sur deux standards ouverts :
- WebAuthn (Web Authentication), standardisé par le W3C en 2019.
- FIDO2, géré par la FIDO Alliance (Apple, Google, Microsoft, Amazon, Samsung, et ~250 membres).
C’est pas propriétaire. Apple n’a pas inventé les passkeys. Ils ont juste été les premiers à les intégrer proprement dans iOS 16 en 2022. Google et Microsoft ont suivi.
Le chiffrement utilisé : ECDSA (courbes elliptiques, typiquement P-256). Robuste, rapide, standard de l’industrie.
Activer les passkeys sur Apple (iPhone, iPad, Mac)
Prérequis : iCloud Keychain activé. Si vous avez un iPhone et que Safari remplit déjà vos mots de passe automatiquement, c’est déjà le cas.
Activer iCloud Keychain (si pas fait)
Sur iPhone : Réglages > [Votre nom] > iCloud > Mots de passe et trousseau > Activer.
Sur Mac : Réglages Système > [Votre nom] > iCloud > Mots de passe et trousseau > Activer.
Créer un passkey sur un site
Allez sur un site compatible (Google, GitHub, PayPal, Amazon, Best Buy, Shopify, X/Twitter, Adobe, Nintendo, LinkedIn, TikTok, etc.). Dans les paramètres de sécurité, cherchez « Passkey » ou « Clé d’accès ».
Cliquez « Créer un passkey ». Face ID ou Touch ID confirme. Terminé.
Votre passkey est maintenant synchronisé via iCloud Keychain sur tous vos appareils Apple signés au même Apple ID.
Se connecter avec un passkey
Allez sur le site. Entrez votre nom d’utilisateur. Le navigateur propose automatiquement le passkey. Face ID ou Touch ID. Vous êtes connecté. Pas de mot de passe, pas de SMS, pas de code.
La première fois, ça a l’air magique.
Activer les passkeys sur Google / Android
Prérequis : un compte Google, un téléphone Android moderne (Android 9+), Google Password Manager activé.
Créer un passkey pour votre compte Google
Allez sur myaccount.google.com. Sécurité > Comment vous vous connectez à Google > Passkeys > Créer un passkey.
Google détecte votre appareil (Pixel, Samsung, etc.) et crée le passkey. L’empreinte ou le motif de déverrouillage confirme.
Sur un site tiers (Amazon, eBay, etc.)
Paramètres de sécurité du site > Ajouter un passkey. Le navigateur Chrome / Edge propose d’utiliser Google Password Manager. Confirmez avec l’empreinte.
Synchronisation cross-device
Les passkeys Google se synchronisent automatiquement via Google Password Manager sur tous vos appareils Android signés au même compte. Sur Chrome (Mac, Windows, Linux), c’est aussi synchronisé si Chrome est connecté à votre compte Google.
Activer les passkeys sur Microsoft / Windows
Prérequis : Windows 10 (version récente) ou Windows 11. Compte Microsoft. Windows Hello (reconnaissance faciale, empreinte ou NIP) configuré.
Créer un passkey pour votre compte Microsoft
Allez sur account.microsoft.com. Sécurité > Options de connexion avancées > Passkey > Ajouter.
Windows Hello confirme. Le passkey est lié à votre compte Microsoft.
Sur un site tiers depuis Edge
Le navigateur Edge (et Chrome sur Windows) propose automatiquement de créer un passkey avec Windows Hello quand le site le supporte.
Les passkeys dans un gestionnaire de mots de passe (Bitwarden, 1Password, Proton Pass)
Si vous voulez que vos passkeys soient indépendants d’un écosystème (pas coincés dans Apple OU Google OU Microsoft), utilisez un gestionnaire tiers.
1Password supporte les passkeys depuis début 2024. Vous pouvez créer un passkey et il se synchronisera entre votre iPhone, votre Mac, votre PC Windows et votre Android via 1Password.
Bitwarden supporte les passkeys depuis fin 2023. Même principe. Cross-plateforme, open-source.
Proton Pass a ajouté les passkeys en 2024 aussi.
