Instagram, Netflix, Spotify : trois géants que vous ouvrez tous les jours, désormais épinglés sur une liste de la honte. Leur tort ? Refuser encore les passkeys, cette technologie censée tuer le phishing.

Depuis 2022, l’Alliance FIDO promet d’en finir avec les mots de passe grâce aux passkeys, ces clés cryptographiques générées directement sur votre appareil qui rendent le phishing structurellement impossible.

Apple, Google et Microsoft ont déployé le standard sur leurs plateformes, les grands gestionnaires de mots de passe ont suivi, et les tutoriels se multiplient.

Reste une résistance inattendue : parmi les vingt-cinq services les plus visités au monde, un quart refuse toujours de proposer l’option à ses utilisateurs.


whynopasskeys.com, la liste de la honte

Scott Helme, chercheur en sécurité connu pour son travail sur les standards HTTPS, a mis en ligne whynopasskeys.com avec Troy Hunt, sur le modèle du site whynohttps.com que le duo avait lancé en 2017.

L’objectif est annoncé sans détour : « une liste est un outil de motivation étonnamment efficace.

Personne ne veut y figurer »
. Le site recense les grandes applications qui n’ont toujours pas activé les passkeys pour leurs utilisateurs.

Instagram, Netflix et Spotify y trônent en bonne place, aux côtés d’une vingtaine d’autres.

Le cas d’Instagram mérite d’être nuancé puisque les passkeys y sont techniquement accessibles, mais à une condition : que le compte soit relié à un compte Facebook disposant lui-même d’une passkey active.

Facebook et WhatsApp, les deux autres applis de Meta, gèrent les passkeys en propre.

Une incohérence interne que Meta n’a pas jugé utile de commenter.

Le principe tient en une image : une serrure à deux clés. Une clé publique reste stockée sur le serveur du service ; une clé privée ne quitte jamais votre appareil, protégée par votre empreinte ou votre visage.

Au moment de la connexion, les deux clés se répondent à distance sans qu’aucun mot de passe ne circule sur le réseau.

Un pirate qui intercepterait la communication ne récupérerait qu’une clé publique, parfaitement inutilisable sans la privée.

Voilà pourquoi les passkeys résistent au hameçonnage là où un mot de passe, même costaud, peut être soutiré.


Ce que vous pouvez activer, vous, dès maintenant

Le tableau n’est pas entièrement noir. Il y a deux ans, la liste des services compatibles était bien plus courte.

Google revendique aujourd’hui 800 millions de comptes équipés, Amazon en annonce 175 millions, et Microsoft a commencé à activer par défaut les profils passkey sur son service Entra ID en mars 2026.

L’adoption progresse, mais en ordre dispersé. Les banques, les administrations et certaines plateformes professionnelles avancent vite ; les mastodontes du divertissement et des réseaux sociaux traînent des pieds, sans doute parce que leur volume d’abonnés rend toute bascule d’authentification plus délicate à gérer.

Côté européen, la réglementation commence à s’en mêler.

Le règlement eIDAS 2.0 pousse les États membres vers des identités numériques renforcées, et la CNIL répète dans ses recommandations que l’authentification forte fait partie des mesures attendues au titre du RGPD.

Rien n’oblige encore les plateformes à déployer spécifiquement les passkeys, mais le vent réglementaire souffle clairement dans cette direction.

Pour le grand public, l’essentiel se joue ailleurs : là où vivent vos clés.

Les confier à iCloud ou à Google fonctionne tant que vous restez dans un seul écosystème ; pour passer d’un iPhone à un PC Windows sans douleur, mieux vaut un gestionnaire tiers comme Bitwarden ou 1Password, qui stockent les passkeys indépendamment.

La liste de Scott Helme est consultable sur whynopasskeys.com.

Si les applis que vous utilisez y figurent, vérifiez si elles ont depuis activé les passkeys, et basculez systématiquement dès que c’est proposé.

L’exposition publique reste, en la matière, le plus efficace des aiguillons.