Les dangers du Social Login

Vous l’avez déjà vu, voire déjà utilisé pour vous connecter à un site web, le social login séduit en premier lieu grâce à la simplification et au gain de temps qu’il apporte aux internautes. Il s’agit d’une forme d’authentification unique qui permet aux utilisateurs de se connecter à différents sites ou applications via des fournisseurs d’identités, notamment grâce à leurs comptes Facebook, Twitter, Google, Apple ou LinkedIn pour ne citer que les principaux. Techniquement, derrière le social login, se cachent des technologies de fédération d’identités, qui donnent la possibilité d’utiliser un référentiel d’identifiants tiers pour s’authentifier sur une application.

En vous connectant via votre réseau social préféré à une application ou à un site web, vos données seront partagées, ce qui vous permet d’éviter les formulaires d’inscription fastidieux ainsi que la multiplication de logins / mots de passe. Ensuite, à partir du moment où vous êtes connecté à votre réseau social, un clic vous suffira pour accéder à ces applications et sites web tiers. Cependant, ce partage d’informations ne se limite pas toujours à vos seuls nom, prénom et adresse email. Le site tiers pourra potentiellement accéder à certaines informations, qui d’ordinaire, ne sont pas nécessaires lors d’une inscription classique. Mais ce n’est pas là le principal écueil du social login ; après tout, certains diront que si vous êtes prêt à mettre ces données sur un réseau social, c’est qu’elles ne sont pas si confidentielles que cela.

Là où le social login fait réellement débat, c’est dans sa relation étroite entre le réseau social vous permettant de vous identifier et l’application ou site web tiers. Le jour où une panne touche le réseau social, vous ne pourrez plus vous connecter à vos autres comptes tant que l’incident durera. Si un individu usurpe votre identifiant et mot de passe du réseau social, il aura accès à toutes ces applications et sites web tiers où peuvent potentiellement se trouver des informations confidentielles. S’il modifie votre mot de passe ou si votre compte est supprimé, vous perdrez l’accès à toutes les applications avec lesquelles vous aviez l’habitude d’utiliser le social login. Si les réseaux sociaux disposent d’outils de cybersécurité perfectionnés et efficaces, un risque de piratage massif n’est pas non plus à exclure et vous pourriez ne l’apprendre qu’une fois que le mal est fait, un cas de figure dont les utilisateurs de Facebook ont déjà fait les frais.

En 2018, une faille de sécurité a permis à des hackers d’accéder à pas moins de 50 millions de comptes Facebook [01] dans le but d’y dérober des jetons d’accès leurs permettant de se connecter à d’autres sites web ou applications via le mécanisme du social login. Le social login est donc devenu un véritable enjeu de cybersécurité puisqu’à l’heure où les réseaux sociaux ont une audience mondiale, une faille sur un réseau social de plusieurs millions d’individus peut potentiellement compromettre les centaines d’autres millions de comptes liés via le social login.

Cependant, la portée du social login est néanmoins souvent limitée à des utilisateurs se connectant à leurs applications personnelles. En effet, ce mode de connexion utilisant les réseaux sociaux est encore marginal en entreprise, notamment du fait de la dissociation entre identité personnelle et identité professionnelle. Lorsqu’il s’agit de permettre au personnel d’une entreprise de se connecter aux applications de cette même entreprise ou de l’accès du personnel d’une entreprise cliente (B2B) à des services d’une entreprise fournisseur, ce sont encore les couples login/mot de passe traditionnels qui sont majoritairement employés. C’est plutôt dans un contexte B2C que le social login peut être utilisé. De nombreuses entreprises ont fait le choix de permettre aux utilisateurs d’utiliser ce mode d’authentification telles qu’Airbnb, Booking ou encore Air France. Elles utilisent ce mécanisme pour permettre à leurs clients consommateurs d’utiliser leurs identifiants « sociaux » pour accéder à leurs services en ligne. On peut aussi avoir le cas d’un collaborateur d’une entreprise qui utilise un social login pour se logger sur le site en ligne de la mutuelle de son entreprise, si elle le permet : ce n’est pas l’entreprise qui gère cette sécurité-là, c’est la mutuelle. Il s’agit là d’un cas possible « en entreprise » de « social login ».

Pour ce qui est de l’usage personnel, le social login apparaît donc comme une solution pratique et simple à utiliser, aucune configuration n’est nécessaire, le seul fait d’avoir un compte sur un réseau social suffit cependant, vous devez être conscient que l’utilisation du social login comporte, comme toutes solutions informatiques, des risques, mais qui dans ce cas précis, peuvent rapidement faire tache d’huile et impacter l’ensemble des applications et sites tiers liés à votre compte.

Références

[01] Facebook : un hack massif a compromis 50 millions de comptes