L’avantage d’un gestionnaire tiers : si vous quittez Apple pour Android l’année prochaine, vos passkeys vous suivent. Si vous restez dans un écosystème Apple, iCloud Keychain fait le même travail gratuitement.
À mon avis, pour la majorité des Québécois qui ont un iPhone ET un PC Windows (combo courant), un gestionnaire tiers comme Bitwarden ou 1Password est le meilleur choix. Sinon on se retrouve avec des passkeys pour un compte sur iCloud, et pour un autre compte sur Windows Hello, et c’est le bordel.
Quels services québécois supportent les passkeys en 2026 ?
Je vais être honnête : le Québec est en retard. Voici l’état actuel (avril 2026) :
Supportent les passkeys au Québec :
- Tous les services Google (Gmail, YouTube, Drive).
- Tous les services Apple (iCloud, Apple ID).
- Microsoft (Outlook, Xbox, OneDrive).
- Amazon.ca.
- PayPal.
- GitHub, GitLab.
- Shopify.
- La majorité des services cloud américains.
Ne supportent PAS encore les passkeys (avril 2026) :
- AccèsD Particuliers Desjardins (prévu 2026-2027 selon rumeurs internes).
- Hydro-Québec (Mon compte Hydro) — aucune annonce.
- SAAQ Clic — aucune annonce.
- Revenu Québec (Mon dossier) — aucune annonce.
- Vidéotron (Mon compte Vidéotron) — aucune annonce.
- Bell, Rogers, Telus (comptes clients) — aucune annonce.
- La majorité des banques canadiennes (RBC, BMO, Scotia, TD) — tests en cours, pas de déploiement grand public.
Honnêtement, je pense que les institutions québécoises vont y venir d’ici 2027-2028. La Loi 25 oblige les entreprises à protéger les données personnelles avec des « mesures de sécurité appropriées », et les passkeys deviennent peu à peu le standard. La CAI ne va pas tolérer indéfiniment des mots de passe + SMS pour des comptes contenant le NAS.
Pour l’instant, sur vos comptes québécois, activez au moins la 2FA par application (Google Authenticator, Aegis) au lieu du SMS. C’est le maximum possible.
Les pièges des passkeys
Je ne vais pas vous faire croire que c’est parfait. Voici les vrais problèmes.
Perdre tous ses appareils en même temps
Si votre iPhone tombe dans le Saint-Laurent ET que votre Mac se fait voler le même jour, et que vous n’avez pas d’autre appareil Apple… vous pouvez être en trouble.
Solution : Activez la récupération iCloud par contact de confiance (Réglages > Votre nom > Connexion et sécurité > Récupération de compte). Ou imprimez votre clé de récupération iCloud et mettez-la dans un coffre.
Le support navigateur sur un poste public
Vous êtes au café internet à Madrid (scénario rare mais) et vous voulez vous connecter à votre Gmail qui a un passkey. Le navigateur du café ne connait pas vos passkeys.
Solution : Scannez le QR code avec votre téléphone. Votre téléphone (qui a le passkey via Bluetooth proximity) signe le challenge. Ça marche. Essayez-le au moins une fois avant de partir en voyage.
Les sites qui gardent le mot de passe en parallèle
Même après avoir créé un passkey sur Amazon, Amazon garde votre ancien mot de passe. Si quelqu’un devine votre mot de passe, il peut contourner le passkey.
Solution : Une fois votre passkey créé et testé, changez votre mot de passe pour un aléatoire de 40 caractères généré par Bitwarden, que vous ne tapez jamais nulle part.
Le partage familial
Vous voulez partager un compte Netflix avec votre conjointe. Avec un mot de passe, vous lui donnez le mot de passe. Avec un passkey… c’est plus compliqué. Les passkeys sont liés à des appareils / comptes individuels.
Solution : Les gestionnaires de famille (1Password Families) supportent le partage de passkeys depuis mi-2024. iCloud Keychain aussi via Partage familial. Mais c’est pas aussi simple qu’un mot de passe partagé. C’est un vrai accroc, je ne vais pas le cacher.
