Passkeys et biométrie sont en train de transformer un geste quotidien : payer en ligne. Là où nous devions autrefois saisir des mots de passe, recopier des codes SMS ou chercher notre carte bancaire, une simple empreinte digitale ou un scan du visage suffit désormais pour valider un achat. Cette évolution ne relève plus de la science‑fiction : elle est déjà intégrée aux grands réseaux de paiement, aux navigateurs modernes et aux principaux systèmes d’exploitation.
Derrière cette simplicité apparente se cache une révolution technologique et réglementaire. Les passkeys, basés sur les standards FIDO2 et WebAuthn, promettent des paiements plus sûrs, plus rapides et plus fluides, tout en réduisant la fraude et l’abandon de panier. Mastercard, Visa, Apple, Microsoft ou encore de grands fintechs se positionnent déjà pour généraliser le paiement par biométrie, tout en répondant aux exigences strictes de la réglementation européenne (PSD2 aujourd’hui, PSD3 demain).
Comprendre les passkeys : payer sans mot de passe
Un passkey est un identifiant cryptographique stocké sur votre appareil (smartphone, ordinateur, tablette) qui remplace le traditionnel couple « identifiant + mot de passe ». Pour payer, vous n’avez plus besoin de retenir une suite complexe de caractères : il suffit de déverrouiller votre passkey avec la biométrie de l’appareil (empreinte, Face ID) ou éventuellement un code PIN local. Le secret cryptographique reste sur le terminal et ne quitte jamais la zone sécurisée de la puce ou de l’enclave de sécurité.
Techniquement, un passkey repose sur une paire de clés : une clé privée gardée sur votre appareil et une clé publique partagée avec le site marchand ou le prestataire de paiement. Lors du paiement, le site vous envoie un « défi » (challenge) que votre appareil signe avec la clé privée, après vérification biométrique. Le commerçant vérifie ensuite cette signature avec la clé publique. Aucun mot de passe n’est transmis, et un attaquant qui intercepterait l’échange ne pourrait pas le réutiliser, ce qui rend les attaques par hameçonnage (phishing) et par rejeu beaucoup plus difficiles.
La FIDO Alliance insiste sur le fait qu’un passkey implémente nativement l’authentification multifacteur (MFA) : l’appareil qui détient le passkey constitue le facteur « possession » (quelque chose que vous avez), tandis que la biométrie ou le PIN qui le déverrouille représente « inhérence » (quelque chose que vous êtes) ou « connaissance » (quelque chose que vous savez). En pratique, un seul geste biométrique au moment du paiement équivaut donc à une authentification forte à deux facteurs, mais sans la complexité ni les irritants habituels des OTP par SMS.
Mastercard Payment Passkey : du SMS à la biométrie
Mastercard fait partie des pionniers avec sa solution « Payment Passkey », qui permet aux consommateurs d’authentifier leurs paiements en ligne directement avec la biométrie de leur appareil ou un PIN, au lieu de mots de passe ou de codes SMS. Une fois inscrit, l’utilisateur n’a plus qu’à confirmer ses achats e‑commerce par une invite biométrique familière, comme un scan d’empreinte ou de visage. Les données biométriques restent strictement sur l’appareil et ne sont jamais partagées avec le commerçant ni avec Mastercard.
Cette approche répond à un constat alarmant : selon Mastercard, 80 % des violations de données confirmées impliquent des mots de passe faibles ou volés. En parallèle, 90 % des utilisateurs considèrent la biométrie comme plus sûre et plus pratique que les mots de passe. En substituant aux OTP la biométrie associée à un passkey, Mastercard réduit l’exposition des données sensibles, tout en offrant une expérience quasiment sans friction : l’utilisateur n’attend plus de SMS, ne risque plus d’erreur de saisie et ne dépend pas de la couverture réseau.
En 2025, Mastercard a étendu Payment Passkey à son parcours « Click to Pay ». Les consommateurs peuvent désormais vérifier leurs paiements via passkeys dans cette interface de paiement unifiée, et même rattacher plusieurs cartes à un seul passkey. Cela améliore considérablement le choix au moment du paiement : un même geste biométrique donne accès à différentes cartes, sans devoir ressaisir de numéros ni jongler avec plusieurs comptes. Dans les marchés comme l’Amérique latine, où une étude 2024 révèle que 85 % des consommateurs préfèrent la biométrie aux mots de passe, Mastercard remplace explicitement les OTP par la biométrie de l’appareil couplée à la tokenisation, de sorte que les numéros de carte ne sont jamais exposés aux commerçants.
Visa Payment Passkey et l’essor des standards FIDO2
Visa applique la logique des passkeys directement aux flux de paiement via son initiative « Visa Payment Passkey ». Ici encore, le passkey est stocké sur le terminal du client et déverrouillé avec la biométrie ou l’écran de verrouillage natif. Visa rapporte que dans ce modèle, l’authentification biométrique divise par deux les taux de fraude par rapport aux mots de passe à usage unique envoyés par SMS, qui restent vulnérables aux attaques de type phishing, SIM‑swap ou interception de messages.
