En 2026, les mots de passe ont déjà perdu la guerre : les chiffres qui le prouvent

Début 2026, la France a encaissé une série de coups qui auraient dû sonner comme une alarme nationale. Le portail Service-public.fr victime d’une fuite d’usagers. Cegedim exposant les données de 15 millions de Français. Le fichier FICOBA avec 1,2 million de comptes bancaires compromis. Des fédérations sportives touchées dans la même vague. une architecture défaillante qui se répète.
À l’échelle mondiale, les chiffres sont vertigineux. Sur la seule première moitié de 2025, plus de 16 milliards de mots de passe ont été divulgués selon la FIDO Alliance. Specops Software, qui a analysé 6 milliards de mots de passe volés sur l’année entière 2025, confirme que la réutilisation reste le vecteur principal : les attaquants récupèrent un identifiant dans une fuite, puis le testent en masse sur d’autres services. Ce mécanisme porte un nom précis – le credential stuffing – et il est dévastateur.
Le CESIN en 2026 relevait que le phishing reste le vecteur dominant à 60% des attaques. Et 33% des consommateurs ont déjà eu un compte compromis ou reçu une notification de fuite selon la FIDO Alliance 2026. Eric Antibi (Palo Alto Networks) l’explique simplement : chaque mot de passe réutilisé crée un point d’entrée supplémentaire, offert gratuitement aux attaquants.
Mais le signal le plus inquiétant vient de Proofpoint, qui alertait dès janvier 2026 : les attaquants cibleront l’authentification elle-même, en cherchant activement à faire régresser les méthodes sécurisées vers des méthodes plus vulnérables. Cela signifie que choisir un meilleur mot de passe n’est pas la solution. L’architecture entière doit changer.
Passkey : pourquoi cette technologie rend le phishing techniquement impossible
Une passkey fonctionne selon un principe simple : votre clé privée reste toujours sur votre appareil. Quand vous vous connectez, votre téléphone ou ordinateur génère une signature cryptographique unique, créée spécifiquement pour ce site et ce moment. Le service reçoit cette signature, jamais le secret qui l’a générée. Et chaque signature change d’un site à l’autre.
Résultat : un faux site de phishing ne peut rien capturer. Il n’y a pas de mot de passe à voler dans un formulaire frauduleux. Le credential stuffing devient impossible puisqu’il n’existe aucun secret partagé à réutiliser ailleurs. l’élimination pure d’une catégorie entière d’attaques.
Gérôme Billois (Wavestone) décrit le changement clairement : on quitte une sécurité qui dépend du comportement de l’utilisateur pour une sécurité portée par le système lui-même. L’utilisateur ne peut plus faire d’erreur parce qu’il n’y a plus rien à mal faire.
Et pour l’expérience : se connecter avec passkey en 2026 prend 0,5 seconde. Taper ou coller un mot de passe complexe prend plusieurs secondes. La sécurité n’ajoute plus de friction.
- Google: paramètres du compte → Sécurité → Passkeys → « Utiliser les passkeys »
- Microsoft 365: mon compte Microsoft → Sécurité → Options de connexion avancées → Passkey
- Amazon: votre compte → Connexion et sécurité → Clé d’accès
Règle de base : enregistrez toujours une passkey sur au moins deux appareils distincts (téléphone + PC ou tablette). Si vous perdez l’un, vous conservez l’accès via l’autre. NordPass, certifié FIDO2, synchronise automatiquement les passkeys sur tous vos terminaux en cas d’utilisation d’un gestionnaire tiers.
À découvrir aussi : L’impact de l’IA sur le monde professionnel.
80% des attaques en 2024 provenaient du phishing selon la FIDO Alliance. La passkey ferme cette porte, structurellement, sans demander à l’utilisateur de devenir expert en détection de sites frauduleux.
