35744345420
Is_It_Safe_to_Log_in_with_Facebook_or_Google-Hero

Écrit par Jonathan Lemonnier & Nica Latto
Publié le 16 September 2016

Vous avez été sur Internet récemment ?

Alors vous avez probablement croisé ces boutons plus d'une fois en essayant de vous inscrire sur un nouveau site ou service :

Boutons de connexion avec Facebook et Google

Certains services proposent également de s

e connecter avec Twitter, LinkedIn ou Microsoft. D'autres n'autorisent même pas l'inscription avec une adresse e-mail ou un compte autonome à l'ancienne.

Vous vous êtes probablement dit Bon. Vous avez gagné, et avez accepté ces conditions, avant de vous arrêter au dernier moment et de vous demander : Une seconde. C'est sécurisé, au moins ?

On parle d'Oauth (ce qui signifie open standard for authorization, norme d'autorisation ouverte) et voici comment cela fonctionne.

Cet article contient :

     

    Que se passe-t-il lorsque vous vous connectez avec Facebook ou Google ?

    Imaginons que vous souhaitiez vous inscrire sur mangeursdepetitsgateaux.com parce que vous avez un désir irrépressible de voir d'autres personnes manger des petits gâteaux...

    Après tout, pourquoi pas ? Nous ne jugeons personne.

    Dans le cadre de sa procédure normale, mangeursdepetitsgateaux.com vous demanderait de créer un compte. Le site vous demanderait de créer (encore) un nom d'utilisateur et de fournir une adresse e-mail à laquelle ils peuvent envoyer un message de confirmation pour vérifier que vous êtes un humain et pas un robot amateur de petits gâteaux.

    En utilisant Facebook ou Google pour vous connecter, le site et vous ignorez cet échange. Au lieu de cela, vous demandez à ces services de se porter garant pour vous et de gérer votre compte.

    S'il ne faut retenir qu'une seule chose, la voici : ce nouveau service ne reçoit jamais votre mot de passe.

    Lorsque vous vous connectez, mangeursdepetitsgateaux.com vous envoie vers Facebook ou Google, et vous vous connectez via leur service. Facebook et Google renvoient ensuite un jeton au site, qui dit « Ouep, cette personne est bien réelle. Continuez. »

    Vous pouvez ensuite explorer librement le monde merveilleux des mangeurs de petits gâteaux.

    Où est le piège ?

    Il y a un piège, bien évidemment. On parle de Facebook et de Google, après tout.

    Dans la plupart des cas, les services auxquels vous accédez accèderont à certains éléments de vos comptes.

    Ils accèderont au moins à votre profil Facebook public ou à votre adresse e-mail. Mais dans certains cas, ils peuvent accéder à plus d'éléments, comme votre liste de contacts ou la possibilité de publier des messages sur votre mur.

    Facebook offre un certain niveau de contrôle granulaire sur ce que vous partagez et Google suivra probablement. Gardez à l'esprit que certains services dépendent de ces informations, alors leur refuser l'autorisation peut les perturber.

    D'accord. Donc, est-ce sécurisé ?

    De bien des façons, oui. En fait, il est beaucoup plus sécurisé de se connecter à d'autres sites Internet via Google ou Facebook que de créer un compte et un mot de passe autonomes. Voici pourquoi :

    1. Un mot de passe à retenir en moins

      Croyez-en notre expérience : la sécurité, c'est difficile.

      À moins d'utiliser un gestionnaire de mots de passe, plus vous créez de mots de passe (et vous devriez créer des mots de passe uniques pour chaque site que vous utilisez), plus ils ont de chances d'être faibles.

      Si l'un de ces sites est victime d'un piratage, les pirates pourront déchiffrer vos modèles de création de mots de passe. Pire encore, si vous n'avez pas utilisé de mots de passe uniques, ils possèdent désormais la clé de tous vos comptes.

      Avec Oauth, vous pouvez vous assurer que votre mot de passe n'est pas faible et qu'il s'agira du seul mot de passe dont vous devrez vous souvenir.

    2. Vous dépendez de la sécurité de Facebook ou de Google

      Comme je viens de le dire : la sécurité, c'est difficile.

      Mangeursdepetitsgateaux.com est peut-être un super site Web. Mais ils n'ont probablement pas les ressources nécessaires pour investir dans un niveau de sécurité similaire à celui des Facebook et des Google du monde entier.

      Pour mieux comprendre, posez-vous la question suivante : puis-je faire confiance à ce site Internet pour assurer la sécurité de mes informations ? Il est fort probable que vous fassiez déjà confiance à Facebook et Google, contrairement à un petit site Internet.

