Votre PC réclame un « passkey » dont vous n’avez aucun souvenir ? Voici comment comprendre le message sous Windows 11, retrouver ou réinitialiser votre PIN Windows Hello, et retirer en sécurité les passkeys de sites (Outlook/Hotmail) sans risquer d’être verrouillé hors de votre session.
Comment gérer (et éventuellement supprimer) un « passkey » inconnu sous Windows 11 ?
Vue d’ensemble du problème
- Lors d’une connexion à Outlook/Hotmail via Microsoft Edge, une fenêtre exige un passkey alors que vous n’en avez jamais créé (ou ne vous en souvenez plus).
- Dans Paramètres ► Comptes ► Passkeys, un passkey est déjà associé à l’appareil, mais sa suppression est refusée car il est « nécessaire pour se connecter à ce PC ».
- Vous craignez de vous retrouver bloqué si vous vous déconnectez, car le PIN Windows Hello est souvent requis pour déverrouiller ce passkey.
Ce qu’il faut absolument comprendre
Sur Windows 11, le « passkey » affiché dans les paramètres n’est pas un simple mot de passe : c’est une clé FIDO2 locale protégée par Windows Hello (PIN, empreinte, visage). Cette clé privée est enfermée dans le TPM de l’appareil et déverrouillée à l’aide de votre méthode Hello. Tant qu’il n’existe qu’une seule méthode de connexion valide, Windows empêche sa suppression pour éviter que l’ordinateur devienne inutilisable.
Autrement dit, le passkey et le PIN sont intimement liés : perdre le PIN revient à perdre l’accès à la clé locale. L’enjeu n’est pas de « trouver le bon passkey », mais bien de réactiver ou recréer un facteur Windows Hello (souvent le PIN) pour déverrouiller cette clé lorsque Edge ou un site la demande.
Checklist express
- Essayez vos codes habituels (beaucoup d’utilisateurs redécouvrent un long PIN à 6 chiffres ou plus).
- Si échec, allez dans Paramètres ► Comptes ► Options de connexion ► PIN (Windows Hello) et cliquez sur J’ai oublié mon PIN pour en créer un nouveau.
- Si l’assistant ne s’ouvre pas ou clignote, redémarrez, mettez Windows à jour et lancez un
sfc /scannow. Au besoin, passez par l’environnement de récupération. - Les passkeys de sites (Outlook, etc.) se gèrent séparément : dans Edge (
edge://settings/passwords/passkeys) ou dans votre compte Microsoft (rubrique Sécurité ► Passkeys). - Ajoutez un second facteur Hello (empreinte, visage, clé de sécurité USB) pour éviter tout blocage futur.
Solutions proposées et étapes consolidées
| Étape | Action | Détail / Raison |
|---|---|---|
| Comprendre le lien Passkey ↔ PIN | Le passkey affiché correspond à la clé FIDO2 générée par Windows Hello et stockée dans le TPM. Elle s’ouvre avec votre PIN/biométrie. | Windows refuse de supprimer l’ultime méthode d’accès pour ne pas rendre l’ordinateur inutilisable (risque de perte d’accès à la clé privée). |
| Tester votre PIN actuel | Tentez vos codes usuels ; pensez à un PIN à 6 chiffres ou plus. Le champ PIN accepte aussi l’alphanumérique (jusqu’à 127 caractères). | Beaucoup d’incidents « passkey inconnu » se résolvent en retrouvant ce PIN oublié. |
| Réinitialiser le PIN si nécessaire | Paramètres ► Comptes ► Options de connexion ► PIN (Windows Hello) ► J’ai oublié mon PIN, puis suivez l’assistant (mot de passe Microsoft/2FA → nouveau PIN). | La régénération du PIN régénère au passage les secrets Hello et remet d’équerre l’accès au passkey. |
| Si l’assistant « J’ai oublié mon PIN » ne s’ouvre pas | Vérifiez la connexion, installez les mises à jour, redémarrez. Si besoin : Paramètres ► Système ► Récupération ► Redémarrer maintenant → Options avancées → Invite de commandes → exécutez sfc /scannow (puis éventuellement DISM /Online /Cleanup-Image /RestoreHealth), redémarrez et réessayez. En dernier recours, réinitialisez le mot de passe Microsoft depuis un autre appareil puis relancez l’assistant du PIN sur le PC. | Les fenêtres qui « clignotent et disparaissent » trahissent souvent une session bancale ou des fichiers système corrompus. |
