Des sites, des applications et même d’autres réseaux sociaux proposent la fameuse connexion via Facebook ou Google. Moins courantes, cependant, sont les connexions à l’aide des identifiants de Twitter, LinkedIn ou Microsoft Account. C’est ce qu’on appelle Oauth, une norme d’autorisation de connexion.
Dans les canaux normaux, un site web ou une application mobile demanderait la création d’un compte de plateforme traditionnel en utilisant le courrier électronique, le nom d’utilisateur et le mot de passe. Le système peut ainsi envoyer un message de confirmation (pour s’assurer que vous êtes bien une personne réelle et non un robot) et seulement ensuite créer votre compte et autoriser l’accès.
Lorsque vous ? et le site ? choisissez d’utiliser Google ou Facebook Login pour vous connecter, vous sautez cette danse de “salut, d’accord”, “tout, qui êtes-vous ?”, “c’est moi”… Au lieu de cela, vous utilisez votre identifiant sur ces services pour répondre à votre place et gérer votre compte.
Lorsque vous vous connectez, le site ou l’application dirige votre navigation vers une pop-up Facebook ou Google (vérifiez toujours l’URL) et vous placez vos identifiants : votre gestionnaire d’identification renvoie un jeton au site qui confirme : “oui, cette personne est bien celle qu’elle dit être”.
Allons-y !
Il est à noter que cela n’a rien à voir avec votre mot de passe Facebook et Google ? ou LinkedIn, Twitter et Microsoft. La plate-forme ne recevra jamais votre mot de passe pour cela.
Sommaire
Comment fonctionne le respect de la vie privée lors de l’utilisation de la connexion à Facebook
Selon Facebook, lorsque vous vous connectez au réseau social, le site peut accéder à des informations telles que votre nom et votre adresse électronique, pour vous identifier et vous offrir une expérience personnalisée. “Les politiques de la plate-forme limitent toutefois la manière dont ces sites peuvent utiliser vos informations”, en fonction de vos propres décisions concernant les types d’applications d’information en général et les informations auxquelles vos amis peuvent accéder.
Exemples :
Mais, est-ce tout ce à quoi ils ont accès ?
Au minimum, ils auront accès à votre profil public sur Facebook – faites donc attention à ce qui est public sur votre compte – et à votre adresse électronique. Dans certains cas, cependant, il existe des plateformes qui exigent davantage, notamment celles qui proposent des expériences sociales, comme l’accès à votre liste de contacts ou la possibilité de poster en votre nom sur le Mur. Vous pouvez autoriser ou non certaines choses.
Qu’en est-il de la sécurité des comptes Facebook et Google ?
Lorsque vous choisissez d’utiliser la connexion via Oauth, vous laissez votre sécurité entre les mains de celui qui gère cette identification. En l’occurrence, Google, Facebook, Microsoft, LinkedIn et Twitter.
Cela peut être un point positif si nous sommes optimistes. Le site que vous voulez utiliser peut être de grande qualité et bien intentionné. Mais ils n’ont probablement pas les ressources nécessaires pour investir dans la sécurité au même niveau que les géants de la recherche et les médias sociaux.
Quelques avantages de l’utilisation de Oauth :
Cela semble bien, mais vous devez garder à l’esprit que la sécurité de votre compte Google, Facebook ou Microsoft est essentielle. Suivez donc quelques conseils de prudence :
Un mot de passe fort et unique ;
Vérification en deux étapes (deux facteurs) ;
Que se passe-t-il si Facebook ou Google est piraté ?
C’est le but.
Vous mettez tous vos œufs dans le même panier et il est déjà percé. Comme nous avons pu le voir, la dernière attaque sur Facebook a entraîné une invasion qui a touché 90 millions de comptes ? et ce n’est que plus tard qu’il a été déclaré que la plateforme n’avait trouvé aucune preuve jusqu’au moment où l’incident a touché la connexion Facebook. Parce que les jetons ont tous été immédiatement révoqués, ce qui en a empêché l’accès.
Ainsi, en plus d’assurer la sécurité de votre panier, vous devez avoir confiance.
Cependant, cela vaut la peine d’y réfléchir :
Si vous dépendez d’un compte de courrier électronique pour vous inscrire sur chacun des sites et des applications afin de gérer tous ces comptes séparément, si le courrier électronique est piraté (en tombant dans une escroquerie de phishing, par exemple), le résultat pratique est fondamentalement le même.
Le pirate peut utiliser votre courrier électronique pour réinitialiser tous vos mots de passe dans tous les services, réseaux sociaux et applications dans lesquels vous avez utilisé le courrier électronique pour votre inscription.
D’autre part, si quelqu’un viole votre compte Facebook ou Google, vous aurez beaucoup plus de problèmes si vous utilisez ce compte pour vous connecter à des centaines d’autres sites et applications. Par conséquent, la confiance reste obligatoire. Décidez cependant à qui faire confiance.
Je veux dire, est-ce que c’est sûr ? Aussi sûr que vous faites confiance à ces entreprises.
Autre option : les gestionnaires de mots de passe
Nous parlons d’un autre panier pour stocker vos œufs : les gestionnaires de mots de passe.
Certains sont petits, mais d’autres offrent des fonctionnalités supplémentaires, font payer le service ou sont présents dans des solutions antivirus réputées. Vous pouvez choisir de faire appel à un gestionnaire de mots de passe pour créer et stocker plusieurs mots de passe forts et uniques pour chaque site. Dans ce cas, vous dépendez toujours de la sécurité du site ou de l’application pour protéger ce mot de passe unique et votre compte contre une violation des données.
Notez que s’ils ne répondent pas aux exigences minimales, vous devrez changer le mot de passe ? et ne le ferez (changer le mot de passe) que si vous avez connaissance de la violation (et à temps pour éviter le pire).
L’authentification à deux facteurs empêchera votre compte (sur les sites compatibles avec les ressources) d’être exposé sans cette couche de sécurité. Les meilleurs gestionnaires de mots de passe sont compatibles avec un login à deux facteurs. Si ce n’est pas le cas du vôtre, envisagez de le changer.
Je veux dire, est-ce que c’est sûr ? Aussi sûr que vous faites confiance au gestionnaire de mots de passe et à vos habitudes de ne pas les répéter sur plus d’un site, entre autres paramètres de sécurité. Une violation de mot de passe sur l’un des sites ne portera presque toujours pas préjudice aux autres comptes (tant que ce n’est pas votre adresse électronique). La violation du gestionnaire de mots de passe (choisissez un gestionnaire de confiance) dans son ensemble, met en péril toute votre stratégie.
Et n’oubliez pas que la sécurité n’est pas une chose périodique, mais un processus continu. Vous n’êtes pas en sécurité parce que vous utilisez un outil anti-malware spécifique ? Vous êtes en sécurité parce que vous alimentez chaque jour un état d’esprit de sécurité personnelle et numérique.