En août 2022, je sens qu’un vieux pilier de l’informatique commence enfin à craquer: le mot de passe. Comme Directeur TI chez HLC, j’en gère les dégâts depuis des années — mots de passe réutilisés, oubliés, hameçonnés, retrouvés dans des fuites massives. Pis là, pour la première fois, je vois une alternative crédible prendre forme. Les grands joueurs poussent les « passkeys », des clés d’accès qui pourraient, à terme, faire disparaître le mot de passe. C’est un changement de fond, pas juste une mode.

Le mot de passe a toujours été le maillon faible. Trop court, on le devine; trop long, on l’oublie; réutilisé partout, une seule fuite ouvre dix portes. Pis surtout, il se fait hameçonner: un faux site, un courriel piégé, pis l’utilisateur donne lui-même sa clé. Tout notre métier de sécurité tourne autour de ce point fragile depuis des décennies.

Pourquoi le mot de passe perd du terrain

flowchart TD
    A[Le mot de passe] --> B[Reutilise partout]
    A --> C[Oublie ou trop simple]
    A --> D[Hameconnable: l'usager le donne]
    A --> E[Retrouve dans les fuites massives]
    B --> F{Maillon faible de la securite}
    C --> F
    D --> F
    E --> F
    F --> G[Passkeys / cles FIDO]
    G --> H[Cle liee a l'appareil, jamais partagee]
    G --> I[Biometrie locale: visage, empreinte]
    G --> J[Resiste a l'hameconnage par design]
    H --> K[Identite plus forte ET plus simple]
    I --> K
    J --> K

Ce qui me convainc avec les passkeys, c’est qu’elles attaquent le problème à la racine. Au lieu d’un secret qu’on tape (et qu’on peut donc voler ou se faire soutirer), c’est une clé cryptographique liée à l’appareil, déverrouillée par la biométrie locale — visage, empreinte. Rien à retenir, rien à taper, rien à donner à un faux site. L’hameçonnage classique ne marche plus, parce qu’il n’y a plus de secret à hameçonner.

Plus fort ET plus simple

Ce qui me réjouit le plus, comme directeur, c’est rare: une amélioration de sécurité qui rend aussi la vie plus simple. D’habitude, sécuriser veut dire ajouter de la friction. Là, c’est l’inverse. Moins d’étapes pour l’usager, plus de protection. Pour nos dealers, souvent peu férus de technique, une connexion par empreinte ou par visage, c’est plus facile qu’un mot de passe compliqué.

Je reste prudent, par contre. La transition prendra des années. Il faut gérer la perte d’appareil, les comptes de secours, la compatibilité avec les vieux systèmes. On ne débranche pas le mot de passe du jour au lendemain. Mais pour la première fois, je vois une vraie porte de sortie, pis ça, après des années à colmater les fuites, ça fait du bien.

Ce que je retiens

En août 2022, je vois le mot de passe commencer pour de vrai à perdre du terrain. Maillon faible depuis toujours — réutilisé, oublié, hameçonnable, exposé dans les fuites — il trouve enfin une relève crédible avec les passkeys. Une clé liée à l’appareil, déverrouillée par la biométrie locale, qui résiste à l’hameçonnage par sa conception même.

Ce que je retiens, comme Directeur TI, c’est la rareté d’une avancée qui renforce la sécurité tout en simplifiant la vie de l’usager. D’habitude, protéger veut dire compliquer; ici, c’est l’inverse. Je reste lucide sur la transition — elle sera longue, avec ses cas de perte d’appareil pis de compatibilité. Mais après des années à colmater des fuites de mots de passe, voir poindre une vraie porte de sortie, ça change l’horizon. Le mot de passe n’est pas mort en 2022, mais il vient de commencer son long déclin.