Un nouveau site Web fait quelque chose que de nombreux experts en sécurité frustrés souhaitent depuis des années. Il désigne publiquement les grandes entreprises qui refusent toujours de prendre en charge les mots de passe. Appelé Why No Passkeys, le site suit les principales plates-formes qui continuent de s'appuyer sur des mots de passe à l'ancienne, même si les clés d'accès deviennent l'option la plus sûre. Si vous utilisez des applications comme Instagram, Netflix ou Spotify, vous pourriez être surpris de les voir sur la liste.
Le site Web a été créé par le chercheur en sécurité Scott Helme, qui s'était auparavant associé à Troy Hunt en 2017 pour lancer WhyNoHTTPS, un site qui a contribué à pousser une grande partie d'Internet vers une navigation cryptée.
Un nombre surprenant de géants de la technologie sont coincés dans le passé
Les clés d'accès sont conçues pour remplacer les mots de passe par des connexions basées sur des appareils telles que Face ID ou des analyses d'empreintes digitales. Ils sont plus difficiles à voler, résistants au phishing et beaucoup plus faciles à utiliser. De grands noms comme Google, Apple et Amazon les ont déjà adoptés, mais de nombreuses plateformes grand public populaires ne l’ont pas fait.
7 des 25 sites les plus visités au monde ne prennent toujours pas en charge les clés d'accès natives, notamment Instagram, Netflix, Spotify, Samsung, Roblox et Baidu. Ce ne sont pas de petites entreprises sans ressources en ingénierie ; ce sont des plateformes avec des centaines de millions, parfois des milliards, d’utilisateurs toujours protégés par rien d’autre qu’un mot de passe.
Il est intéressant de noter que Meta propose déjà des mots de passe sur Facebook et WhatsApp, mais les utilisateurs d'Instagram ne peuvent accéder à la fonctionnalité que s'ils associent leur compte à une connexion Facebook avec les mots de passe activés (via TechCrunch).
Pourquoi est-ce important ?
Le site fonctionne comme un classement public, séparant les entreprises qui prennent en charge les mots de passe de celles qui ne le font pas. Leur objectif est de créer une pression publique et d’empêcher les entreprises d’ignorer une meilleure sécurité.
C’est important car les mots de passe restent l’un des maillons les plus faibles en ligne. Les violations de données, les connexions réutilisées et les escroqueries par phishing frappent encore les utilisateurs quotidiennement, et les mots de passe éliminent bon nombre de ces risques. Pour vous, cela vous rappelle que même les applications auxquelles vous faites le plus confiance peuvent encore être en retard en matière de sécurité. Et maintenant, il existe un site Web qui permet à tout le monde de le savoir.