    3. En cas de piratage, les pertes sont minimes

      N'oubliez pas que mangeursdepetitsgateaux.com ne possède pas votre mot de passe. Il possède seulement un jeton lui permettant de confirmer votre identité auprès de Google ou Facebook. S'il se fait pirater, vos informations ne seront pas perdues.

    4. Vous pouvez révoquer l'accès

      Même si mangeursdepetitsgateaux.com se fait pirater ou si vous avez enfin assouvi votre envie de petits gâteaux et que vous souhaitez tourner la page, vous pouvez toujours révoquer le jeton et son accès à vos données. Ce sera probablement bien mieux que le système de gestion des comptes utilisé par les amateurs de petits gâteaux : dans de nombreux cas, ces systèmes ne possèdent pas d'option permettant de supprimer les comptes.

    5. Vous pouvez utiliser l'authentification à deux facteurs

      C'est sans doute le point le plus important : peu importe la force du mot de passe que vous créez, ce n'est pas aussi efficace que l'ajout d'une deuxième méthode de vérification de votre identité. Dans la plupart des cas, il peut s'agir d'un simple code limité dans le temps envoyé sur votre téléphone par SMS ou via une application comme Authy, mais il existe d'autres méthodes.

      La plupart des services proposant Oauth proposent également une authentification à deux facteurs. Si vous ne l'avez pas encore activée, vous devriez le faire.

      Authentification à deux facteurs

    Le problème du panier

    Mais je vous vois venir : que faire en cas de piratage de Facebook ou Google ? Cela ne revient-il pas à mettre ses œufs dans le même panier ?

    Dans une certaine mesure, oui. C'est pourquoi vous devez vous assurer que vous possédez un mot de passe fort et que vous avez activé l'authentification à deux facteurs pour ces comptes.

    Mais réfléchissez : si vous dépendez d'un compte e-mail pour gérer tous ces comptes séparés et que ce dernier est victime d'un piratage, c'est la même histoire, mais avec un panier différent. Le pirate peut utiliser votre e-mail pour réinitialiser les mots de passe de tous vos services.

    En ce sens, Facebook peut sembler un peu plus sécurisé, étant donné que votre compte Facebook ne vous sert généralement pas de compte e-mail. Mais il existe des moyens d'atténuer les violations d'e-mail, et ce quel que soit le service.

    Et si j'utilisais plutôt un gestionnaire de mots de passe ?

    Il y a beaucoup de bien à dire au sujet des gestionnaires de mot de passe.

    Mais dans ce cas, dépendre d'un gestionnaire de mots de passe pour créer plusieurs mots de passe forts et uniques pour chaque site n'améliore pas la sécurité offerte par les connexions Oauth fournies par Google ou Facebook.

    Tout d'abord, vous dépendez toujours de la sécurité du modeste service de mangeursdepetitsgateaux.com pour protéger ce mot de passe unique et votre compte d'une faille. S'ils ne sont pas à la hauteur de vos attentes, vous devrez modifier ce mot de passe et vous le ferez seulement si vous entendez parler d'une faille.

    En attendant ? Vous avez été piraté et quelqu'un s'amuse avec votre compte et vos données.

    Une fois encore, l'authentification à deux facteurs peut régler ce problème. Et les meilleurs gestionnaires de mots de passe la prennent désormais en charge. Si ce n'est pas le cas de votre gestionnaire, envisagez d'en adopter un nouveau.

    Deuxièmement, vous utilisez encore un panier différent : cette fois, votre gestionnaire de mots de passe. Savoir si ce gestionnaire est plus sécurisé que Google ou Facebook est discutable, mais le fait qu'une violation du gestionnaire signifie que les pirates ont accès à tous vos comptes est indéniable.

    Sans oublier que les gestionnaires de mots de passe ne sont pas immunisés contre le piratage.

    Assez tourné autour du pot : dois-je l'utiliser oui ou non ?

    Si vous utilisez un mot de passe fort et si vous avez configuré l'authentification à deux facteurs pour votre compte Facebook ou Google, oui. Ce sera plus sécurisé que la plupart des autres solutions.

    Connectez-vous en privé sur votre iPhone avec le VPN AVG Secure

    Essai gratuit

    Connectez-vous en privé sur votre appareil Android avec le VPN AVG Secure

    Essai gratuit
    Réseaux sociaux
    Confidentialité
    Jonathan Lemonnier & Nica Latto
    16-09-2016