"Continuer avec Google" : voilà une façon très simple de s'inscrire et de se connecter à un site web ou à une application, d'autant plus que vous êtes probablement déjà connecté à votre compte Google. Il vous suffit d'appuyer ou de cliquer sur le bouton pour autoriser le partage de certaines données personnelles de votre compte Google avec le service en ligne tiers.
La commodité étant souvent de mise de nos jours, de nombreux sites vous permettent de vous connecter à l'aide de votre compte Facebook, Google, Microsoft, LinkedIn, Apple ou d'un autre compte d'une grande entreprise technologique. Les options ne manquent généralement pas pour satisfaire tous les goûts.
En revanche, lorsque vous associez votre connexion Google à un autre service, vous autorisez Google à partager vos informations personnelles en échange d'une facilité d'accès et d'un confort d'utilisation. Dans quelle mesure cela peut-il être sûr ?
Pour vous aider à trouver un équilibre entre sécurité et commodité, nous avons rassemblé les avantages et les inconvénients de l'utilisation d'une méthode d'authentification grand public appelée Single Sign-On (SSO), également connue sous le nom de Social Login, pour vos comptes personnels en ligne.
Un seul identifiant pour tous !
Tout d'abord, qu'est-ce que l'authentification unique ? Il s'agit d'un système d'authentification qui permet à une organisation d'obtenir un accès consenti à vos informations personnelles tout en vous permettant de vous inscrire et de vous connecter à ses services au lieu de vous demander de vous enregistrer via un formulaire autonome.
Il n'est pas étonnant que cette pratique soit si répandue sur l'internet :
- Facilité d'inscription et d'accès. Au lieu de devoir remplir un énième formulaire avec vos nom, prénom, numéro de téléphone ou adresse électronique, il vous suffit de cliquer sur l'option SSO de votre choix et de partager ces informations (et éventuellement d'autres) avec la nouvelle application ou le nouveau site web. [Il est important de noter que votre mot de passe n' est jamais communiqué au site web -votre identité est vérifiée au moyen d'un jeton d'authentification]
- Attraction et acquisition d'utilisateurs. Les services en ligne ne savent que trop bien que plus il est facile de s'inscrire et de se connecter, plus on est susceptible de le faire - et de revenir.
- Finie la lassitude des mots de passe. Les exigences en matière de mot de passe varient d'un site web à l'autre ; en outre, nous devrions utiliser une combinaison unique de nom d'utilisateur et de mot de passe à chaque fois. Mais grâce à cette implémentation du SSO, la mise en place d'un mot de passe fort avec une seule des grandes plateformes internet peut vous donner accès à des centaines d'autres sites web, ce qui réduit considérablement le nombre de mots de passe que vous devez créer et mémoriser.
- Meilleure prévention des compromissions de comptes auto-infligées (dans certains cas). Nos listes de mots de passe devenant trop longues à mémoriser, de nombreuses personnes peuvent conserver leurs informations d'identification sur papier ou dans une feuille de calcul Excel. Mais que se passe-t-il si quelqu'un met la main sur cette liste de mots de passe? Le fait de n'avoir à retenir que le mot de passe de votre compte Google et de sécuriser correctement ce compte peut réduire la nécessité de créer une liste de mots de passe mal protégée et d'en dépendre (par exemple, si les gestionnaires de mots de passe ne sont pas votre tasse de thé).
Alors, faut-il toujours utiliser le SSO ?
La réponse est claire : non, il y a aussi des inconvénients. Plus précisément, si le SSO offre de sérieux avantages aux utilisateurs, il les expose à des risques qui peuvent ne se révéler que trop tard. Quelles sont les implications ?
- Tous vos œufs sont dans le même panier. Si vos identifiants Facebook ou Google tombent entre de mauvaises mains, les cybercriminels ont non seulement accès à votre compte, mais aussi à tous les autres sites web auxquels vous l'avez lié. Ce qui nous amène au point suivant...
- Protégez votre compte principal "comme si votre vie en dépendait". Un mot de passe fort - qui peut prendre la forme d'une phrase mélangeant des lettres majuscules et minuscules et des chiffres - peut être la clé de la protection de vos comptes et de vos données personnelles. Si, pour une raison quelconque, vous n'utilisez pas de gestionnaire de mots de passe, vous pouvez envisager de choisir une phrase de passe dont le format vous permet d'ajouter le nom du site web, mais sans que l'ensemble de la chaîne ne soit trop prévisible.
