Microsoft tourne la page des mots de passe. Dès le mois d’août 2025, l’entreprise cessera de prendre en charge les mots de passe enregistrés dans son application Authenticator, au profit d’une nouvelle méthode d’authentification plus sécuritaire : les clés d’accès (passkeys). Une transition présentée comme inévitable à l’ère des cybermenaces grandissantes.

Ce changement n’est pas qu’un détail technique. Il vise à enrayer les mauvaises habitudes, encore très répandues, liées aux mots de passe : 49 % des adultes américains admettent réutiliser les mêmes identifiants sur plusieurs services, ou inclure leur nom ou leur date de naissance. Autant de pratiques qui facilitent les attaques par hameçonnage, vol d’identité et autres intrusions.

Microsoft Authenticator, qui permettait de stocker et de remplir automatiquement des mots de passe sur appareils mobiles, verra ces fonctions désactivées progressivement d’ici août. L’entreprise a officiellement prévenu ses utilisateurs : les mots de passe enregistrés dans l’application seront supprimés. Ceux qui utilisent Authenticator comme gestionnaire de mots de passe devront exporter leurs identifiants vers un autre service dans les semaines à venir.

Pour celles et ceux qui n’ont pas encore adopté un gestionnaire externe, il est crucial de savoir que les mots de passe exportés ne sont pas cryptés par défaut. Microsoft recommande de les importer immédiatement dans un outil de confiance, comme celui intégré à Edge, ou un gestionnaire tiers, et d’effacer ensuite le fichier d’exportation pour éviter toute fuite accidentelle.

Le calendrier est clair : dès juin, il sera impossible d’ajouter de nouveaux mots de passe dans Microsoft Authenticator ; en juillet, la fonction de remplissage automatique disparaîtra ; et en août, tous les mots de passe enregistrés seront désactivés. Ceux qui voudront continuer à utiliser des mots de passe devront alors passer par Microsoft Edge.

Mais Microsoft et les experts en cybersécurité recommandent plutôt d’embrasser les passkeys. Selon Attila Tomaschek, journaliste spécialisé chez CNET, ces nouvelles clés d’accès utilisent la cryptographie à double clé pour valider l’identité de l’usager, évitant ainsi les failles humaines inhérentes aux mots de passe traditionnels. Et contrairement à ces derniers, les passkeys ne sont pas stockées sur des serveurs distants, mais uniquement sur l’appareil de l’utilisateur.

En pratique, le système repose sur des identifiants biométriques, empreinte, reconnaissance faciale, ou un NIP local. L’expérience utilisateur devient à la fois plus fluide et plus sûre, sans devoir retenir ni gérer une série de mots de passe.

Pour activer un passkey via Microsoft Authenticator, il suffit d’ouvrir l’application, de sélectionner son compte, puis de choisir l’option « Configurer une clé d’accès ». L’utilisateur devra s’authentifier une première fois, puis l’application proposera automatiquement d’enregistrer un passkey par défaut.

La fin des mots de passe est donc actée, au moins chez Microsoft. Et même si cette transition ne règle pas tous les défis de cybersécurité, elle marque un pas important vers une authentification plus robuste et plus simple pour des millions d’utilisateurs.

Source : Microsoft

+++

Tous les jours de la semaine, du lundi au vendredi, Bruno Guglielminetti vous propose un regard sur l’essentiel de l’actualité numérique avec 120 secondes de tech.