"Sign In With Apple" : mes impressions

Il y a quelques jours, Apple a annoncé une nouvelle fonctionnalité appelée “Sign In With Apple” dont le but est de permettre aux utilisateurs d’applications et sur le web de s’authentifier auprès de services tiers en utilisant leur compte Apple. Ainsi, au lieu de devoir créer un compte pour chaque service utilisé, on n’en utiliserait qu’un seul : celui d’Apple.

Mais regardons de plus près comment cela fonctionne et quelles sont les différences entre le service d’Apple et ceux proposés par Facebook et Google (entre autres, Twitter et Snapchat ont aussi le leur).

Single Sign-On (SSO)

Selon Wikipedia, ce que propose Apple (comme Facebook et Google) n’est rien d’autre qu’une méthode permettant à un utilisateur d’accéder à plusieurs applications informatiques (ou sites web sécurisés) en ne procédant qu’à une seule authentification. En anglais, cela s’appelle Single Sign-On (SSO).

Toujours selon Wikipedia, le SSO permet à l’utilisateur de

  • simplifier la gestion de ses mots de passe : plus l’utilisateur doit gérer de mots de passe, plus il aura tendance à utiliser des mots de passe similaires ou simples à mémoriser, abaissant par la même occasion le niveau de sécurité que ces mots de passe offrent face aux risques de piratage ;
  • simplifier la gestion des données personnelles détenues par les différents services en ligne ;
  • simplifier la définition et la mise en œuvre de politiques de sécurité.

La principale critique du SSO réside dans le fait que si une personne obtient l’accès au compte utilisé pour s’authentifier sur d’autres services, elle aura également accès à tous ces services. Une étude de 2018 par l’université d’Illinois à Chicago l’a démontré, et Facebook l’a expérimenté en 2018 également.

SSO par Facebook et Google

Les SSO mis en place et proposés par Facebook et Google sont des SSO tout à fait classiques. Cependant, le fait de les utiliser permet à Facebook et Google de récolter des données sur l’utilisateur et son utilisation du service tiers, données auxquelles ils n’auraient sinon pas accès directement. Le service tiers bénéficie aussi d’un accès à certaines données du compte Facebook ou Google, par exemple l’adresse e-mail, les prénoms et noms, la liste d’amis et les likes, la localisation, etc.

En d’autres termes, les SSO de Facebook et Google sont des utilitaires pratiques, certes, mais qui permettent à ces sociétés de construire un profil publicitaire encore plus ciblé et d’accroître l’étendue du suivi des internautes et de la collecte d’informations.

SSO par Apple

Là aussi, le SSO d’Apple ne diffère pas d’un SSO classique. Il prend cependant le contre-pied de l’approche de Facebook et Google en se concentrant sur la confidentialité et la protection des données des utilisateurs. Selon Apple, voici les caractéristiques de son SSO :

  • l’utilisateur devra obligatoirement activer l’authentification à deux facteurs sur son compte Apple pour utiliser le SSO (ce qui me semble être une excellente chose, ndr) ;
  • l’utilisateur pourra choisir de ne pas partager sa véritable adresse e-mail avec le service, dans ce cas Apple générera une adresse e-mail aléatoire qui redirigera les emails du service vers la véritable adresse de l’utilisateur ;
  • chaque service recevra alors une adresse e-mail différente ;
  • lorsque l’utilisateur décide de fermer son compte sur le service tiers, Apple arrêtera de rediriger les e-mails ;
  • les applications de l’App Store qui proposent un SSO tiers devront obligatoirement proposer aussi le SSO d’Apple sous peine d’être éjectées de l’App Store ; (coïncidence ? une class action a été introduite par des développeurs contre Apple en raison de son contrôle des applications iOS) ;
  • le SSO d’Apple n’est pas limité aux seuls utilisateurs d’appareils Apple mais fonctionnera avec Face ID et Touch ID sur les terminaux Apple.

Mes impressions

Je pense que la direction prise par Apple est intéressante pour les consommateurs et la protection de leurs données. Permettre, de manière simple et intuitive, de s’inscrire à un service sans révéler sa véritable adresse e-mail est une excellente nouvelle, notamment car cela enlève un élément important permettant d’identifier l’utilisateur.

Cependant, les services conservent toujours l’accès à d’autres identifiants, comme l’adresse IP et les innombrables informations techniques qui permettent de réaliser une empreinte (souvent unique) et ainsi d’identifier l’utilisateur à travers plusieurs services. Apple ne masque donc qu’une petite partie des informations disponibles, mais c’est tout ça de (re)pris !

L’utilisation régulière de Sign In With Apple impliquera de faire confiance à Apple avec nos données, en particulier lorsqu’elle dit ne pas nous suivre à la trace ni analyser notre comportement via son service SSO. A l’instar des services SSO de Facebook et Google, celui d’Apple permettra à Apple et au service auquel on se connecte d’échanger des données, il reste encore à savoir lesquelles.

Le fait qu’Apple ait un grand contrôle de son écosystème matériel et logiciel devrait lui permettre de bien implémenter son SSO et d’autres systèmes qui améliorent la sécurité et la vie privée de ses clients. Cependant, ce contrôle (certains diraient : hégémonie) est sous la loupe des autorités de régulation, ce qui pourrait ralentir l’utilisation du SSO d’Apple.

Mon opinion

Le recours à Sign In With Apple va faire un peu mal à l’industrie publicitaire à court terme. Comme toujours, au jeu du chat et de la souris (ou des dopés et des contrôles anti-dopage), ceux à qui on met des bâtons dans les roues vont trouver des parades.

L’arrivée du SSO d’Apple poussera certainement les développeurs et autres services à chercher d’autres moyens pour obtenir des données. Par exemple, certains demanderont peut-être le numéro de téléphone pour activer des fonctionnalités de leur application. D’autres pourraient simplement refuser les créations de compte avec des adresses se terminant par “apple.com”. Pour le moment, l’impact du SSO d’Apple est encore dur à quantifier, mais si Apple va plus loin encore et retire son système IDFA (identifier for advertiser) d’iOS, l’impact serait conséquent pour l’industrie publicitaire et, par ricochet, pour les développeurs d’applications.

Pour l’instant, je vais camper sur ma pratique actuelle : utiliser des emails (jetables) différents et des mots de passe forts pour chaque service que j’utilise. L’idée d’avoir un intermédiaire entre ces services et moi qui centralise beaucoup d’informations à mon sujet représente un risque de sécurité et pour ma vie privée qui pèse plus lourd que l’aspect pratique des services SSO.

A voir si Apple me fera changer d’avis dans les mois à venir… Peut-être devrait-elle aussi (d’abord ?) s’intéresser à toutes les applications sur l’App Store qui intègrent des outils de tracking…?