Passkeys vs mots de passe + 2FA : le tableau comparatif qui tranche

François Bidondo, CISO de la RATP et membre actif du CESIN, soulève un point crucial souvent oublié : évaluer le risque qui persiste réellement après chaque méthode, pas juste sa résistance théorique. Voici comment les quatre approches se comparent sur les critères qui comptent vraiment en 2026.
| Critère | Mot de passe seul | MDP + 2FA SMS | MDP + 2FA application | Passkey FIDO2 |
|---|---|---|---|---|
| Résistance au phishing | Faible | Faible | Moyenne | Très élevée |
| Résistance au credential stuffing | Faible | Moyenne | Moyenne | Très élevée |
| Vitesse de connexion | Moyenne | Faible (attente SMS) | Moyenne | Très élevée (0,5s) |
| Dépendance au comportement utilisateur | Élevée | Élevée | Moyenne | Faible |
| Risque en cas de fuite de BDD | Très élevé | Élevé | Élevé | Faible (clé publique sans valeur offensive) |
| Compatibilité multi-appareils | Élevée | Élevée | Moyenne | Élevée (sync FIDO2) |
| Coût de déploiement entreprise | Faible | Faible | Moyen | Moyen à élevé (legacy) |
Le 2FA par SMS reste le maillon faible : les attaques par SIM swapping le contournent facilement et rien ne l’arrête si l’attaquant vous cible en temps réel. Le 2FA par application est meilleur, mais un faux site bien conçu peut vous piéger et capturer le code avant que vous vous aperceviez de quelque chose. Seule la passkey rompt ce lien entre la capture et l’exploitation.
5 milliards de passkeys déployées : Google, Apple, Microsoft et les autres ont déjà basculé
Le 7 mai 2026, lors de la Journée mondiale des passkeys, la FIDO Alliance a annoncé le chiffre officiel : 5 milliards de passkeys en usage mondial. Ce n’est plus un test – c’est une infrastructure qui fonctionne à l’échelle planétaire.
Le matériel suit le mouvement. Apple a dépassé 900 millions d’appareils compatibles fin 2025. Microsoft a étendu la prise en charge des passkeys à tous les comptes Microsoft 365 au T4 2025, puis a poussé activement leur adoption en juin 2026. Google, Amazon, Airbnb et Meta les ont intégrées comme méthode par défaut en 2026.
L’exemple de Gemini est le plus révélateur. L’exchange crypto les a rendues obligatoires en mai 2025. Résultat : 269% d’augmentation d’utilisation. Quand on supprime l’option mot de passe, les utilisateurs passent à la passkey – et vite. Chez Shopify, les premiers à proposer la passkey comme seule option rapportent un taux d’adoption qui dépasse 60%.
Par secteur, les données MojoAuth/FIDO Alliance 2026 montrent une adoption à 60% dans la fintech, 35% dans l’e-commerce et 28% en B2B SaaS. Pour les consommateurs : 90% en ont entendu parler, 75% en ont activé au moins une et 49% les utilisent régulièrement quand c’est proposé. En France précisément, 40% des consommateurs l’ont mise en place sur la plupart de leurs comptes selon la FIDO Alliance (avril 2026).
Eric Antibi (Palo Alto Networks) parle d’une dynamique que les grands éditeurs ne peuvent plus freiner. Et les chiffres confirment qu’il a raison.
À lire aussi : L’impact de l’IA sur le monde professionnel.
Les entreprises françaises ont-elles vraiment abandonné les mots de passe en 2026 ?
82% des entreprises déclarent vouloir abandonner l’authentification par mot de passe selon la FIDO Alliance 2026. Mais seulement 68% ont déployé ou travaillent à un déploiement pour leurs salariés. Cet écart révèle toute la difficulté de la transition.
Les obstacles sont réels : applications anciennes incompatibles FIDO2, coût de remplacement des systèmes informatiques, équipes IT attachées à leurs outils actuels et surtout la question de qui contrôle la passkey dans un contexte B2B. Comment gérer une passkey partagée ? Que faire quand un employé s’en va ?
François Bidondo (CISO RATP) décrit concrètement ce déploiement sur des milliers d’employés très différents les uns des autres : un agent de maintenance sur le terrain ne manipule pas la technologie comme un développeur au siège. Imposer les passkeys sans préparation crée des obstacles nouveaux : certains resteraient verrouillés hors de leurs comptes.
Proofpoint alertait en janvier 2026 sur une menace précise aux grandes organisations : les attaquants chercheront à forcer la bascule vers l’arrière, vers l’authentification moins sécurisée – ce qu’on appelle les downgrade attacks. Un système qui garde le mot de passe comme solution de secours reste vulnérable à cette tactique.
Une passkey peut-elle être piratée si mon téléphone est volé ?
