L’authentification à l’aide d’un compte de réseau social : ce que cela implique

Encore sous le choc de l’affaire Cambridge Analytica et de ses 87 millions de comptes Facebook exploités sans consentement, de nombreux utilisateurs se sentent davantage concernés par l’utilisation de leurs données. Selon un sondage du Figaro, 95% des utilisateurs ne font pas confiance à Facebook quant à la protection de leurs données personnelles.

Sur ce constat, si Facebook semble pour le moment dans la tourmente, le problème dépasse largement ce seul réseau social. La protection numérique est-elle autant vulnérable sur les autres réseaux sociaux que sur les services web en général ? Les options de connexion comme l’authentification rapide par l’intermédiaire des réseaux sociaux ouvrent la voie à de nouvelles failles qu’il faut comprendre.

La plus grande source de données utilisateurs enregistrées par les sites web proviennent précisément des authentifications à ces sites. Alors que la véracité d’une information est une denrée rare, l’authentification par un système informatique peut être à double tranchant, tant du côté du consommateur que de celui de l’entreprise.

Il existe de multiples manières de procéder à l’authentification d’une personne sur un site web ou sur un hotspot (point d’accès au web) de connexion Wi-Fi, principalement sur la base d’un identifiant et d’un mot de passe ou sur la reconnaissance de l’adresse MAC de l’appareil.

Authentification en cours…

Tous les sites web proposent l’authentification classique par formulaire avec des paramètres de remplissage de champs plus ou moins détaillés qui peuvent aller de la simple acceptation des conditions générales d’utilisation sur un hotspot jusqu’à l’adresse de domicile personnel. Quelles que soient les informations, sur une interface internet, il y a toujours un processus de login.

Le processus de login social

Prenons l’exemple de l’application Facebook qui permet de s’inscrire à une plateforme ou d’accéder à du Wi-Fi via son compte personnel. L’utilisateur se connectera plus rapidement que par le biais d’une authentification manuelle grâce au processus du social login.

Lorsque l’on accède au SSID du Wi-Fi public intégrant du social login, l’entité a déjà fait plusieurs requêtes :

• D’abord, il y a un échange de « Token*» entre le portail ou le site et le réseau social afin de pouvoir générer l’url matérialisée sous la forme du bouton « Connexion avec Facebook » que nous voyons en tant qu’utilisateur. (*De l’anglais, Token, signifiant jeton : est un actif numérique pouvant être transféré sans duplication entre deux parties sur Internet, sans nécessiter ni accord ni intervention d’un tiers.)
• Une fois cliqué, il faut décider d’accepter ou non les informations qui seront échangées. C’est à ce moment-là que l’on peut prendre connaissance des informations demandées par le hotspot ou le site web à Facebook.
• Dans le cas du refus des conditions générales, l’utilisateur est redirigé sur le menu du portail pour effectuer une connexion manuelle.
• En acceptant les conditions d’utilisation, l’utilisateur sera authentifié. Au même moment, le portail web ou le site internet demandera les données pour lesquelles l’utilisateur a donné son accord à Facebook.

L’entrée en vigueur du règlement sur la protection des données personnelles (RGDP) a poussé les entreprises à adopter une grande vigilance sur le traitement, l’accès et le stockage de l’information de leurs utilisateurs. Le scandale Analytica ne devrait plus trouver racine au sein des pays européens grâce à une prise de conscience générale de nos sociétés. En tant qu’utilisateurs, nous donnons un va-tout ultime en accordant notre confiance alors espérons qu’au prochain scandale les sanctions à l’encontre des entreprises seront conséquentes et décisives.