Faut-il abandonner complètement les mots de passe en 2026 ?

Non, pas encore. Les passkeys couvrent les grands services (Google, Microsoft, Apple, Amazon, GitHub, PayPal, certaines banques), mais une majorité de sites web et d'applications professionnelles ne les supportent pas encore. La bonne posture en 2026 consiste à adopter les passkeys partout où ils sont disponibles et à conserver un gestionnaire de mots de passe robuste pour le reste.

Un passkey peut-il être volé par hameçonnage ?

Non. Le passkey contient une signature cryptographique liée au domaine du service. Si un site frauduleux imite la page de connexion de votre banque, votre appareil refuse de signer le challenge parce que le domaine ne correspond pas. C'est précisément ce qui rend les passkeys immunisés à l'hameçonnage classique.

Que se passe-t-il si je perds mon téléphone qui contient mes passkeys ?

Tout dépend du gestionnaire utilisé. Apple Trousseau et Google Password Manager synchronisent vos passkeys dans le cloud chiffré de bout en bout, donc un nouvel appareil retrouve vos clés après authentification. Bitwarden et 1Password fonctionnent de manière similaire à condition d'avoir activé la synchronisation et de connaître votre mot de passe maître. La perte d'un appareil unique sans synchronisation reste catastrophique.

Bitwarden gratuit est-il suffisant pour un usage personnel ?

Oui, dans la majorité des cas. La version gratuite de Bitwarden inclut le coffre illimité, la synchronisation multi-appareils, le générateur de mots de passe et le support des passkeys. La version premium à 10 USD par an ajoute principalement le générateur de codes 2FA intégré, l'audit de fuites avancé et 1 Go de stockage chiffré pour fichiers.

Apple Trousseau est-il vraiment sécurisé ?

Oui, le chiffrement est solide et les passkeys reposent sur la Secure Enclave des appareils Apple. Le problème n'est pas technique mais structurel : si vous quittez l'écosystème Apple ou si Apple suspend votre compte, récupérer ses identifiants devient laborieux. Pour cette raison, la rédaction recommande Apple Trousseau comme complément, pas comme solution unique.

Comment partager un mot de passe avec son conjoint ou sa famille ?

Bitwarden et 1Password proposent tous deux des plans famille (Bitwarden Families à 40 USD par an pour 6 personnes, 1Password Families à 60 USD par an pour 5 personnes) qui permettent de partager des dossiers chiffrés. Apple et Google proposent un partage plus limité via leurs groupes familiaux respectifs. Évitez absolument les partages par message, courriel ou fichier texte.

Mots de passe 2026 : Bitwarden vs 1Password vs passkeys

Le mot de passe traditionnel s'efface lentement au profit des passkeys, ces clés cryptographiques qui éliminent l'hameçonnage. Mais la transition n'est ni instantanée, ni évidente. La rédaction compare les principaux gestionnaires de mots de passe en 2026 — Bitwarden, 1Password, Apple Trousseau, Google Password Manager — et documente la marche à suivre pour adopter les passkeys sans se retrouver enfermé dans un écosystème.

Le mot de passe traditionnel a fait son temps. Pas encore mort, mais déclinant. En 2026, les grandes plateformes — Google, Microsoft, Apple, Amazon, GitHub, PayPal — proposent toutes une alternative : le passkey. Une clé cryptographique stockée dans le matériel sécurisé de votre téléphone ou de votre ordinateur, qui remplace la combinaison nom d’utilisateur plus mot de passe par une simple authentification biométrique. Plus de phrase à retenir, plus de risque d’hameçonnage, plus de fuite massive d’identifiants.

Mais la transition est loin d’être propre. Tous les services ne supportent pas encore les passkeys. Les écosystèmes Apple et Google offrent une expérience native, mais enferment l’utilisateur. Les gestionnaires indépendants comme Bitwarden et 1Password ont rattrapé leur retard, mais demandent un effort de configuration. Et derrière la promesse marketing du « sans mot de passe », il reste des questions concrètes : que se passe-t-il si on perd son téléphone ? Comment partager un compte avec son conjoint ? Comment ne pas se retrouver coincé dans un écosystème dont on ne peut plus sortir ?

La rédaction a passé en revue les quatre solutions dominantes en 2026 — Bitwarden, 1Password, Apple Trousseau, Google Password Manager — et propose ici un guide pragmatique pour passer aux passkeys sans se faire piéger.