| Supprimer un passkey de site Web (facultatif) | Dans Edge : ouvrez edge://settings/passwords/passkeys, menu ⋯ du service (ex. Outlook) → Supprimer. Dans votre compte Microsoft (rubrique Sécurité ► Passkeys) : supprimez le passkey pour le site souhaité. | Attention : cela ne touche pas le passkey local utilisé pour ouvrir la session Windows ; seule une méthode Hello (PIN/biométrie) permet de déverrouiller la clé locale. |
| Prévenir tout futur verrouillage | Ajoutez un 2ᵉ facteur Hello (visage/empreinte/clé USB FIDO2), gardez vos infos de récupération à jour (mail/téléphone), et notez la clé de récupération BitLocker si activée. | Multiplier les méthodes d’accès réduit fortement le risque d’être bloqué. |
Passkey Windows (local) vs passkey de site : ne pas confondre
| Élément | Passkey Windows (Hello/FIDO2 local) | Passkey de site (Outlook, etc.) |
|---|---|---|
| Où il réside | Dans le TPM de l’appareil, sous le coffre Windows Hello. | Entrée enregistrée pour un service web précis (clé publique côté service, preuve locale côté appareil). |
| Comment on l’ouvre | Avec votre méthode Hello (PIN, visage, empreinte). | Le site déclenche Windows Hello, qui demande votre PIN/biométrie pour signer le défi. |
| Suppression | Impossible si c’est la dernière méthode d’accès de l’appareil. | Supprimable dans Edge (edge://settings/passwords/passkeys) ou dans la page Sécurité du compte. |
| Impact | Concerne l’ouverture de session Windows et le déverrouillage des clés privées locales. | Concerne l’authentification à un site/service spécifique. N’affecte pas l’ouverture de session Windows. |
Procédures détaillées
Retrouver ou réinitialiser votre PIN Windows Hello
- Ouvrez Paramètres (raccourci Win+I).
- Allez dans Comptes ► Options de connexion ► PIN (Windows Hello).
- Cliquez sur J’ai oublié mon PIN et suivez l’assistant :
- Authentifiez-vous avec votre mot de passe du compte Microsoft et/ou un code 2FA.
- Choisissez un nouveau PIN (de préférence 6 chiffres ou plus, voire alphanumérique).
- Une fois le PIN recréé, relancez votre tentative de connexion à Outlook : la demande de passkey devrait être satisfaite par la nouvelle preuve Hello.
Si l’assistant « J’ai oublié mon PIN » ne s’affiche pas correctement
- Redémarrez entièrement le PC (pas de mise en veille/veille prolongée).
- Installez les mises à jour Windows (Paramètres ► Windows Update) puis redémarrez.
- Ouvrez une Invite de commandes en administrateur et exécutez :
sfc /scannow DISM /Online /Cleanup-Image /RestoreHealthRedémarrez à la fin. - Si le problème persiste, effectuez un démarrage avancé : Paramètres ► Système ► Récupération ► Redémarrer maintenant → Options avancées → Invite de commandes → relancez
sfcetDISM. Revenez ensuite dans la session et réessayez l’assistant. - En ultime recours, réinitialisez le mot de passe du compte Microsoft depuis un autre appareil (puis reconnectez-vous sur le PC et rejouez l’assistant PIN). Évitez de saisir toute URL ici : utilisez la rubrique Sécurité de votre compte Microsoft.
Supprimer un passkey d’un site (Outlook, etc.) sans toucher à Windows Hello
Si votre objectif est uniquement d’empêcher un site d’utiliser un passkey enregistré sur cet appareil :
- Dans Microsoft Edge, saisissez
edge://settings/passwords/passkeysdans la barre d’adresse, repérez le service (Outlook/Hotmail), cliquez sur ⋯ puis sur Supprimer. - Dans votre compte Microsoft (rubrique Sécurité ► Passkeys), supprimez l’entrée correspondante au site ou à l’appareil si elle apparaît.