Un élément clé de cette transition réside dans la large adoption de FIDO2 et WebAuthn : selon Visa, 100 % des grands systèmes d’exploitation et 90 % des navigateurs supportent désormais nativement l’authentification FIDO, et l’on compte déjà environ 4 milliards de terminaux consommateurs « FIDO‑capables ». Concrètement, cela signifie que la plupart des smartphones récents, ordinateurs et tablettes peuvent devenir des supports de passkeys prêts à l’emploi, sans matériel supplémentaire pour l’utilisateur final.
Pour les banques, fintechs et PSP (Payment Service Providers), cette infrastructure standardisée permet d’intégrer Visa Payment Passkey dans les parcours de paiement existants, notamment via EMV 3‑D Secure. L’authentification se fait alors au plus près de l’utilisateur, sur son appareil, avec un geste biométrique simple, tout en bénéficiant de la robustesse cryptographique de FIDO2. Cela permet non seulement de réduire la fraude, mais aussi de fluidifier l’expérience client, un facteur décisif pour limiter l’abandon de paiement.
Performance, conversion et abandon de panier : l’effet UX des passkeys
Au‑delà de la sécurité, l’une des forces majeures des passkeys réside dans leur impact sur la performance et la conversion e‑commerce. Des analyses sectorielles de fin 2025 montrent que les prestataires de paiement s’attendent à une hausse de 2 à 3 points de pourcentage de transactions réussies lorsqu’ils remplacent les OTP par une authentification forte basée sur la biométrie et les passkeys. En éliminant les échecs de livraison de SMS, les délais d’attente et les erreurs de saisie, les parcours de paiement deviennent plus fluides et aboutissent plus souvent.
Les données d’usage hors paiement confirment cette tendance : le FIDO Alliance et Biometric Update rapportent qu’en décembre 2024, les passkeys protégeaient déjà l’accès à environ 15 milliards de comptes en ligne. Google a indiqué en 2024 que 800 millions de comptes utilisaient des passkeys, avec plus de 2,5 milliards de connexions réalisées en deux ans, et un taux de réussite des connexions en hausse d’environ 30 % par rapport aux mots de passe. Or, chaque connexion réussie plus rapidement augmente mécaniquement les chances que le client aille jusqu’au bout de son achat.
Une étude consommateur FIDO menée pour la « World Passkey Day » 2025 va dans le même sens : plus de 35 % des personnes interrogées déclarent avoir subi au moins un compte compromis l’année précédente à cause de mots de passe faibles, et 47 % affirment abandonner leurs achats lorsqu’elles ne se souviennent plus du mot de passe d’un site. Parmi ceux qui connaissent déjà les passkeys, 54 % les jugent plus pratiques et 53 % plus sûrs que les mots de passe. Ces chiffres renforcent l’argument business pour le paiement biométrique via passkeys : moins de frictions à la connexion, moins de mots de passe oubliés, donc moins de paniers abandonnés et plus de revenus pour les commerçants.
Biométrie et passkeys dans les grands écosystèmes (Apple, Microsoft, fintechs…)
Les passkeys n’évoluent pas en vase clos : ils sont progressivement intégrés au cœur des grands écosystèmes de paiement et de services financiers. Dans l’univers Apple, un exposé technique de 2026 explique qu’à partir d’iOS 17.4, iPadOS 17.4 et macOS 14.4, les passkeys FIDO2 sont pleinement connectés à Apple Pay, à l’App Store et aux achats in‑app. Les utilisateurs peuvent ainsi finaliser leurs transactions iOS uniquement avec Face ID ou Touch ID, sans mot de passe ni SMS additionnel.
Des tests menés sur 127 utilisateurs illustrent concrètement les gains : le temps moyen de transaction est passé de 19,3 secondes (mot de passe + SMS 2FA) à 6,1 secondes (passkey biométrique), tandis que le taux d’erreur chutait de 11,4 % à 0,9 %. Pour le e‑commerce, ces écarts sont considérables : chaque seconde gagnée et chaque erreur évitée réduit le risque que le client renonce à son achat avant la validation du paiement.
Côté Windows, une mise à jour de fin 2025 introduit la synchronisation cloud des passkeys dans Microsoft Edge sous Windows 11. Les passkeys, déverrouillés par empreinte, visage ou PIN, peuvent être utilisés sur plusieurs appareils via le compte Microsoft de l’utilisateur. Dans le contexte des paiements, cela veut dire qu’un consommateur peut se connecter à un marchand ou à un portefeuille numérique et autoriser des paiements par carte enregistrée depuis n’importe lequel de ses PC Windows, en utilisant le même geste biométrique, tout en gardant la clé privée protégée et résistante au phishing. Parallèlement, des fintechs comme Finom et Wise, ou encore des super‑apps de paiement comme WeChat Pay (pour les utilisateurs iOS hors de Chine), déploient les passkeys d’abord pour la connexion au compte, préparant le terrain pour des validations de paiement de bout en bout sans mots de passe.