Pourquoi le mot de passe traditionnel s’efface

Les chiffres de 2025 et début 2026 sont accablants. Selon le rapport annuel de Verizon Data Breach, plus de 80 % des compromissions de comptes en ligne en 2025 impliquaient des identifiants volés ou réutilisés. Le credential stuffing — cette technique qui consiste à essayer en masse les couples adresse-mot-de-passe issus de fuites précédentes sur d’autres services — touche désormais en moyenne 2,3 milliards de tentatives par jour à travers le monde, selon Akamai.

Le problème fondamental est structurel. Un mot de passe est un secret partagé : l’utilisateur le connaît, le service le connaît (sous forme de hash, idéalement). Si le service est compromis, ou si l’utilisateur est piégé par un site d’hameçonnage qui copie la page de connexion, le secret fuit. Aucun mot de passe, aussi long et aussi unique soit-il, ne résiste à un utilisateur qui le tape sur la mauvaise page. La rédaction a publié il y a quelques mois une méthode pour fabriquer un mot de passe robuste qui reste utile pour les services sans passkey, mais qui ne peut pas, à elle seule, protéger contre l’hameçonnage.

L’authentification à deux facteurs (2FA) par SMS ou par application a longtemps été présentée comme la solution. Elle réduit le risque, mais elle ne l’élimine pas. Les attaques par SIM swapping détournent les codes SMS. Les pages d’hameçonnage évoluées capturent désormais les codes 2FA en temps réel via des proxies inverses. Le canal SMS lui-même est devenu un vecteur d’attaque massif — voir les sept signaux qui démasquent une arnaque par SMS en moins de dix secondes que la rédaction a recensés. Le seul moyen d’éliminer véritablement l’hameçonnage est de retirer le secret partagé de l’équation.

Qu’est-ce qu’un passkey

Un passkey est une paire de clés cryptographiques générée par votre appareil. La clé privée reste sur votre téléphone ou votre ordinateur, stockée dans une zone de mémoire sécurisée — la Secure Enclave sur les iPhone et Mac récents, le TPM (Trusted Platform Module) sur les PC Windows, l’élément sécurisé Titan sur les appareils Pixel. La clé publique est envoyée au service lors de l’inscription.

Quand vous vous connectez, le service vous envoie un défi cryptographique aléatoire. Votre appareil le signe avec la clé privée — après vous avoir demandé une authentification biométrique (empreinte, visage) ou un code PIN local. Le service vérifie la signature avec la clé publique et vous laisse entrer. À aucun moment, un secret n’a transité par le réseau.

Cette mécanique repose sur le standard FIDO2 (Fast IDentity Online) et sa déclinaison WebAuthn pour le web. Ce sont des normes ouvertes, soutenues par l’Alliance FIDO qui regroupe Apple, Google, Microsoft, Mozilla, et la majorité des grands acteurs de l’industrie. Pas de protocole propriétaire, pas d’enfermement technique au niveau de la norme — l’enfermement vient des implémentations.

Pourquoi les passkeys éliminent l’hameçonnage

Le détail crucial, qui change tout, c’est que la signature cryptographique est liée au domaine. Quand votre appareil signe le défi pour compte.amazon.fr, il refuse catégoriquement de le signer pour compte-amazon-securite.com, même si la page imite à la perfection celle d’Amazon. Le navigateur (ou le système d’exploitation) vérifie l’origine de la requête avant de transmettre la demande à l’authentificateur biométrique.

Cela signifie qu’un utilisateur peut cliquer sur un lien d’hameçonnage par inadvertance, voir une page parfaite, et tenter de se connecter : son téléphone refusera tout simplement de produire la signature. Pas d’erreur humaine possible. Pas de mot de passe à taper. Pas de code 2FA à saisir. Le contraste avec le retraçage d’une page d’hameçonnage bancaire que la rédaction a documenté est saisissant : avec un passkey, la page d’hameçonnage cesse simplement d’avoir une victime à manipuler.

C’est probablement le bénéfice le plus sous-estimé des passkeys dans la communication grand public. La presse insiste sur le confort (« plus besoin de retenir des mots de passe »), mais le vrai gain est la fin de l’hameçonnage classique. Pour des publics vulnérables — personnes âgées, adolescents, employés peu formés — c’est un changement de paradigme.

Comparatif visuel des écosystèmes de gestionnaires de mots de passe en 2026

Bitwarden : le meilleur rapport qualité-prix

Bitwarden domine en 2026 le segment des gestionnaires open-source. Le code source est public, audité régulièrement, et l’entreprise (basée à Santa Barbara) publie ses rapports de sécurité de manière transparente. La version gratuite couvre l’essentiel : coffre illimité, synchronisation entre appareils, générateur de mots de passe, et — depuis 2024 — gestion native des passkeys.

