This website requires JavaScript.

Numérique Éthique vous est utile (ou pas) ? Dites-nous tout en 5 minutes ici

Risques numériques
Article

Facebook et Google connect : faut-il s'en méfier ?

03.09.2021

Pour chaque pan de nos vies, il y a des applications… et toutes demandent la création d’un compte. Pour éviter de perdre ce temps, une solution est souvent proposée à l’utilisateur : se connecter grâce à un compte tiers préexistant.

Vous avez 15 minutes devant vous et vous décidez de faire du shopping sur internet. Vous tombez sur le pantalon de vos rêves mais avant de finaliser l’achat, vous devez vous connecter à votre compte. Le problème ? Vous n’en avez pas et vous n’avez pas le temps ou l’envie de remplir un énième formulaire d’inscription. C’est alors que vous apercevez le bouton «Facebook login» ou «Google Login». Vous sautez sur l’occasion, vous cliquez, vous achetez en quelques minutes, mais quid de vos données ?

Se connecter en deux temps trois mouvements

Nombre de sites web et d’applications mobiles (IOS/Android) proposent d’utiliser un compte tiers (Facebook, Google, Twitter, LinkedIn…) pour s’inscrire. Cette méthode est attractive car elle représente un gain de temps conséquent. Et surtout, c’est simple : pas de formulaire à remplir, pas d’adresse e-mail à authentifier, pas de nouveau mot de passe à créer. En plus de cela, à chaque nouvelle connexion, il suffira de se reconnecter avec le compte utilisé. Avec la multiplication des applications, sites marchands et réseaux, beaucoup optent pour la facilité de connexion offerte par ces fameux boutons Facebook et Google connect.

Dans notre vie numérique, nous choisissons souvent de prendre des raccourcis. Qui n’a jamais choisi un mot de passe simple comme «1234» ? Qui n’a jamais sauté la lecture des CGU (conditions d’utilisations) ? Il faut dire qu’il serait plus agréable de lire l’intégralité de Guerre et Paix… Mais force est de constater que la sécurité passe parfois après le gain de temps. Dans ce contexte, la connexion via un compte tiers est une pratique bien établie et pourtant, peu sont celles et ceux qui en connaissent les conséquences.

Quels avantages pour le site ou l’application ? En plus d’authentifier rapidement votre connexion à la plateforme, ce système lui permet de mieux vous connaître. En utilisant un compte tiers, vous acceptez de partager certaines des données qui y sont rattachées. Ainsi, le site remplit des objectifs commerciaux et marketing, et sera en mesure de vous proposer des offres plus pertinentes, ou bien encore de vous envoyer un message pour vous souhaiter un joyeux anniversaire.

C’est donc d’abord une pêche aux informations ! Mais pas de panique, pour chaque plateforme, vous gardez le contrôle sur les données que vous partagez. Pour Facebook, par exemple, vous pouvez [consulter depuis votre compte personnel] (https://www.facebook.com/settings?tab=applications)1 les informations que vous partagez actuellement avec des applications, et choisir de leur interdire l’accès aux données non nécessaires à leur fonctionnement.

En résumé, les plateformes obtiennent de nouveaux utilisateurs vérifiés sans avoir à sécuriser leurs données de connexion, tout en collectant des données personnelles utiles à leurs objectifs marketing et commerciaux. De votre côté, en plus d’une connexion facile, vous évitez d’apprendre un nouveau mot de passe.

Une connexion sécurisée avec de rares risques

Les limites de cette pratique se situent évidemment au niveau des données que l’on accepte de laisser circuler d’un compte à un autre. Si plusieurs applications sont liées à votre compte Facebook, le jour où la plateforme subit une faille de sécurité, les pirates auront accès à vos données. Heureusement, c’est extrêmement rare !