Mythe à démonter : « les passkeys, c’est de la biométrie dans le cloud »
J’entends souvent cette peur. « Mes empreintes digitales vont être envoyées à Google ou Apple. »
C’est faux. Vos empreintes, votre visage, votre NIP d’appareil ne quittent JAMAIS votre appareil. La biométrie sert uniquement à déverrouiller la clé privée locale. Ensuite, la clé privée signe un défi cryptographique, et c’est la signature qui est envoyée — pas votre empreinte, pas votre visage.
Techniquement : les données biométriques sont stockées dans la Secure Enclave (Apple) ou le TEE/StrongBox (Android), des puces dédiées isolées du reste du système. Même le système d’exploitation ne peut pas lire les empreintes brutes. Google ni Apple ne les voient.
Si quelqu’un vous raconte que les passkeys « envoient votre visage au cloud », poliment, corrigez-le.
Ce que je fais personnellement
J’ai activé des passkeys sur : Google, Apple ID, Microsoft, GitHub, Amazon.ca, Shopify (mes boutiques), X/Twitter, LinkedIn, Adobe, PayPal, Best Buy, Nintendo.
Pour les comptes québécois qui ne supportent pas encore (AccèsD, Hydro, SAAQ, Revenu Québec), j’ai activé la 2FA par Authy ou Google Authenticator. Pas par SMS — jamais par SMS.
Je stocke mes passkeys dans Bitwarden Premium pour qu’ils soient portables entre mon iPhone et mon PC Windows. Certains restent dans iCloud Keychain par paresse, mais la meilleure pratique, c’est le gestionnaire tiers.
Je pense que dans 3 ans, taper un mot de passe sera aussi rare que brancher un modem RJ-11.
Besoin d’aide pour migrer au Québec ?
Activer les passkeys sur 20 services, comprendre les différences entre iCloud Keychain, Google Password Manager, et un gestionnaire tiers, configurer la récupération correctement… ça peut prendre 2-3 heures si on fait ça bien du premier coup.
Sequr accompagne particuliers et PME pour migrer vers les passkeys. À distance, partout au Québec. Configuration, formation, plan de récupération.
À mon avis, les passkeys sont la seule innovation de sécurité grand public de la dernière décennie qui est à la fois plus sûre ET plus simple que l’ancien système. C’est rare. Profitez-en.
FAQ
Qu’est-ce qu’un passkey exactement?
Un passkey est une clé cryptographique stockée sur votre appareil (iPhone, Mac, Android, PC) qui remplace le mot de passe. Quand un site demande un passkey, votre appareil prouve votre identité en utilisant la biométrie (Face ID, Touch ID) ou le NIP de l’appareil. Aucun secret n’est envoyé au site — ce qui rend l’hameçonnage impossible.
Si je perds mon iPhone, est-ce que je perds mes passkeys?
Non. Vos passkeys sont synchronisées via iCloud Keychain (Apple), Google Password Manager (Android) ou votre gestionnaire de mots de passe (Bitwarden, 1Password). Sur un nouvel appareil, après connexion à votre compte iCloud ou Google, vos passkeys réapparaissent.
Est-ce que Desjardins utilise les passkeys en 2026?
Pas encore pour AccèsD Particuliers, mais AccèsD Entreprises a commencé à tester le support WebAuthn. Hydro-Québec et Revenu Québec n’ont pas encore annoncé de calendrier. Les géants privés (Google, Apple, Microsoft, Amazon) sont déjà compatibles.
Les passkeys remplacent-ils vraiment la 2FA?
Oui. Un passkey combine déjà deux facteurs : quelque chose que vous avez (l’appareil) et quelque chose que vous êtes (biométrie) ou que vous savez (NIP appareil). Pas besoin de code SMS ou d’app authenticator en plus.
Puis-je utiliser un passkey sur plusieurs appareils?
Oui. Un passkey créé sur votre iPhone est automatiquement synchronisé sur votre Mac (même Apple ID) et Bitwarden/1Password fait la même chose multi-plateformes. Pour un appareil tiers (le PC d’un ami, un ordinateur public), vous scannez un QR code avec votre téléphone.