Note : retirer un passkey de site ne désactive pas Windows Hello ni la clé FIDO2 locale qui sert à déverrouiller la session. Le site repassera alors sur une autre méthode (mot de passe + 2FA, code envoyé, etc.).
Ajoutez un deuxième facteur Hello (vivement recommandé)
Plusieurs méthodes Hello peuvent coexister. En avoir au moins deux évite un blocage total.
- Empreinte digitale : Paramètres ► Comptes ► Options de connexion ► Empreintes digitales (Windows Hello).
- Reconnaissance faciale : Paramètres ► Comptes ► Options de connexion ► Reconnaissance faciale (Windows Hello).
- Clé de sécurité FIDO2 USB/NFC : Paramètres ► Comptes ► Options de connexion ► Clés de sécurité (enregistrez une YubiKey ou équivalent).
Tableau de diagnostic rapide
| Symptôme | Cause probable | Action conseillée |
|---|---|---|
| Edge réclame un passkey « inconnu » | Le site déclenche Windows Hello ; votre PIN est oublié. | Réinitialisez le PIN comme décrit ci‑dessus. |
| Impossible de supprimer le passkey dans Paramètres | C’est la dernière méthode d’accès disponible. | Ajoutez d’abord un autre facteur Hello, puis supprimez si réellement nécessaire. |
| L’assistant PIN se ferme aussitôt | Session instable, fichiers système corrompus. | Redémarrage, mises à jour, sfc + DISM, puis nouvel essai. |
| Outlook n’utilise plus le passkey | Le passkey de site a été supprimé | Authentifiez‑vous via mot de passe/2FA et recréez un passkey si souhaité. |
Cas particuliers et variations
- PC d’entreprise (Azure AD/Entra ID, domaine) : votre service IT peut imposer Windows Hello for Business et interdire la suppression des clés. Si les paramètres sont grisés, contactez l’assistance interne. (Astuce de vérification : exécutez
dsregcmd /statuspour voir l’état d’appartenance Azure AD.) - Compte local hors ligne : un compte local distinct n’impose pas les passkeys Microsoft. Vous pouvez l’utiliser comme filet de sécurité, tout en gardant votre compte Microsoft pour la session principale.
- PC multi‑utilisateur : chaque profil possède son propre coffre Hello. Le PIN d’un utilisateur n’ouvre pas le passkey d’un autre.
- BitLocker : la réinitialisation du PIN Hello n’efface pas vos données, mais conservez la clé de récupération BitLocker (au cas où).
- Changement de carte mère : le TPM change et la clé privée liée au matériel devient inutilisable ; vous devrez réenroller Windows Hello et recréer vos passkeys de site.
FAQ
Pourquoi Windows refuse‑t‑il de supprimer « le dernier passkey » ?
Parce que ce passkey est la clé FIDO2 locale qui protège aussi l’accès au coffre Windows Hello. Supprimer la dernière méthode (PIN/biométrie) vous priverait d’accès au secret stocké dans le TPM. Windows impose de garder au moins une méthode valide.
Réinitialiser mon PIN efface‑t‑il mes fichiers ?
Non. Vous ne touchez qu’à la méthode Hello, pas à vos données. L’opération régénère les secrets Hello et remet à neuf l’accès au passkey.
Je n’ai jamais « créé » de passkey ; pourquoi Edge m’en demande un ?
Windows Hello crée automatiquement la paire FIDO2 locale au premier enrôlement (PIN, empreinte, visage). Lorsqu’un site la prend en charge, Edge déclenche cette clé : on vous demande alors le PIN Hello pour signer la preuve.
Puis‑je utiliser uniquement une clé USB FIDO2 et supprimer le PIN ?
Techniquement vous pouvez ajouter une clé sécurité et la définir comme méthode préférée, mais Windows requiert qu’au moins une méthode locale reste disponible. Gardez un PIN minimal actif, au moins comme secours.
Comment « désactiver » la demande de passkey sur un site ?
Supprimez le passkey du site dans Edge (edge://settings/passwords/passkeys) et, si nécessaire, dans la rubrique Sécurité de votre compte Microsoft. Le site repassera sur mot de passe + 2FA.