Mais c’est arrivé : en 2018, Facebook annonçait une brèche dans sa sécurité : des pirates auraient eu accès aux comptes de 50 millions d’utilisateurs. Le même réseau social ajoutait dans la foulée [n’avoir trouvé aucun indice qui puisse attester que les pirates aient eu accès aux comptes externes] (https://bit.ly/3jJaXpY)2. Néanmoins, [un article publié par l’informaticien Jason Polakis en août 2018] (https://www.cs.uic.edu/~polakis/papers/sso-usenix18.pdf)3 a analysé les différentes façons dont les pirates pourraient exploiter «Login With Facebook» , ainsi que d’autres types de connexions (par exemple, se connecter avec Google). Dans des expériences contrôlées, les auteurs de l’article ont pu :

  • Accéder au compte Uber d’une cible, suivre ses trajets en temps réel et même donner un pourboire au chauffeur.
  • Envoyer et recevoir des messages sur le compte Tinder d’une cible.
  • Se connecter à certains comptes pourtant non associés au Facebook connect, simplement en utilisant la même adresse e-mail que celle associée à leur compte Facebook. Pour éliminer ce risque et dans ce cas très précis, les auteurs conseillent d’utiliser une adresse e-mail liée à aucun autre compte pour l’inscription à Facebook.

Alors finalement, faut-il laisser ses codes et ses informations dans les mains d’un géant tel que Facebook ? Il semble dangereux de connecter toutes vos applications à un même compte car vous mettez tous vos oeufs dans le même panier. Si Facebook est victime d’une cyberattaque, toutes les données de vos services liés sont susceptibles d’être exposées ! Ne vaut-il pas mieux prendre le temps de créer un compte ex nihilo sur une application que l’on utilisera peut-être ponctuellement ?

Même si cela peut paraître contre intuitif, la réponse est non. Il vaut mieux laisser ses informations à un géant capable de financer sa cybersécurité plutôt qu’à une application inexpérimentée insouciante des dangers du piratage. En outre, vous restez libres de révoquer l’accès de vos services liés à tout moment, et vous évitez d’avoir à créer un nouveau mot de passe, potentiellement peu sécurisé.

Une alternative à la méthode «Facebook Login»

Il se peut que vous n’ayez pas la possibilité de lier vos applications à vos comptes Facebook ou Google, ou bien tout simplement que vous préfériez créer un compte unique par service. Aucun problème mais il sera nécessaire de sécuriser au maximum votre connexion : préférez un mot de passe complexe et différent pour chaque compte. Si multiplier vos mots de passe vous fait peur, vous pouvez utiliser un gestionnaire de mots de passe. Ces logiciels enregistrent de manière sécurisée vos données de connexion mais aussi vos informations personnelles sur vos supports numériques. Il reste que cela revient à mettre ses œufs dans le même panier. Dès lors, pourquoi utiliser ces logiciels au lieu de s’inscrire via Facebook, Google ou LinkedIn ? Les gestionnaires de mot de passe sont conçus pour séparer chacun de votre compte même s’ils sont centralisés. Autrement dit, dans l’hypothèse où l’un de vos comptes est piraté, vos autres comptes ne seraient pas liés et donc pas touchés par ce premier piratage.

Finalement, avoir des données sur internet n’est pas un risque en soi. Il faut en avoir conscience et savoir comment les protéger. Alors n’hésitez pas à utiliser un gestionnaire de mots de passe comme [Keepass] (https://keepass.fr/)4. Pourquoi celui-ci ? Tout simplement parce qu’il est [certifié par l’Autorité nationale de sécurité informatique] (https://www.ssi.gouv.fr/entreprise/certification_cspn/keepass-version-2-10-portable/)5 et qu’il est régulièrement mis à jour.

Un autre outil incontournable : la double identification. Aujourd’hui, nombreux sont les services qui proposent une connexion en deux étapes. Autrement dit, pour vous connecter, vous devrez montrer au moins deux preuves d’identité distinctes comme un mot de passe et un code reçu sur votre mobile ou votre adresse e-mail. Vous l’aurez compris, cette méthode renforce d’une étape la sécurité de vos comptes.

En guise de conclusion, retenez les conseils suivants :

  • utilisez des mots de passe complexes et différents pour chacun de vos comptes
  • ayez recours à la double identification quand c’est possible
  • vous pouvez utiliser «Facebook Login» mais ne négligez pas les deux points précédents.

1 [Facebook : vérifiez quelles sont les applications associées à votre compte] (https://www.facebook.com/settings?tab=applications)

2 [Mise à jour des connexions Facebook] (https://bit.ly/3jJaXpY)

3 [O Single Sign-Off, Where Art Thou?] (https://keepass.fr/), The Advance Computing System Association

4 [Keepass] (https://keepass.fr/), sur Keepass

5 [Site de l’Anssi] (https://www.ssi.gouv.fr/entreprise/certification_cspn/keepass-version-2-10-portable/), sur Anssi

Retour