Contenu

S'inscrire à des services web en utilisant ses comptes de réseaux sociaux : pratique, mais...

Il y a quelques mois, le G29 adoptait des lignes directrices pour obtenir le consentement des utilisateurs lors de l’installation de cookies sur leurs ordinateurs. Seulement les cookies ne sont que la partie émergée de l’iceberg… Une autre méthode existe pour les grosses sociétés comme Google, Facebook et Twitter, d’obtenir des données sur les internautes sans utiliser de cookies : l’authentification unique via les comptes de réseaux sociaux.

Cookies

Les cookies sont de petits fichiers qui peuvent être utiles, voire indispensables, mais qui peuvent aussi se transformer en mouchards. Ainsi, lorsque vous faites des achats en ligne et que vous ajoutez des articles dans votre panier d’achats, comment faire en sorte que celui-ci garde votre article en mémoire ? On stocke ces informations dans un cookie. Il en va de même lorsque vous cochez la case “rester connecté” ou “connexion automatique” lorsque vous vous connectez à un site. Mais les services comme Google et Facebook s’en servent aussi pour vous pister partout.

Pour limiter l’action et la transmission de données de ces cookies, il existe des outils comme Ghostery et les bloqueurs de publicité comme uBlock Origin.

Authentification unique

Seulement, on nous traque aussi autrement : par le biais de l’authentification unique.

L’authentification unique (ou identification unique ; en anglais Single Sign-On : SSO) est une méthode permettant à un utilisateur d’accéder à plusieurs applications informatiques (ou sites web sécurisés) en ne procédant qu’à une seule authentification. (Wikipedia)

Vous avez sûrement déjà remarqué, lorsque vous souhaitez vous inscrire sur un site ou utiliser un service web, on vous propose souvent différentes options : connectez-vous via votre compte Facebook, Google+, Twitter, ou créez un compte spécifique.

Aujourd’hui, les utilisateurs ont une multitude de comptes partout et n’importe où. Et si l’on suit les recommandations en matière de sécurité, il faut créer un mot de passe différent pour chaque service. Quand on en a plus de 300 comme moi, soit on a une excellente mémoire, soit on s’équipe d’outils, soit… on se connecte via les réseaux sociaux.

Quoi de plus simple après tout ! Il n’y a pas de mot de passe à créer, le service saurait automatiquement quelles sont les données (email, pseudonyme, prénom, nom, pays, fuseau horaire, etc.) dont il a besoin sans que l’utilisateur doive les saisir, etc. Et pour les fournisseurs de service, cela présente aussi des avantages en terme de coûts, de taille de base de données, etc.

Quels risques ?

Si la paresse des internautes est bien compréhensible, elle comporte également des risques supplémentaires en matière de protection des données.

En effet, cette méthode d’authentification permet à Facebook, Google, Twitter et d’autres de suivre l’activité des utilisateurs sur les services tiers, récolter des données auxquelles ils n’auraient normalement pas accès – inutile de mentionner également que les sites qui utilisent le système de commentaire de Facebook permettent à ce dernier de récolter des données au sujet des utilisateurs –, et cibler encore mieux la publicité qui vous est proposée lorsque vous naviguez sur Internet.

Par exemple, Spotify imposait au début de se connecter avec son compte Facebook. Aucun autre moyen n’était proposé. Cela a changé depuis, mais les utilisateurs qui se sont inscrits par ce biais fournissent à Facebook des informations sur la musique qu’ils écoutent, informations qui sont centralisées et désormais irrémédiablement associées au compte Facebook des utilisateurs.

/images/Spotify_Login.png

Que faire ?

Si l’inscription à un service s’est faite au moyen du compte Facebook ou Google (ou d’autres) et qu’un compte spécifique n’a pas été créé, il n’y a plus grand-chose à faire. Tout au plus est-il possible de “limiter les dégâts” en se désinscrivant et en recréant un compte sans passer par l’authentification unique. Mais cela implique sûrement que les données du compte seront totalement effacées, et aucun utilisateur ne le souhaite.

Si l’inscription s’est faite par la création d’un compte spécifique, tout va bien. Il faut continuer à procéder de cette manière. Certes, le plus dur sera de garder une trace de tous ces comptes. Il existe des applications pour cela. J’utilise 1Password, application multiplateforme, payante, mais qui est un must dans le domaine.