Lorsque vous envisagez de créer un nouveau compte pour un site Web, il est probable que vous ayez la possibilité d'utiliser votre compte Facebook , Google ou autre comme identifiant. Cette méthode est communément appelée authentification unique (SSO) . La connectivité Facebook et Google sont les offres les plus courantes, mais certains services ajoutent également des comptes Apple, Twitter et LinkedIn .
La question est la suivante : devez-vous utiliser l'un de ces comptes existants pour vous connecter à ce nouveau site Web, ou vous donner la peine de créer un nouveau compte avec votre adresse e-mail ?
La méthode d'authentification unique peut vous permettre de vous inscrire très rapidement à un nouveau service . Cependant, cela vous donne moins de contrôle sur les informations partagées lorsque le compte est activé. Vos informations d'identification sur les réseaux sociaux partageront probablement des informations telles que votre adresse e-mail, votre nom et votre photo de profil avec l'application, et elle pourra peut-être accéder à des informations plus personnelles telles que votre date de naissance et votre numéro de téléphone. Ce qui est ou non partagé dépend en fin de compte des politiques du compte préexistant et de celui auquel vous êtes inscrit. L'application doit également fournir un texte indiquant clairement ce qui est partagé pendant le processus d'inscription.
Pour aplanir tous les détails, nous avons fait appel aux experts en cybersécurité Paul Bischoff et Dan Fritcher pour donner un aperçu du fonctionnement de cette technologie SSO. Nous expliquerons également comment Google, Facebook, Apple et Twitter gèrent les tiers qui accèdent à vos données par leur intermédiaire.
Les avantages de l'authentification unique
Le principal argument de vente du SSO est simplement le gain de temps et la commodité. Il évite le long processus d'inscription consistant à remplir des formulaires et des champs, car ces informations peuvent probablement être extraites de votre compte de réseau social. Cela réduit également les tracas liés au suivi des noms d'utilisateur et des mots de passe, et lesquels correspondent à quoi. Après la énième création de compte, cela peut sembler une tâche presque impossible. Votre compte préexistant agit comme une clé qui peut être utilisée pour accéder à une grande variété de services. Bien que le tiers soit en mesure de collecter les données de cette transaction, il ne pourra pas voir votre mot de passe de réseau social.
"Dans l'ensemble, s'inscrire avec une connexion sociale n'est pas nécessairement plus ou moins sécurisé que de simplement s'inscrire avec un e-mail et un mot de passe", déclare Paul Bischoff, spécialiste de la confidentialité pour Comparitech , par e-mail. "Les petites applications et les sites Web ont probablement moins de sécurité que les grands réseaux sociaux, donc renoncer à la transmission d'un mot de passe et d'une adresse e-mail en faveur d'une connexion sociale pourrait être une option plus sûre. Cela étant dit, les développeurs sont également connus pour abuser des données de connexion sociale. (voir : Cambridge Analytica )."
Certaines applications peuvent également utiliser un compte lié pour importer des fichiers utiles. Par exemple, Dropbox permet d'importer directement des photos de Facebook vers le stockage en nuage. Les suites de productivité telles que Zoom et Slack peuvent également être synchronisées avec le calendrier Google. Cependant, vous n'êtes pas obligé d'utiliser l'authentification unique pour profiter de ces fonctions.
Les inconvénients de l'authentification unique
Les inconvénients du SSO se résument tous à des préférences personnelles et à la sécurité. Cette méthode limite le choix de ce qui est partagé lors de l'inscription. Comme mentionné précédemment, l'application peut être autorisée à récupérer des noms, des photos et des informations de contact, bien que vous ayez peut-être saisi bon nombre de ces éléments lors de l'inscription, quelle que soit la méthode que vous utilisez. Dans certains cas, la nouvelle application accède à des informations plus personnelles telles que votre âge, votre emplacement ou vos centres d'intérêt. Ces informations peuvent ensuite être utilisées pour vous proposer des publicités personnalisées ou vendues à des sociétés de collecte de données .
"L'utilisation d'un identifiant social crée un réseau de sites qui détiennent un identifiant partagé sur vous. Cet identifiant peut être utilisé pour créer un profil publicitaire partagé en fonction de votre activité sur chacun des sites", envoie un e-mail à Dan Fritcher, directeur de la technologie de Sysfi cloud. services . "Au fil du temps, ce profil devient de plus en plus grand. Pour la plupart des gens, cela n'aura pas beaucoup d'importance, mais le risque est que nous n'avons aucune idée de ce à quoi il servira à l'avenir."
En fin de compte, vous devez savoir quelles données chaque compte partagera et décider si vous êtes à l'aise ou non avec l'autorisation d'accès. Par exemple, un site qui n'a pas construit sa propre réputation de confiance peut être plus susceptible de prendre vos coordonnées et de les vendre à des escrocs pour un prix rapide. Les sites dignes de confiance disposeront d'une documentation accessible décrivant les données qu'ils collectent et indiquant exactement comment elles sont destinées à être utilisées, communément appelées politique de confidentialité .
