Weekly Update 510: Live From Mallorca with Scott Helme

Promotion de l’adoption des Passkeys : Le projet “Why no Passkeys?”

Le projet « Why no HTTPS? », lancé il y a huit ans pour encourager l’adoption généralisée du chiffrement TLS, trouve aujourd’hui un successeur moderne. Face aux menaces croissantes liées au phishing, Scott Helme a développé la plateforme Why no Passkeys? (whynopasskeys.com). L’objectif est de recenser les sites web majeurs n’implémentant pas encore les clés d’accès (passkeys) afin de mettre en lumière les retards technologiques et d’inciter les entreprises à adopter des méthodes d’authentification plus robustes.

Points clés :

• Transition technologique : Passage du chiffrement du transport (HTTPS) à la sécurisation des accès utilisateurs (Passkeys) pour contrer l’usurpation d’identité.
• Approche communautaire : Utilisation de la pression publique par pays pour accélérer l’adoption de standards de sécurité par les grands acteurs du Web.
• Automatisation : Le projet a bénéficié de l’utilisation de Claude Code, illustrant l’efficacité des outils d’IA dans le développement rapide de projets de cybersécurité.

Vulnérabilités :

• L’article souligne indirectement la vulnérabilité persistante des méthodes d’authentification traditionnelles (mots de passe, 2FA par SMS/TOTP) face aux attaques sophistiquées de type phishing (comme l’incident subi par l’auteur sur Mailchimp). Aucune CVE spécifique n’est mentionnée, car l’enjeu est ici structurel et lié à la conception des mécanismes d’authentification plutôt qu’à une faille logicielle isolée.

Recommandations :

• Pour les développeurs et entreprises : Prioriser l’implémentation des Passkeys (norme FIDO2/WebAuthn) pour remplacer les mots de passe vulnérables au phishing.
• Pour les utilisateurs : Consulter le site Why no Passkeys? pour identifier les services n’offrant pas encore cette protection et solliciter une mise à jour auprès de leurs équipes de sécurité.

Source