La clé privée est protégée par l’authentification de votre appareil – empreinte digitale, Face ID ou code PIN. Quelqu’un qui vole votre téléphone sans accès à ce second facteur ne peut pas extraire la clé. Et même en cas d’accès direct, la clé ne fonctionne que pour le service où elle a été créée.
Que se passe-t-il si je perds tous mes appareils compatibles passkey ?
C’est le scénario à préparer d’avance. Chaque service propose une procédure de secours – codes de récupération, email alternatif, contact du support. La pratique à appliquer : enregistrer votre passkey sur au moins deux appareils différents dès le départ.
Mon employeur peut-il m’imposer les passkeys sans mon consentement ?
Oui, dans le cadre professionnel, un employeur définit ses méthodes d’authentification – c’est une règle de sécurité informatique comme d’autres. Sur les téléphones ou ordinateurs personnels utilisés au travail (BYOD), c’est plus nuancé et dépend de votre charte informatique.
Ce que la vague de fuites françaises de 2026 aurait évité avec des passkeys généralisées
Regardons les incidents du début 2026 sous un autre angle : qu’est-ce qui ne se serait pas produit si les passkeys avaient été partout.
Dans les cas Service-public.fr, Cegedim et FICOBA, le vrai dégât n’a pas été la fuite initiale. C’est ce qui a suivi : des millions d’identifiants testés sur d’autres services – banques, email, réseaux sociaux. Le credential stuffing à grande échelle : une fuite en crée dix autres. Les 15 millions de personnes touchées par Cegedim ne représentent pas 15 millions de victimes sur un seul service – ce sont 15 millions de portes d’entrée potentielles sur tous les autres services où ces mêmes mots de passe traînaient.
Sur le même sujet : Sécurité informatique : Protéger ses données essentielles.
Avec des passkeys généralisées, une fuite change complètement de nature. Les attaquants extraient des clés publiques – des données mathématiquement inutiles pour se connecter ailleurs. Il n’y a plus de secret réutilisable. La fuite reste un problème, mais elle ne se propage pas en cascade.
Gérôme Billois (Wavestone) montre comment la gestion du risque après une fuite se transforme entièrement : l’organisation n’a plus à forcer des millions de réinitialisations, ni à demander aux utilisateurs de changer leurs identifiants partout. Tout s’arrête avec le chiffrement.
Les organisations publiques et de santé portent ici une responsabilité directe. Si les victimes de fuites avaient eu des passkeys plus tôt, l’impact sur les 15 millions de Français touchés par Cegedim aurait été confiné à la fuite elle-même – pas amplifié par deux ans de credential stuffing en silence.
Mon verdict : les passkeys sont meilleures, mais forcer la transition maintenant serait une erreur
Soyons clairs : techniquement, les passkeys gagnent sur tous les terrains. Résistance au phishing – sans débat. Vitesse – 0,5 seconde contre plusieurs secondes de saisie. Fin de la dépendance au comportement de l’utilisateur – enfin une sécurité qui ne compte pas sur tout le monde pour inventer des mots de passe différents partout. Les 5 milliards de passkeys en place au 7 mai 2026 ne sont pas du marketing, c’est la preuve que le système fonctionne vraiment.
Mais j’ai un doute sérieux sur le rythme de transition qu’on nous impose.
Gemini a réussi parce que ses utilisateurs sont technophiles et ont généralement plusieurs appareils récents. On ne peut pas copier-coller ce scénario sur un service français où beaucoup de gens n’ont qu’un téléphone ancien, aucun ordinateur de secours et zéro plan de secours configuré. Forcer la passkey sans infrastructure de récupération solide, c’est créer un problème nouveau : enfermer les gens hors de leurs comptes bancaires ou administratifs.
La vraie urgence en 2026, ce ne sont pas les early adopters. C’est les 25% de consommateurs qui n’ont pas une seule passkey et réutilisent les mêmes mots de passe partout. Eux, ils alimentent le credential stuffing chaque fois qu’une fuite sort. Il ne faut pas les punir ou les forcer – il faut rendre la passkey aussi automatique qu’une mise à jour de téléphone.
Et pour les plateformes qui n’ont toujours pas intégré les passkeys en 2026 : elles portent une responsabilité directe dans les fuites à venir. La technologie existe. Elle marche. Rester inactif, c’est prendre un choix – et ce choix aura des conséquences réelles.
