📰 Source : TechCrunch — 24 juin 2026

Le chercheur en sécurité Scott Helme a lancé le site whynopasskeys.com, dont l’objectif est de nommer publiquement les entreprises qui ne proposent pas encore les passkeys comme option d’authentification à leurs utilisateurs.

🔐 Contexte technique : Les passkeys sont désormais considérées comme le standard de sécurité de référence pour la protection des comptes. Elles sont générées par l’appareil de l’utilisateur, liées à ce terminal et au site concerné, et peuvent s’appuyer sur la biométrie (Face ID, Touch ID) ou une clé de sécurité physique. Elles sont stockables dans un gestionnaire de mots de passe et résistent au phishing et au vol de credentials.

Entreprises absentes de la liste des bons élèves :

  • Instagram (Meta) — passkey disponible uniquement si le compte est lié à un compte Facebook avec passkey activée
  • Netflix
  • Spotify

Entreprises ayant adopté les passkeys :

  • Apple
  • Google
  • Microsoft

⚠️ Une asymétrie est relevée au sein de l’écosystème Meta : Facebook et WhatsApp proposent les passkeys, mais pas Instagram. Meta n’a pas répondu aux sollicitations de TechCrunch.

📌 Cet article est de type presse spécialisée / nouvelles tendances, visant à informer sur l’état d’adoption des passkeys dans l’industrie et à exercer une pression publique sur les entreprises retardataires.

🧠 TTPs et IOCs détectés

TTP

  • T1566 — Phishing (Initial Access)
  • T1078 — Valid Accounts (Defense Evasion)

🔴 Indice de vérification factuelle : 18/100 (basse)

  • ⬜ techcrunch.com — source non référencée (0pts)
  • ✅ 1823 chars — texte partiel (10pts)
  • ⬜ aucun IOC extrait (0pts)
  • ⬜ pas d’IOC à vérifier (0pts)
  • ✅ 2 TTP(s) MITRE (8pts)
  • ⬜ date RSS ou approximée (0pts)
  • ⬜ aucun acteur de menace nommé (0pts)
  • ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://techcrunch.com/2026/06/24/new-website-names-and-shames-companies-that-still-dont-offer-passkeys-to-users/