[EN PARTENARIAT AVEC ESET]
L'authentification unique SSO (single sign-on) est une méthode permettant de se connecter à différents services en ligne ou applications mobiles en ne procédant qu'à une seule authentification via un service tiers.
L'authentification unique SSO (single sign-on) est une méthode permettant de se connecter à différents services en ligne ou applications mobiles en ne procédant qu'à une seule authentification via un service tiers. Plusieurs grands acteurs, comme Apple, Google ou Microsoft, offrent cette possibilité. Parmi les avantages : la simplicité et la possibilité de ne pas transmettre sa véritable identité. Cependant, le SSO présente aussi des risques. Par exemple, si le service tiers cesse de fonctionner, on risque de perdre ses identifiants. En outre, le SSO peut être parfois mal implémenter et présenter des risques en matière de cybersécurité. Le salut des utilisateurs viendra sans doute du sysème "Fido" permettant de se passer complètement de mots de passe. Explications de Benoit Grunemwald, expert cybersécurité chez Eset.
INTERVIEW
Monde Numérique : Une étude récente recense les pires mots de passe utilisés par les français. Et franchement, on a beau être en 2023 et répéter les conseils de prudence et de sécurité, c'est pas terrible terrible. Les utilisateurs sont-ils toujours aussi imprudents ?
Benoit Grunemwald : Oui, ils utilisent des mots de passe effrayants de banalité, de simplicité et surtout qui ne correspondent pas aux critères minimum exigés pour avoir un bon mot de passe. Et le premier de ce classement, par exemple, c'est un, deux, trois, quatre, cinq six. Le deuxième c'est un deux, trois, quatre, cinq, six, sept, huit, neuf. Donc là, il y a déjà un effort qui a été fait, il y a de la recherche. Le quatrième, c'est Admin. Alors là ça sent le mot de passe par défaut qui n'a pas été changé et on arrive en septième position. Il y en a un que j'aime bien, c'est... Loulou. C'est très mauvais.
Monde Numérique : Face à cela, il y a une manière de contourner en quelque sorte ce problème tout en maintenant un certain niveau de sécurité. C'est ce qu'on appelle le fameux SSO. On l'a tous déjà utilisé sans savoir forcément que ça s'appelle comme ça. Et d'ailleurs, qu'est ce que ça veut dire?
Benoit Grunemwald : SSO Ça veut dire en anglais single sign-on ça veut dire qu'on va se. Sign-on on va s'enregistrer, s'authentifier, se connecter une fois. Et le fait que l'on soit connecté une fois va être reporté aux différentes autres applications auxquelles on veut se connecter et qui autorisent l'utilisation du SSO par exemple. C'est très simple, on a cela notamment dans chez Apple. Apple va vous permettre de vous connecter à des applications tierces qui ne sont pas des applications Apple. Et c'est ce service là qui va nous permettre de nous connecter de manière quasiment transparente. Parce que si on est sur un navigateur et qu'on est déjà connecté avec son compte, et bien quand on va cliquer sur l'option se connecter avec et puis là on aura le choix entre différents fournisseurs, et bien on va pouvoir réaliser cette étape en très peu de temps et permettre donc à de donner entre guillemets l'accord à notre fournisseur, de transmettre une partie des informations aux services auxquels on souhaite se connecter.
Monde Numérique : Apple, mais aussi Google, Microsoft utilisent ce système. Et donc l'un des intérêts aussi, c'est que on peut choisir de n'envoyer qu'une certaine partie des des ces informations personnelles, notamment si on veut, on n'envoie pas son adresse mail.
Benoit Grunemwald : Effectivement, notamment sur certains fournisseurs de SSO, on peut décocher la case qui dit transmettre les mon adresse email par exemple. Et dans ce cas là, lorsque l'on va créer le compte dans la nouvelle application, et bien celle ci n'aura pas l'intégralité de nos informations. C'est important parce que cela peut limiter les emails marketing entre guillemets, le spam. Et puis ça va également éviter que si cette application se fait tamponner troué et qu'il y a une fuite de données, et bien votre adresse email. Celle que vous utilisez régulièrement se retrouve dans la nature à cause d'une fuite de données.
Monde Numérique : Alors c'est vrai que souvent, quand on va sur un nouveau site web, on nous propose de créer un compte, soit en utilisant une adresse email, soit en utilisant le SSO, c'est à dire en passant par Apple, Google, Microsoft, etc etc. Mais il y a aussi d'autres risques qu'il faut prendre en compte.
Benoit Grunemwald : Le second risque que je vois, c'est le risque de la mauvaise implémentation. C'est à dire que lorsque l'on a un fournisseur A qui vous demande de créer un compte et qui vous le propose avec le login et le mot de passe dans le dans son site internet ou son application. C'est quelque chose que l'on utilise depuis le début d'internet, depuis le début des comptes, donc c'est quelque chose qui est parfaitement maîtrisé techniquement. Côté application, si maintenant il choisit de vous offrir la possibilité de vous connecter avec un tiers via le SSO, c'est une technologie qui est différente et plus complexe que celle des logins et des mots de passe. Donc un mauvais traitement de cette manière de se connecter pourrait amener à des fuites de données et ou voir à la possibilité que le fait qu'une personne se connecte à votre place en en usurpant votre identité.
Monde Numérique : Est ce que pour autant Benoît, il faut déconseiller aux gens d'utiliser ce système de sceau?
Benoit Grunemwald : Aujourd'hui, le sceau est un très bon moyen, fiable et sécurisé de se connecter à des comptes. Ma recommandation serait utiliser le sceau lorsque vous allez sur des comptes qui ne sont pas à très forte valeur ajoutée pour votre usage des comptes ou par exemple si vous utilisez Apple ou un autre service qui permet de ne pas transmettre des informations personnelles et que justement vous ne souhaitez pas transmettre ces informations aux tiers sur lequel vous souhaitez créer le compte pour des comptes très importants, privilégiez le login et le mot de passe d'ailleurs pas le mot de passe, mais la phrase de passe et mieux encore, le gestionnaire de mot de passe auquel on va ajouter l'authentification forte double facteur, notamment par la réception d'un SMS ou l'envoi ou l'utilisation d'une application qui va générer un code à six chiffres que vous rentrerez au moment de vous connecter.
À écouter
