Sécurité

Est-il sûr de se connecter avec des comptes Facebook et Google ?

Des sites, des applications et même d’autres réseaux sociaux proposent la fameuse connexion via Facebook ou Google. Moins courantes, cependant, sont les connexions à l’aide des identifiants de Twitter, LinkedIn ou Microsoft Account. C’est ce qu’on appelle Oauth, une norme d’autorisation de connexion.

Dans les canaux normaux, un site web ou une application mobile demanderait la création d’un compte de plateforme traditionnel en utilisant le courrier électronique, le nom d’utilisateur et le mot de passe. Le système peut ainsi envoyer un message de confirmation (pour s’assurer que vous êtes bien une personne réelle et non un robot) et seulement ensuite créer votre compte et autoriser l’accès.

Lorsque vous ? et le site ? choisissez d’utiliser Google ou Facebook Login pour vous connecter, vous sautez cette danse de “salut, d’accord”, “tout, qui êtes-vous ?”, “c’est moi”… Au lieu de cela, vous utilisez votre identifiant sur ces services pour répondre à votre place et gérer votre compte.

Lorsque vous vous connectez, le site ou l’application dirige votre navigation vers une pop-up Facebook ou Google (vérifiez toujours l’URL) et vous placez vos identifiants : votre gestionnaire d’identification renvoie un jeton au site qui confirme : “oui, cette personne est bien celle qu’elle dit être”.

Allons-y !

Il est à noter que cela n’a rien à voir avec votre mot de passe Facebook et Google ? ou LinkedIn, Twitter et Microsoft. La plate-forme ne recevra jamais votre mot de passe pour cela.

Comment fonctionne le respect de la vie privée lors de l’utilisation de la connexion à Facebook

Selon Facebook, lorsque vous vous connectez au réseau social, le site peut accéder à des informations telles que votre nom et votre adresse électronique, pour vous identifier et vous offrir une expérience personnalisée. “Les politiques de la plate-forme limitent toutefois la manière dont ces sites peuvent utiliser vos informations”, en fonction de vos propres décisions concernant les types d’applications d’information en général et les informations auxquelles vos amis peuvent accéder.

  Gmail aura coché des cases pour lutter contre les faux e-mails

Exemples :

  • Si vous avez bloqué quelqu’un, il ne pourra pas vous voir sur les sites auxquels vous vous connectez.
  • Lorsque les gens accèdent à un site web, ils ne pourront pas voir les informations que vous avez ajoutées et auxquelles ils n’auraient pas accès en naviguant normalement sur Facebook.
  • Mais, est-ce tout ce à quoi ils ont accès ?

    Au minimum, ils auront accès à votre profil public sur Facebook – faites donc attention à ce qui est public sur votre compte – et à votre adresse électronique. Dans certains cas, cependant, il existe des plateformes qui exigent davantage, notamment celles qui proposent des expériences sociales, comme l’accès à votre liste de contacts ou la possibilité de poster en votre nom sur le Mur. Vous pouvez autoriser ou non certaines choses.

    Qu’en est-il de la sécurité des comptes Facebook et Google ?

    Lorsque vous choisissez d’utiliser la connexion via Oauth, vous laissez votre sécurité entre les mains de celui qui gère cette identification. En l’occurrence, Google, Facebook, Microsoft, LinkedIn et Twitter.

    Cela peut être un point positif si nous sommes optimistes. Le site que vous voulez utiliser peut être de grande qualité et bien intentionné. Mais ils n’ont probablement pas les ressources nécessaires pour investir dans la sécurité au même niveau que les géants de la recherche et les médias sociaux.

    Quelques avantages de l’utilisation de Oauth :

  • Un login et un mot de passe en moins à mémoriser ;
  • Cela vous évitera de répéter les mots de passe sur plusieurs sites ;
  • Vous serez en sécurité avec Google, Facebook, Microsoft et autres ;
  • Si le site ou l’application est piraté, aucun d’entre eux ne possède votre mot de passe ou vos données ;
  • Vous pouvez révoquer l’accès à tout moment dans les paramètres ;
  •   Intel promet des processeurs protégés contre la fusion et les spectres cette année

    Cela semble bien, mais vous devez garder à l’esprit que la sécurité de votre compte Google, Facebook ou Microsoft est essentielle. Suivez donc quelques conseils de prudence :

    Un mot de passe fort et unique ;

    Vérification en deux étapes (deux facteurs) ;

    Que se passe-t-il si Facebook ou Google est piraté ?