Dépannage avancé (à manier avec prudence)
Avant toute manipulation avancée : créez un point de restauration, sauvegardez vos données, et notez votre clé BitLocker si le chiffrement est actif.
- Réinitialiser le conteneur Hello (environnements d’entreprise) : la commande
certutil -deleteHelloContainerpeut réinitialiser Windows Hello for Business pour l’utilisateur courant. À n’utiliser que si votre organisation le recommande. - Vérifier l’appartenance à Azure AD :
dsregcmd /statusvous dit si l’appareil est Azure AD Joins/Registered. Des politiques peuvent restreindre les options Hello. - Effacer le dossier NGC (extrême dernier recours) : la suppression forcée du dossier
%Windir%\ServiceProfiles\LocalService\AppData\Local\Microsoft\NGCréinitialise Windows Hello, mais peut vous empêcher de vous reconnecter si vous n’avez pas d’autre méthode. Préférez les voies officielles (assistant PIN, politiques IT).
Bonnes pratiques et prévention
- PIN robuste : visez 6 chiffres ou plus, ou un PIN alphanumérique. Évitez les suites triviales.
- Deuxième facteur Hello : ajoutez une empreinte ou une clé de sécurité USB compatible FIDO2.
- Coordonnées de récupération : maintenez à jour votre e‑mail et numéro de téléphone de secours dans le compte Microsoft.
- BitLocker : conservez la clé de récupération dans un endroit sûr (impression, coffre numérique).
- Hygiène Edge : nettoyez périodiquement les passkeys de sites que vous n’utilisez plus (
edge://settings/passwords/passkeys).
Informations complémentaires utiles
- Pourquoi Windows ne laisse‑t‑il pas supprimer le dernier passkey ? Un appareil Windows 11 doit garder au moins un secret local (PIN/biométrie) pour chiffrer/déchiffrer la clé privée FIDO2 du TPM. Supprimer la dernière méthode couperait l’accès à ce secret.
- Passkeys vs mots de passe : les passkeys ne quittent pas l’appareil ; le site n’obtient qu’une clé publique. Les fuites de bases de données et le phishing deviennent nettement moins efficaces.
- Bonnes pratiques PIN : 6 chiffres minimum, alphanumérique recommandé si vous pouvez le mémoriser. Windows autorise des PIN très longs.
- Utilisateurs locaux hors ligne : si vous tenez à pouvoir supprimer toutes les clés FIDO2, créez un compte local séparé (Paramètres ► Comptes ► Autres utilisateurs). Sa session n’imposera pas de passkey Microsoft.
Exemples concrets
Scénario A — Edge demande un passkey pour Outlook et vous ne connaissez pas le PIN
Résolution : ouvrez Paramètres ► Comptes ► Options de connexion, cliquez sur J’ai oublié mon PIN, refaites votre PIN, reconnectez‑vous à Outlook : la demande de passkey sera satisfaite par Windows Hello.
Scénario B — Vous vouliez simplement désactiver le passkey pour Outlook sur ce PC
Résolution : supprimez l’entrée correspondante dans edge://settings/passwords/passkeys. Au prochain login, Outlook reviendra sur mot de passe + 2FA. Rien n’est modifié côté ouverture de session Windows.
Scénario C — Vous souhaitez repartir d’une base saine
Résolution : réinitialisez le PIN, supprimez les passkeys de sites inutiles, ajoutez une clé de sécurité USB comme second facteur, vérifiez BitLocker et vos infos de récupération. Vous êtes prêt pour le quotidien et les urgences.
Résumé
Le « passkey inconnu » n’est pas une anomalie : il s’agit de la clé FIDO2 générée par Windows Hello et protégée par votre PIN. Vous n’avez pas besoin de connaître une « nouvelle » combinaison ; il suffit de retrouver ou recréer votre PIN Hello. En cas de bug de l’assistant, un redémarrage, les mises à jour et sfc/ DISM règlent souvent le problème. Pour les passkeys de sites, gérez‑les dans Edge et dans la rubrique Sécurité de votre compte Microsoft. Enfin, ajoutez un second facteur Hello pour éviter tout verrouillage futur et conservez vos éléments de récupération (clé BitLocker, coordonnées 2FA) en lieu sûr.