La version Premium, à 10 USD par an, ajoute le générateur de codes 2FA intégré (TOTP), l’audit de fuites de données via Have I Been Pwned, le rapport de santé du coffre, et 1 Go de stockage chiffré pour fichiers sensibles (passeport scanné, contrats). La version Families, à 40 USD par an pour six personnes, permet le partage de dossiers chiffrés.

Les forces de Bitwarden : multi-plateformes (Windows, macOS, Linux, iOS, Android, extensions Chrome, Firefox, Safari, Edge), chiffrement AES-256 avec dérivation de clé Argon2id par défaut depuis 2023, possibilité d’auto-hébergement pour les paranoïaques (et c’est une vraie possibilité, pas un argument marketing), interface honnête sans tentative d’upselling agressif.

Les faiblesses : l’interface est moins polie que celle de 1Password, l’application mobile reste perfectible sur certaines tâches comme l’auto-remplissage dans les applications Android. La gestion des passkeys, bien qu’opérationnelle, est moins fluide que chez Apple ou 1Password. Pour renforcer la sécurité mobile en complément, la revue des permissions d’applications sur Android et iOS est un geste recommandé.

1Password : le premium complet

1Password reste le gestionnaire le plus abouti côté expérience utilisateur. Plus de version gratuite depuis 2022, mais un abonnement individuel à 36 USD par an et un plan Families à 60 USD par an pour cinq personnes. Le surcoût se justifie par une interface remarquablement soignée, un support passkeys parmi les plus avancés du marché, et des fonctionnalités professionnelles (Secret Automation pour les équipes de développement, intégration avec les outils d’entreprise).

Les passkeys dans 1Password sont stockés dans votre coffre — donc multi-plateformes et indépendants de l’écosystème de l’appareil. C’est une différence majeure avec Apple Trousseau ou Google Password Manager : un passkey créé via 1Password fonctionnera identiquement sur votre iPhone, votre Mac, votre PC Windows, ou un Linux que vous utiliseriez ponctuellement.

1Password intègre Watchtower, un tableau de bord de sécurité qui scanne votre coffre pour détecter les mots de passe faibles, réutilisés, compromis dans des fuites publiques, ou stockés sur des sites qui supportent désormais les passkeys (et donc qu’il faudrait migrer). C’est l’un des outils les plus pédagogiques du marché.

Le défaut principal : le prix. Pour un utilisateur seul qui n’a pas besoin de fonctionnalités avancées, Bitwarden gratuit ou Premium fait le même travail pour beaucoup moins cher.

Apple Trousseau : intégré mais enfermé

Apple Trousseau (iCloud Keychain) est le gestionnaire intégré aux appareils Apple. Gratuit, fonctionnel, soigné, il synchronise mots de passe et passkeys de manière transparente entre iPhone, iPad, Mac, et même Apple Watch. Le support des passkeys est natif depuis iOS 17 (sortie en septembre 2023) et reste, en 2026, l’expérience la plus fluide du marché — à condition de rester dans l’écosystème Apple.

Et c’est là le piège. Si vous utilisez aussi un PC Windows, un téléphone Android pour le travail, ou simplement un navigateur autre que Safari sur votre Mac, Apple Trousseau devient laborieux. Une extension iCloud existe pour Chrome et Edge sur Windows, mais elle est limitée. Sur Linux, rien.

Apple a annoncé en 2025 une amélioration progressive de l’export de passkeys vers d’autres gestionnaires, mais en 2026 la situation reste asymétrique : il est plus facile d’entrer dans l’écosystème Apple Trousseau que d’en sortir avec ses identifiants. Pour cette raison, la rédaction le recommande comme gestionnaire d’appoint, pas comme gestionnaire principal — sauf pour les utilisateurs strictement Apple, qui n’ont aucun besoin multi-plateforme prévisible.

Google Password Manager : pratique mais entremêlé

Google Password Manager est intégré à Chrome et à Android. Gratuit, omniprésent, fonctionnel. Il supporte les passkeys depuis fin 2023 et synchronise via votre compte Google. L’expérience sur Android est très proche de celle d’Apple Trousseau sur iOS : le système propose les bons identifiants au bon moment, génère des mots de passe forts, prévient des fuites détectées dans les bases de données publiques.

Le problème est le même qu’avec Apple, en plus prononcé : Google a déjà accès à beaucoup de votre vie numérique, et confier en plus la gestion de tous vos identifiants à la même entreprise concentre le risque. Une suspension de compte Google — phénomène pas si rare, et notoirement difficile à contester — bloquerait l’accès à tous vos comptes en cascade.