Le SSO peut également présenter plus de risques de cybersécurité que l'enregistrement régulier. Si un pirate parvient à obtenir votre connexion aux réseaux sociaux par hameçonnage ou fuite de mot de passe, il peut également avoir libre cours sur les autres comptes que vous avez enregistrés à l'aide de ces informations. Le compte peut également être verrouillé, bloquant l'accès aux sites qui utilisaient l'authentification unique. De plus, si Facebook ou Google subit une panne de service , cela peut bloquer temporairement la fonction SSO de ce service à tous les niveaux.
Cela dit, voici un aperçu des politiques de partage de données des entreprises les plus susceptibles d'offrir le SSO.
Politique de partage de données de Facebook
Comme d'autres services, Facebook fournira votre nom, votre adresse e-mail et votre photo de profil lorsqu'une connexion unique est initiée. Cependant, Facebook peut également donner au tiers accès aux informations qu'il classe sous le parapluie " profil public ". Cela couvre essentiellement tout ce qui est mis à disposition sur votre page de profil, y compris des détails plus personnels tels que votre âge, votre sexe, votre date de naissance, votre statut relationnel, vos détails familiaux, vos loisirs et les appareils utilisés. Il peut même servir des éléments tels que votre ville natale, vos antécédents professionnels et éducatifs, votre religion et vos tendances politiques.
Les données que Facebook collecte sont vastes et il est plus que disposé à partager ces données avec des tiers, comme l'ont montré de récents scandales et poursuites judiciaires . Cependant, certaines de ces informations peuvent être signalées comme non publiques à l'aide des options de confidentialité de Facebook .
Politique de Google
Au minimum, Google partagera votre nom, votre adresse e-mail et votre photo de profil avec le tiers lors de l'authentification unique. Certaines applications peuvent également tenter de récupérer des fichiers, des photos, des messages ou des événements d'agenda stockés sur votre Google Drive. Cependant, ils devront demander spécifiquement ces autorisations pour obtenir l'accès.
Politique de Twitter
Les applications enregistrées via Twitter se verront accorder un accès en lecture, qui comprend le nom d'écran, la photo de profil, la biographie, l'emplacement général, la langue préférée et le fuseau horaire. L'application peut également voir toutes vos analyses de tweet, ainsi que les listes de suiveurs, de muets et de blocage. D'autre part, Twitter ne partage pas votre adresse e-mail lors de la connexion, sauf demande expresse.
La politique d'Apple
Le processus SSO d'Apple est unique par rapport aux autres. Lorsque le registre est lancé, le nom et l'e-mail sont partagés avec l'application tierce. Cependant, les utilisateurs ont la possibilité de modifier leur nom avant qu'il ne soit envoyé. Ils peuvent également choisir de masquer leur adresse e-mail, auquel cas Apple générera une adresse fictive qui sera automatiquement renvoyée à votre compte. Le transfert peut également être désactivé à l'avenir pour empêcher le spam, si nécessaire. L'authentification à deux facteurs est également requise pour se connecter à Apple. La société affirme qu'elle ne collecte aucune donnée sur votre interaction avec l'application.
Que faire à propos de l'authentification unique
Si vous envisagez d'utiliser l'authentification unique, sachez quelles informations sont transférées. Si vous avez le choix entre plusieurs entreprises, optez pour le service qui partagera le moins de données. Sur la base des informations partagées et de ce que les utilisateurs contrôlent, Apple semble être l'un des meilleurs services à utiliser en matière de SSO. Vous pouvez créer un compte Apple même si vous n'avez aucun appareil Apple .
Ou vous pouvez opter pour Twitter comme le préfère Bischoff. "Par rapport à d'autres réseaux où je stocke beaucoup d'informations et de données privées, presque tout ce qui concerne mon compte Twitter est public, il n'y a donc pas beaucoup plus de données qu'une application peut glaner lorsque vous vous connectez avec Twitter", dit-il. Cependant, toutes les applications n'auront pas toutes les options de connexion disponibles.
Vous devez également renforcer la sécurité de vos réseaux sociaux en activant l'authentification à deux facteurs , qui génère un code d'accès temporaire à envoyer à votre adresse e-mail ou numéro de téléphone personnel. Il s'agit de l'une des méthodes les plus rapides et les plus efficaces pour empêcher les accès en ligne indésirables, et elle aura également l'avantage de protéger vos comptes d'authentification unique. La pratique la plus sûre consiste à créer des mots de passe uniques pour chaque service que vous utilisez, et un gestionnaire de mots de passe cryptés sera utile pour garder une trace de chacun d'eux.
Maintenant c'est utile
Une alternative sécurisée au SSO est un gestionnaire de mots de passe dédié tel que 1Password . Ce programme stocke toutes vos données de connexion dans un dossier crypté accessible uniquement avec un "mot de passe principal" défini par l'utilisateur. Cette clé principale n'est jamais stockée que localement, hors ligne, ce qui rend pratiquement impossible pour les pirates d'obtenir les données sans accès physique à votre ordinateur. De nombreux navigateurs Web fournissent également des gestionnaires de mots de passe intégrés , utilisant leurs propres méthodes de cryptage.