    C’est le but.

    Vous mettez tous vos œufs dans le même panier et il est déjà percé. Comme nous avons pu le voir, la dernière attaque sur Facebook a entraîné une invasion qui a touché 90 millions de comptes ? et ce n’est que plus tard qu’il a été déclaré que la plateforme n’avait trouvé aucune preuve jusqu’au moment où l’incident a touché la connexion Facebook. Parce que les jetons ont tous été immédiatement révoqués, ce qui en a empêché l’accès.

    Ainsi, en plus d’assurer la sécurité de votre panier, vous devez avoir confiance.

    Cependant, cela vaut la peine d’y réfléchir :

    Si vous dépendez d’un compte de courrier électronique pour vous inscrire sur chacun des sites et des applications afin de gérer tous ces comptes séparément, si le courrier électronique est piraté (en tombant dans une escroquerie de phishing, par exemple), le résultat pratique est fondamentalement le même.

    Le pirate peut utiliser votre courrier électronique pour réinitialiser tous vos mots de passe dans tous les services, réseaux sociaux et applications dans lesquels vous avez utilisé le courrier électronique pour votre inscription.

    D’autre part, si quelqu’un viole votre compte Facebook ou Google, vous aurez beaucoup plus de problèmes si vous utilisez ce compte pour vous connecter à des centaines d’autres sites et applications. Par conséquent, la confiance reste obligatoire. Décidez cependant à qui faire confiance.

    Je veux dire, est-ce que c’est sûr ? Aussi sûr que vous faites confiance à ces entreprises.

    Autre option : les gestionnaires de mots de passe

    Nous parlons d’un autre panier pour stocker vos œufs : les gestionnaires de mots de passe.

      Facebook paie des enfants pour installer une application qui collecte des données personnelles sur iOS et Android

    Certains sont petits, mais d’autres offrent des fonctionnalités supplémentaires, font payer le service ou sont présents dans des solutions antivirus réputées. Vous pouvez choisir de faire appel à un gestionnaire de mots de passe pour créer et stocker plusieurs mots de passe forts et uniques pour chaque site. Dans ce cas, vous dépendez toujours de la sécurité du site ou de l’application pour protéger ce mot de passe unique et votre compte contre une violation des données.

    Notez que s’ils ne répondent pas aux exigences minimales, vous devrez changer le mot de passe ? et ne le ferez (changer le mot de passe) que si vous avez connaissance de la violation (et à temps pour éviter le pire).

    L’authentification à deux facteurs empêchera votre compte (sur les sites compatibles avec les ressources) d’être exposé sans cette couche de sécurité. Les meilleurs gestionnaires de mots de passe sont compatibles avec un login à deux facteurs. Si ce n’est pas le cas du vôtre, envisagez de le changer.

    Je veux dire, est-ce que c’est sûr ? Aussi sûr que vous faites confiance au gestionnaire de mots de passe et à vos habitudes de ne pas les répéter sur plus d’un site, entre autres paramètres de sécurité. Une violation de mot de passe sur l’un des sites ne portera presque toujours pas préjudice aux autres comptes (tant que ce n’est pas votre adresse électronique). La violation du gestionnaire de mots de passe (choisissez un gestionnaire de confiance) dans son ensemble, met en péril toute votre stratégie.

    Et n’oubliez pas que la sécurité n’est pas une chose périodique, mais un processus continu. Vous n’êtes pas en sécurité parce que vous utilisez un outil anti-malware spécifique ? Vous êtes en sécurité parce que vous alimentez chaque jour un état d’esprit de sécurité personnelle et numérique.

  • A propos de l'auteur

    Bernard

    Actuellement responsable informatique dans une PME, je bosse dans le domaine depuis une vingtaine d'année maintenant. Fan inconditionnel de DBZ, et de la triologie Die Hard. #teamWindows sur Perlmol !

    Laisser un commentaire