L’export reste possible mais inconfortable, et l’utilisation hors de l’écosystème Chrome / Android est limitée. Comme Apple Trousseau, c’est un excellent gestionnaire de complément, pas une solution unique pour qui veut garder son indépendance numérique.

Comparatif honnête : ce qui compte vraiment

Au-delà du prix, quatre critères distinguent réellement les solutions en 2026.

Indépendance. Bitwarden et 1Password fonctionnent partout, sans dépendance à un système d’exploitation ou à un fournisseur. Apple Trousseau et Google Password Manager ne fonctionnent pleinement que dans leur propre univers.

Audit et transparence. Bitwarden est open-source, vérifiable. 1Password publie des audits réguliers par des cabinets indépendants. Apple et Google publient peu sur la mécanique interne de leurs gestionnaires. Pour un utilisateur qui veut comprendre ce qui protège ses identifiants, l’écart est significatif.

Partage et famille. Bitwarden Families et 1Password Families sont conçus pour le partage chiffré entre proches, avec gestion fine des permissions. Apple et Google proposent des partages plus limités, intégrés à leurs groupes familiaux mais moins granulaires.

Continuité en cas de problème. C’est le critère le plus négligé. Que se passe-t-il si l’entreprise ferme, si votre compte est suspendu, si vous décédez ? Bitwarden permet l’export en clair (à manipuler avec extrême précaution) et l’auto-hébergement. 1Password propose un Emergency Kit imprimable et une procédure de récupération familiale. Apple et Google ont chacun leur procédure de succession numérique, mais qui dépend de leurs serveurs.

Représentation conceptuelle d'un passkey et de la clé privée dans un module de sécurité

Migrer vers un gestionnaire : la marche à suivre

Si vous partez de zéro — c’est-à-dire de mots de passe stockés dans la mémoire du navigateur, dans un fichier texte, ou pire, dans la tête — la migration prend une demi-journée mais transforme durablement votre hygiène numérique.

Première étape, exporter vos mots de passe existants. Tous les navigateurs modernes (Chrome, Firefox, Safari, Edge) proposent une fonction d’export en CSV. Le fichier sera en clair — à supprimer immédiatement après usage. Importer ce CSV dans Bitwarden ou 1Password prend quelques secondes via leur interface dédiée.

Deuxième étape, choisir un mot de passe maître robuste. C’est le seul mot de passe qu’il vous restera à retenir. Il doit être long (15 caractères minimum), unique, jamais réutilisé ailleurs, et idéalement basé sur une phrase plutôt que sur des caractères aléatoires (plus facile à mémoriser, équivalent en sécurité). Notez-le sur un support physique stocké dans un endroit sûr (coffre-fort domestique, par exemple). Ne le tapez jamais sur un appareil partagé.

Troisième étape, activer l’authentification à deux facteurs sur votre compte de gestionnaire. Pas par SMS — par application TOTP ou, mieux, par clé physique de type YubiKey. Le compte du gestionnaire est désormais le maillon le plus sensible de toute votre vie numérique : il mérite la protection la plus forte disponible.

Quatrième étape, parcourir progressivement vos comptes existants pour remplacer les mots de passe faibles ou réutilisés. Le gestionnaire vous indique généralement lesquels prioriser. Comptez deux à trois semaines pour traiter une centaine de comptes au rythme d’une dizaine par jour.

Activer les passkeys sur les grands services

Les procédures se ressemblent : aller dans les paramètres de sécurité du compte, chercher l’option « passkey » ou « clé d’accès », confirmer. Voici les principales en 2026 :

Google : myaccount.google.com → Sécurité → Comment vous connectez à Google → Clés d’accès. Création immédiate via authentification biométrique de l’appareil.

Microsoft : account.microsoft.com → Sécurité → Options de connexion avancées → Ajouter une clé d’accès. Compatible avec les comptes personnels et professionnels Microsoft 365.

Apple : la procédure passe par les Réglages de l’appareil, pas par un site web. Réglages → identifiant Apple → Connexion et sécurité → Clés d’accès. La synchronisation iCloud est nécessaire.

Amazon : amazon.fr (ou .ca) → Votre compte → Connexion et sécurité → Passkey. Disponible depuis fin 2023.

GitHub : github.com/settings/security → Passkeys → Add a passkey. La création nécessite que votre 2FA soit déjà actif.

PayPal : paypal.com → Paramètres → Sécurité → Passkey. Disponible dans la plupart des pays depuis 2024.