- La protection de la vie privée. Lorsque vous liez des comptes, vous autorisez la transmission de vos informations personnelles au site web - et, compte tenu de la facilité avec laquelle cela est mis en place, vous pouvez consentir à transférer plus d'informations que vous ne l'imaginez. Et si Facebook, Google, Microsoft ou Apple vous permettent de vérifier toutes vos connexions avec des tiers, le fait de révoquer l'accès ne signifie pas que vous révoquez également le consentement d'un site web à utiliser vos données. De plus, si, après avoir "supprimé les connexions", vous vous rendez à nouveau sur le même site web et utilisez votre identifiant social préféré, vous serez autorisé à entrer comme avant, comme si vous n'aviez jamais révoqué l'accès.
- L'attraction et l'acquisition d'utilisateurs (et les implications pour votre empreinte numérique). Il est vrai que nous avons cité l'acquisition efficace d'utilisateurs comme l'un des avantages du SSO pour les applications et les sites web, mais il peut s'agir d'une arme à double tranchant. Si vous finissez par vous enregistrer pour des applications ou des sites web dont vous n'avez jamais vraiment eu besoin, combien de temps faudra-t-il avant que vous ne les oubliiez ? Pour y remédier, veillez à garder une trace de tous les sites web sur lesquels vous vous êtes inscrit et des informations personnelles qu'ils conservent à votre sujet - par exemple, les informations relatives à votre carte de crédit peuvent être stockées sur un site web que vous avez utilisé une fois et oublié. Bien que cela puisse se produire quelle que soit la manière dont vous vous connectez, la nature sans friction de la méthode "express" peut vous rendre plus enclin à oublier toutes les applications ou sites web auxquels vous vous êtes connecté avec votre compte Google ou Facebook.
Alors, SSO ou pas SSO ?
Associés à d'autres mesures de sécurité et de protection de la vie privée, les identifiants sociaux peuvent faire gagner beaucoup de temps. Mais dans le cas de sites web qui conservent vos informations personnelles telles que votre nom complet, votre adresse, vos coordonnées bancaires ou vos numéros de carte de crédit, il est plus sûr d'opter pour un compte autonome sécurisé par une phrase de passe complexe et unique, ainsi que par une authentification à deux facteurs (2FA).
En bref, n'envisagez d'utiliser le SSO que si vous :
- activez - et nous n'insisterons jamais assez sur ce point - l'authentification à deux facteurs (2FA) sur le compte principal, car il sera alors plus difficile pour quiconque d'usurper votre identité en ligne,
- faire confiance à la plateforme que vous utilisez pour accéder à l'autre site web - la confiance est une chose inconstante, cependant, et vous devez toujours prendre d'autres précautions,
- utilisez des services de paiement tels que PayPal ou une carte de crédit virtuelle comme options de paiement pour tout site web auquel vous avez accédé en utilisant le SSO ; cela vous permettra d'éviter de divulguer vos coordonnées bancaires,
- utilisez les paramètres de votre compte principal pour garder une trace de tous les sites web auxquels vous l'avez lié.
Y a-t-il une autre solution ?
Il peut être difficile de trouver un équilibre entre la facilité d'accès à tous vos comptes en ligne et la sécurité de ces derniers. Il existe d'autres moyens d'y parvenir que les identifiants sociaux :
Une solution évidente consiste à créer un compte autonome pour chaque service et à utiliser un gestionnaire de mots de passe qui vous évite de vous casser la tête à créer, gérer et remplir automatiquement vos identifiants de connexion. Une autre option consiste à utiliser une adresse électronique jetable, en particulier pour les sites web qui ne vous intéressent pas vraiment ou que vous n'avez pas l'intention d'utiliser à nouveau. En outre, certains gouvernements ont mis au point un identifiant citoyen unique qui permet aux citoyens d'accéder en ligne aux services offerts par certains organismes publics et privés.
Quelle que soit l'approche choisie, vous profiterez de votre présence en ligne sans trop d'ennuis (ou de tracas) à condition de respecter les pratiques générales de cyber-hygiène, notamment en évitant de divulguer vos informations d'identification, en utilisant le 2FA et en restant conscient de votre empreinte numérique complète.