Les Social Logins sont pratiques pour s'identifier rapidement sur un site. Mais comment ces modules fonctionnent-ils ? Ne présentent-ils pas un danger pour les données personnelles des internautes ?
Tout internaute que vous êtes, vous avez du remarquer sur vos sites web préférés la généralisation des Social Logins, ces petits modules intégrés aux pages, qui permettent de s'identifier rapidement grâce à un de vos comptes de réseau social : Facebook, Twitter, Windows Live, Yahoo, OpenID, Flickr, Linkedin, Blogger, WordPress, Google, MySpace, Foursquare, Friendster, Vimeo, Tumblr, Gowalla et autres plateformes reliées à un IdP.
Inventés pour se connecter ou s'inscrire sur un site web, l'utilisation des Social Logins évite à l'internaute de saisir son nom, son prénom, son pseudo, son adresse mail, etc. : elle permet par exemple de s'identifier avec son compte Facebook. Mais comment cela fonctionne-t-il ? Est-ce suffisamment sécurisé ? N'est-il pas dangereux que nos identifiants et données personnelles se baladent d'un site à un autre ?
Ce n'est pas forcément du réseau social utilisé, ou du site web visité dont il faut se méfier, mais plutôt de l'intermédiaire, c'est à dire ceux qui développent et fournissent (la plupart du temps gratuitement) ces modules de Social Login. Il s'agit d'extensions que même les petits bloggeurs et webmasters en herbe peuvent installer sur leurs pages, en à peine quelques clics. En résumé, de nombreux acteurs du web intègrent à leur interface des modules dont ils ne savent absolument rien. Le problème, c'est que dans le cas des Social Logins, il s'agit de modules qui traitent des identifiants et des données personnelles !
Concrètement, lorsque vous utilisez un Social Login, vous devez accepter l'utilisation d'une application, laquelle reçoit toutes les informations nécessaires de la part du réseau social de votre choix. Vous êtes maintenant identifié sur le site web visité, mais qu'est-il advenu de vos données personnelles ? Le réseau social a transmis, l'utilisateur n'a rien filtré ou modifié, et le webmaster du site de destination n'a jamais eu connaissance de ces informations. Vous l'aurez compris, seule la société de service qui fournit l'extension de Social Login a pu capter les identifiants. Ceux-ci sont probablement stockés dans une base de données qui grossit de jour en jour, et qui sera nécessairement utilisée, tôt ou tard : spam, vente, profiling, etc.
Rappelons que les fournisseurs de plugins comme les Social Logins (LoginRadius, OneAll ou encore Janrain Engage pour ne citer qu’eux) sont des entreprises. Leur objectif est de créer de la valeur ajoutée à partir de vos informations, ce qui ne laisse rien présager de bon pour le traitement des données personnelles récupérées…
Doit-on faire confiance aux Social Logins ?
A priori, non ! Panoptinet déconseille l'utilisation de modules qui manipulent nos identifiants de la sorte. Il existe néanmoins des exceptions : c'est le cas par exemple de notre ami UnderNews, qui tenait à proposer sur son site une fonction de Social Login (pour rédiger des commentaires), sans toutefois s'en remettre aveuglément à une application tierce. Il a alors développé sa propre extension de Social Login à partir d'une librairie PHP (HybridAuth). Dans ce cas, les visiteurs de undernews.fr doivent quand même attribuer leur confiance à quelqu'un, mais c'est tout de même plus rassurant de l'accorder à un webmaster que l'on connaît plutôt qu'à une lointaine société marchande !
Enfin, si vous décidez de ne faire confiance à personne, oubliez les Social Logins, et identifiez-vous à l'ancienne !
Source : undernews.fr
Laisser un commentaire