Si vous voulez créer un nouveau compte sur un site Web, vous pourrez probablement utiliser votre compte Facebook, Google ou autre existant pour vous connecter. Cette méthode est souvent appelée “connexion unique” (SSO). La plupart des services vous permettent de connecter vos comptes Facebook et Google, mais certains vous permettent également de connecter vos comptes Apple, Twitter et LinkedIn.
La question est de savoir si vous devez utiliser l’un de ces comptes existants pour vous connecter à ce nouveau site Web ou si vous devez vous donner la peine de créer un nouveau compte avec votre adresse e-mail.
Avec la méthode de l’authentification unique, vous pouvez vous inscrire rapidement à un nouveau service. Lorsque le compte est activé, vous avez moins de contrôle sur les informations qui sont partagées. L’application obtiendra probablement votre adresse e-mail, votre nom et votre photo de profil à partir de vos comptes de médias sociaux. Elle peut également être en mesure de voir des informations plus personnelles comme votre date de naissance et votre numéro de téléphone. Ce qui est partagé ou non dépend des règles du compte existant et de celui auquel on s’inscrit. L’application devrait également comporter un texte expliquant quelles informations sont partagées lorsque vous vous inscrivez.
Nous avons demandé aux experts en cybersécurité Paul Bischoff et Dan Fritcher d’expliquer le fonctionnement de cette technologie SSO afin que nous puissions en comprendre tous les détails. Nous parlerons également de la façon dont Google, Facebook, Apple et Twitter gèrent la situation lorsque d’autres personnes les utilisent pour accéder à vos données.
Les avantages de l’authentification unique par SSO
La meilleure chose à propos du SSO est qu’il permet de gagner du temps et de faciliter les choses. Il évite le long processus de remplissage de formulaires et de champs lors de l’inscription, puisque la plupart de ces informations peuvent être extraites de votre compte de médias sociaux. Il est également plus facile de garder la trace des noms d’utilisateur et des mots de passe et de se rappeler lesquels vont avec lesquels. Après avoir ouvert votre centième compte, cela peut sembler une tâche presque impossible. Votre ancien compte est comme une clé qui vous permet d’accéder à de nombreux services différents. Le tiers peut obtenir des informations de cette transaction, mais il ne peut pas voir votre mot de passe de médias sociaux.
“Dans l’ensemble, s’inscrire avec un login social n’est pas nécessairement plus ou moins sûr que de s’inscrire avec un e-mail et un mot de passe”, déclare Paul Bischoff, expert en confidentialité chez Comparitech, dans un e-mail. Les petites applications et les petits sites Web sont probablement moins sécurisés que les grands réseaux sociaux, il peut donc être plus sûr d’utiliser un login social plutôt que de donner son mot de passe et son adresse e-mail. Mais les développeurs sont également connus pour utiliser les informations de connexion sociale de mauvaises façons.
Certaines apps peuvent également importer des fichiers utiles à partir d’un compte lié. Par exemple, les photos Facebook peuvent être envoyées directement à Dropbox depuis le stockage en nuage. L’agenda Google peut également être synchronisé avec des suites de productivité comme Zoom et Slack. Mais vous n’êtes pas obligé d’utiliser l’authentification unique pour utiliser ces fonctionnalités.
Les inconvénients de l’authentification unique
Tous les problèmes liés au SSO ont trait aux préférences personnelles et à la sécurité. Avec cette méthode, vous ne pouvez pas choisir ce que vous voulez partager lorsque vous vous inscrivez. Comme nous l’avons déjà dit, l’application peut être en mesure de récupérer des noms, des photos et des informations de contact, mais vous avez peut-être déjà donné beaucoup de ces choses lorsque vous vous êtes inscrit. Dans certains cas, la nouvelle application a accès à des informations plus personnelles vous concernant, comme votre âge, votre lieu de résidence ou ce que vous aimez faire. Ensuite, ces détails pourraient être utilisés pour vous montrer des publicités plus pertinentes pour vous ou vendus à des entreprises qui recueillent des informations.
Lorsque vous utilisez un login social, vous créez un réseau de sites qui savent tous la même chose de vous. En fonction de ce que vous faites sur chaque site, cet identifiant peut être utilisé pour établir un profil publicitaire partagé Envoyez un e-mail à Dan Fritcher, responsable de la technologie chez Sysfi cloud services. Ce profil devient de plus en plus grand au fur et à mesure que le temps passe. La plupart des gens ne s’en soucient guère, mais nous ne savons pas à quoi il servira à l’avenir, ce qui constitue un risque.
En fin de compte, vous devez savoir quelles informations chaque compte partagera et décider si vous êtes d’accord pour y donner accès. Par exemple, un site qui ne s’est pas construit une réputation de confiance peut être plus susceptible de prendre vos coordonnées et de les vendre à des escrocs pour un gain rapide. Un site auquel vous pouvez faire confiance disposera de ce que l’on appelle une “politique de confidentialité” qui vous permettra de savoir quelles informations sont collectées et comment elles seront utilisées.