Passkeys, SCA PSD2 et futur PSD3 : une authentification forte, sans friction
En Europe, les paiements en ligne sont encadrés par la directive PSD2, qui impose une authentification forte du client (SCA , Strong Customer Authentication) pour la plupart des transactions e‑commerce. La SCA repose sur au moins deux facteurs parmi trois catégories : possession, inhérence et connaissance. Historiquement, les banques ont souvent choisi la combinaison « carte + OTP SMS », ce qui restait vulnérable au phishing et aux fraudes par détournement de carte SIM.
Les passkeys, combinés à WebAuthn et au standard Secure Payment Confirmation, peuvent satisfaire ces exigences de SCA de manière élégante : la possession est garantie par l’appareil qui détient le passkey, l’inhérence par la biométrie (empreinte, reconnaissance faciale), et éventuellement la connaissance par un code PIN local si nécessaire. Un même geste biométrique peut donc résoudre à la fois la simplicité d’usage et la conformité réglementaire, tout en offrant une résistance nettement supérieure au phishing et aux attaques par rejeu.
Les analyses réglementaires anticipent déjà PSD3, la prochaine évolution du cadre européen, qui devrait imposer des mécanismes d’authentification « phishing‑résistants » pour les transactions à haut risque d’ici 2027. Les passkeys sont d’ores et déjà bien positionnés pour répondre à ces exigences : Visa et Mastercard les ont certifiés pour les parcours EMV 3‑D Secure, et la FIDO Alliance travaille activement avec les régulateurs pour faire reconnaître formellement les passkeys comme un moyen d’authentification forte multi‑facteur. Pour les banques et les PSP européens, adopter les passkeys, c’est donc à la fois moderniser l’expérience client et se préparer aux futures obligations réglementaires.
Sécurité : un progrès majeur, mais pas une baguette magique
Les passkeys et la biométrie améliorent significativement la sécurité par rapport aux modèles classiques basés sur les mots de passe et les OTP, mais ils ne sont pas pour autant infaillibles. Une recherche de 2024 sur FIDO2 (WebAuthn / CTAP) a mis en lumière une nouvelle classe d’attaques, baptisées CTRAPS, capables dans certaines conditions de supprimer ou de manipuler des identifiants FIDO2, y compris des passkeys, sans action explicite de l’utilisateur. Les chercheurs ont analysé huit vulnérabilités dans le protocole CTAP et ont démontré des attaques contre des authentificateurs de plusieurs fournisseurs et de grands acteurs comme Microsoft ou Apple.
Ces travaux, ainsi que les contre‑mesures proposées, rappellent que la sécurité des passkeys dépend fortement de la qualité de leur implémentation et de la rigueur des mises à jour de standard. Plus les passkeys seront liés à des opérations sensibles comme la validation de paiements, plus il sera crucial de renforcer les spécifications, de corriger rapidement les vulnérabilités découvertes et de déployer des authentificateurs matériels et logiciels durcis.
Regarder plus loin, des recherches de 2026 sur des « authentificateurs virtuels FIDO2 adossés à des QES » explorent des architectures où les passkeys sont ancrés dans des composants de sécurité de niveau très élevé (par exemple des cartes à puce de signature électronique qualifiée), tout en restant synchronisables via un cloud chiffré. L’idée est de lier ces passkeys synchronisés à un facteur de vérification locale, comme la biométrie, afin de s’assurer qu’ils ne puissent pas être abusés en dehors des contextes prévus (paiement, connexion). Pour des paiements de très forte valeur ou des services bancaires sensibles, ce type de design mêlant identités électroniques réglementées et passkeys biométriques pourrait devenir la prochaine étape.
Vers un quotidien « payer par biométrie »
Le mouvement de fond est clair : les passkeys, portés par la biométrie des appareils, sont en train de redéfinir la norme de l’authentification en ligne et des paiements. Les chiffres de Mastercard en Amérique latine, les gains de performance observés dans l’écosystème Apple, les retours des études FIDO sur la perception des passkeys, ou encore l’intégration dans les navigateurs et systèmes d’exploitation majeurs convergent tous vers la même conclusion : l’avenir du paiement en ligne est sans mot de passe, piloté par la biométrie et sécurisé par la cryptographie.
Pour les commerçants et les prestataires de paiement, la bascule vers les passkeys représente une opportunité double : réduire la fraude et améliorer significativement les taux de conversion. Pour les consommateurs, c’est la promesse de parcours d’achat plus simples, plus rapides et plus sûrs, où l’on n’a plus à se souvenir de dizaines de mots de passe ni à patienter pour recevoir un code par SMS. À condition de rester vigilants sur les aspects techniques et réglementaires, tout indique que « payer par biométrie » deviendra, dans les prochaines années, aussi banal que taper son code de carte en magasin.
