Un chercheur en sécurité a lancé whynopasskeys.com, un site qui recense publiquement les grandes applications et services qui n’ont pas encore adopté les passkeys. Instagram, Netflix et Spotify figurent parmi les mauvais élèves.
Les passkeys sont aujourd’hui considérés comme la méthode d’authentification la plus sûre pour protéger un compte en ligne. Et pourtant, un quart des grandes applications et plateformes du web ne les proposent toujours pas à leurs utilisateurs. C’est le constat dressé par Scott Helme, chercheur en cybersécurité de longue date, qui a décidé de passer à l’action en créant un site dédié à la mise en lumière de ces retardataires. L’idée est simple : rendre publique la liste de ceux qui traînent les pieds, avec l’espoir que la pression sociale fasse ce que les bonnes pratiques n’ont pas réussi à imposer.
La liste de la honte : une méthode qui a fait ses preuves
Whynopasskeys.com recense les entreprises qui n’offrent pas encore la possibilité de se connecter avec des passkeys sur leurs applications ou services. Parmi les noms qui apparaissent côté mauvais élèves, on trouve Instagram, Netflix et Spotify, trois plateformes qui comptent chacune des centaines de millions d’utilisateurs dans le monde.
Le principe du site repose sur un levier psychologique éprouvé. Comme l’explique Helme dans un billet de blog accompagnant le lancement : « Une liste est un outil étonnamment efficace. Personne ne veut y figurer ». Apple, Google et Microsoft, eux, sont rangés du bon côté du classement et proposent déjà les passkeys à leurs utilisateurs.
Le cas d’Instagram mérite une nuance : il est techniquement possible d’activer les passkeys sur la plateforme, mais uniquement si le compte est rattaché à un compte Facebook disposant lui-même d’un passkey activé. Une restriction qui exclut de fait la grande majorité des utilisateurs. Meta n’a pour l’heure pas répondu aux questions des médias sur les raisons pour lesquelles certains de ses produits, comme Facebook et WhatsApp, proposent les passkeys, pendant qu’Instagram reste à la traîne sur ce point.
Une alternative aux mots de passe difficile à pirater
Contrairement à un mot de passe classique, un passkey est généré directement par l’appareil de l’utilisateur et lié à la fois à ce terminal et au site pour lequel il a été créé. L’authentification repose sur des mécanismes biométriques, comme Face ID ou Touch ID, ou sur une clé de sécurité physique. Les passkeys peuvent être sauvegardés automatiquement dans un gestionnaire de mots de passe, et ne nécessitent aucune mémorisation de la part de l'’utilisateur.
Leur principal atout en matière de sécurité est leur résistance au phishing : un passkey ne peut pas être subtilisé par une tentative d’hameçonnage classique, car il ne circule jamais sous une forme exploitable par un tiers. Pour qu’un attaquant puisse en prendre le contrôle, il lui faudrait s’emparer physiquement de l'appareil de la victime. Dans un paysage numérique où les fuites de mots de passe sont monnaie courante, cet avantage est considérable, même s’ils peuvent aussi créer une nouvelle dépendance à un écosystème.
