Est-il sécuritaire de donner notre adresse de courriel et mot de passe pour accéder à des sites tiers. Même les services de courrier web offrent maintenant ce service. Très souvent lorsque vous voulez vous joindre à un nouveau réseau social ou un site web à la mode, on vous demande si vous possédez une adresse Gmail, un compte Facebook ou Twitter. Vous refusez l’offre et créez un nouveau profil avec un autre mot de passe, que vous aurez tôt fait d’oublier. Mais devrais-je plutôt leur faire confiance et utiliser le login d’une autre application?
Le standard Oauth
C’est le standard OAuth, signifiant « Open Standard for Authorization », qui permet aux utilisateurs de donner, à un site « consommateur », l’accès à des informations personnelles provenant d’un site « fournisseur » de service ou de données, tout en protégeant le pseudonyme et le mot de passe des utilisateurs. Ce standard, mis en ligne en 2007, a été créé par les concepteurs de Twitter pour faciliter l’authentification d’un site web en utilisant les informations sécurisées d’une autre application. Google a joint le comité et quelques mois plus tard le protocole était approuvé.
Plus de cinquante partenaires
À ce jour, plus d’une cinquantaine de partenaires ont adopté ce standard pour faciliter la tâche des membres. On peut penser bien sur aux dominants du web, comme Facebook, Twitter, Google, Microsoft, Yahoo et PayPal, mais aussi les plus petits comme Amazon, Dropbox, Flickr, FourSquare, Instagram, LinkedIn, Yelp ou Dailymotion.
Quel est le principe?
En fait le site « consommateur » n’a jamais accès à l’information du site « fournisseur ». Le tout se fait en quatre étapes où le site « consommateur » demande la permission d’utiliser l’information du site « fournisseur » en lui donnant une clef d’accès encodée. Au lieu de donner une copie de la clef pour accéder à la maison au complet, il donne une clef pour une pièce seulement, sans avoir accès à toute la maison.
Et la sécurité dans tout ça?
Entre 2007 et 2009, plusieurs failles de sécurité du protocole ont été corrigées. Mais depuis ces correctifs, tout semble bien fonctionner. Les experts recommandent même de privilégier le standard OAuth plutôt que de donner ses données personnelles dans un nouveau site. Pourquoi? Parce qu’un petit site est plus susceptible de se faire attaquer par des pirates informatiques et par le fait même de se faire voler les informations que vous leur avait confié. En utilisant le protocole OAuth, les hackers ne peuvent rien faire puisqu’il ne possède aucune de vos informations personnelles.
Attention avec Facebook Connect
Plusieurs sites qui utilisent votre profil Facebook pour ouvrir une session iront placer des commentaires sur votre profil sans que vous le sachiez. Avant d’autoriser Facebook Connect, lisez bien toutes les conditions dans leur politique de confidentialité et enlevez les fonctionnalités qui ne vous intéressent pas.
Lecture complémentaire
Pour comprendre le processus, je vous recommande cet article en anglais du site LifeHacker Understanding OAuth: What Happens When You Log Into a Site with Google, Twitter, or Facebook.