Il peut également y avoir plus de risques de sécurité avec le SSO qu’avec l’inscription ordinaire. Si un pirate obtient vos informations de connexion aux médias sociaux par hameçonnage ou par une fuite de mot de passe, il pourrait également accéder aux autres comptes que vous avez configurés avec les mêmes informations. Le compte pourrait également être verrouillé, ce qui rendrait impossible l’accès aux sites qui utilisent l’authentification unique. En outre, si les services de Facebook ou de Google tombent en panne, cela peut empêcher temporairement le SSO de fonctionner pour tout le monde sur ce service.
Quelles sont les informations qui sont partagée ?
Voici donc un aperçu de la manière dont les entreprises les plus susceptibles de proposer le SSO partagent leurs données.
Politique de partage de données de Facebook
Lorsqu’une authentification unique est lancée, Facebook communique votre nom, votre adresse e-mail et votre photo de profil, tout comme les autres services. Mais Facebook peut également laisser le tiers voir les informations qui font partie de votre “profil public”. Cela comprend essentiellement tout ce qui figure sur votre page de profil, comme votre âge, votre sexe, votre date de naissance, votre statut relationnel, vos informations familiales, vos loisirs et les appareils que vous utilisez. Cela pourrait même indiquer aux gens où vous avez grandi, ce que vous avez fait pour le travail et l’école, votre religion et vos opinions politiques.
Facebook recueille beaucoup d’informations, et les récents scandales et procès ont montré qu’il est plus qu’heureux de partager ces informations avec des tiers. Certaines de ces informations, cependant, peuvent être marquées comme privées en utilisant les paramètres de confidentialité de Facebook.
Politique de partage de données de Google
Lors de l’authentification unique, Google donne au moins à la tierce partie votre nom, votre adresse e-mail et votre photo de profil. Certaines applications peuvent également essayer d’obtenir vos fichiers, photos, messages ou événements de calendrier Google Drive. Mais elles devront demander ces autorisations avant de pouvoir y accéder.
Politique de partage de données de Twitter
L’accès en lecture sera accordé aux apps qui sont enregistrées via Twitter. Cela inclut le nom d’écran de l’utilisateur, sa photo de profil, sa biographie, son emplacement général, sa langue préférée et son fuseau horaire. L’application peut également voir vos listes de followers, de silencieux et de bloqueurs, ainsi que des statistiques sur vos tweets. En revanche, Twitter ne donne pas votre adresse e-mail lorsque vous vous connectez, sauf si vous le demandez.
Politique de partage de données de Apple
Le processus SSO d’Apple est différent de celui des autres entreprises. Lorsque le registre est lancé, l’application tierce obtient le nom et l’adresse électronique de l’utilisateur. Les utilisateurs peuvent toutefois modifier leurs noms avant qu’ils ne soient envoyés. Ils peuvent également choisir de cacher leur adresse électronique, auquel cas Apple créera une fausse adresse qui sera automatiquement transférée vers votre compte. Si vous avez besoin d’arrêter le spam, vous pouvez également désactiver la redirection à l’avenir. Pour vous connecter à un compte Apple, vous devez également utiliser l’authentification à deux facteurs. La société affirme qu’elle ne conserve aucune information sur la façon dont vous utilisez l’application.
Comment gérer le SSO
Si vous souhaitez utiliser l’authentification unique, vous devez savoir quelles informations sont transférées. Si vous pouvez choisir entre différentes entreprises, choisissez celle qui partagera le moins d’informations. Apple semble être l’un des meilleurs services SSO en fonction des informations partagées et de celles que l’utilisateur peut contrôler. Même si vous ne possédez aucun produit Apple, vous pouvez créer un compte Apple.
Ou vous pouvez utiliser Twitter, ce que Bischoff apprécie. “Par rapport à d’autres réseaux où je stocke beaucoup d’informations et de données privées, presque tout ce qui concerne mon compte Twitter est public, donc il n’y a pas beaucoup plus d’informations qu’une application peut obtenir en se connectant avec Twitter”, dit-il. Mais toutes les applications ne disposent pas de tous ces moyens de se connecter.
Vous devriez également activer l’authentification à deux facteurs, qui envoie un code d’accès temporaire à votre adresse électronique personnelle ou à votre numéro de téléphone, pour rendre vos comptes de médias sociaux plus sûrs. Il s’agit de l’un des moyens les plus rapides et les plus efficaces pour empêcher les gens d’accéder à vos comptes en ligne sans votre permission. Il protégera également vos comptes à authentification unique, ce qui est un bonus. La chose la plus sûre à faire est de créer un mot de passe différent pour chaque service que vous utilisez. Un gestionnaire de mots de passe cryptés vous aidera à garder la trace de tous vos mots de passe.
Notre mot de la fin
Un gestionnaire de mots de passe dédié comme 1Password est une alternative sûre à l’authentification unique. Ce programme place toutes vos informations de connexion dans un dossier crypté que vous ne pouvez ouvrir qu’avec un “mot de passe maître” que vous avez défini. Cette clé maîtresse n’est jamais stockée que localement, hors ligne, de sorte que les pirates ne peuvent pas accéder aux données sans accéder physiquement à votre ordinateur. De nombreux navigateurs Web sont également dotés de gestionnaires de mots de passe intégrés qui utilisent leurs propres méthodes de cryptage.