Un point important : à chaque création de passkey, le service vous laisse généralement le choix de l’authentificateur. Si vous voulez stocker votre passkey dans Bitwarden ou 1Password plutôt que dans Apple Trousseau ou Google Password Manager, sélectionnez explicitement votre gestionnaire au moment de la création. Sans cela, le navigateur ou le système choisira le gestionnaire par défaut, qui est presque toujours celui de l’écosystème.

Sauvegarder son coffre-fort

Un gestionnaire de mots de passe synchronisé dans le cloud (Bitwarden cloud, 1Password cloud, iCloud, Google) est en théorie déjà sauvegardé. En théorie. Dans la pratique, l’historique connaît plusieurs cas de comptes suspendus, fermés par erreur, ou compromis — avec des utilisateurs qui se sont retrouvés sans accès à leur coffre.

La rédaction recommande systématiquement une sauvegarde locale chiffrée du coffre, à raffraîchir une fois par trimestre. Bitwarden permet l’export au format JSON chiffré (avec un mot de passe distinct du mot de passe maître). 1Password fournit un Emergency Kit PDF imprimable, complété par un export 1pux. Cette sauvegarde doit être stockée sur un support hors-ligne — clé USB chiffrée gardée dans un tiroir, disque dur externe — et idéalement dupliquée chez un proche de confiance.

C’est exactement le sujet que la rédaction a documenté dans son guide de la sauvegarde des données : la règle 3-2-1 (trois copies, deux supports différents, une copie hors site) s’applique à votre coffre-fort de mots de passe encore plus qu’à vos photos de famille. Pour qui veut compléter cette stratégie par un choix rigoureux de l’outil, choisir le bon gestionnaire de mots de passe en 2026 implique d’évaluer Bitwarden, 1Password et leurs alternatives sur des critères pratiques de sécurité, de prix et de portabilité plutôt que sur la seule notoriété. Pour les lecteurs qui souhaitent consolider leur vocabulaire de base en cybersécurité, notre lexique cybersécurité 2026 explique sans jargon les 30 termes essentiels — dont la définition précise du chiffrement à connaissance nulle qui protège votre coffre-fort de mots de passe.

Que faire en cas de perte du coffre-fort

Trois scénarios méritent d’être anticipés.

Mot de passe maître oublié. Aucun gestionnaire ne peut le récupérer, c’est précisément la définition d’un chiffrement à connaissance nulle. Bitwarden permet de configurer une « réinitialisation par administrateur » dans les plans Families et Enterprise, et un proche désigné peut donc récupérer un compte oublié. 1Password propose une fonction « Family Recovery » similaire. Apple et Google reposent sur leur procédure de récupération de compte, plus laborieuse. Sans plan de famille et sans Emergency Kit imprimé, un mot de passe maître oublié signifie la perte définitive du coffre.

Vol du téléphone. Si la synchronisation cloud est active, un nouvel appareil retrouvera vos identifiants après réauthentification. Profitez-en pour révoquer immédiatement les sessions actives sur l’ancien appareil depuis le tableau de bord du gestionnaire. Si vous utilisez des passkeys liés à un appareil unique sans synchronisation, la perte est plus grave — chaque service devra être récupéré individuellement via les procédures classiques.

Succession. Préparez un Emergency Kit physique (1Password) ou son équivalent fait maison pour Bitwarden : un document indiquant le service utilisé, l’adresse courriel du compte, et un mot de passe maître scellé dans une enveloppe stockée chez un notaire ou dans un coffre-fort domestique. Sans cette préparation, vos héritiers ne pourront pas accéder à vos comptes en ligne en cas de décès.

Quand le mot de passe traditionnel reste utile

Soyons clairs : en 2026, les passkeys ne couvrent pas tout. Beaucoup de services bancaires européens et québécois traînent encore. Des milliers d’applications professionnelles, de sites administratifs, de petits services en ligne ne supporteront pas les passkeys avant plusieurs années.

Pour ces services, le mot de passe traditionnel — long, unique, généré par votre gestionnaire — reste la bonne réponse. Un gestionnaire moderne combine donc deux fonctions complémentaires : stocker des mots de passe robustes pour les services qui n’ont pas migré, et conserver les passkeys pour ceux qui les supportent. Les deux mondes coexisteront probablement encore une décennie.

L’important est de ne pas attendre que tout migre pour commencer. Adopter dès maintenant un gestionnaire indépendant et activer les passkeys sur les services qui les supportent réduit immédiatement votre surface d’attaque, sans attendre une transition générale qui prendra des années à se compléter.

Gestionnaires de mots de passe et passkeys en 2026 : ce qui change vraiment