Nous sommes de plus en plus nombreux à nous connecter à des services en ligne avec notre compte Google. Pourtant, cette pratique comporte plusieurs risques.
5 bonnes raisons d’éviter l’option « se connecter avec son compte Google »
Du coup 5 bonnes raisons de virer ça de la page de connexion Clubic… Ça et le reste des possibilités de connexions via GAFAM…
Bref, rendez-nous l’ancien système de connexion, car le nouveau bug, en plus…
19 « J'aime »
Je ne comprends pas ce qu’il faut nous rendre. Je me suis toujours connecté ici via mon ID/MDP.
Edit : Je viens de tester et j’avais jamais remarqué qu’il y avait des logos de services que je n’utilise pas (FesseDeBouc, Gogol, Discord). Faut être sacrément lobotomisé par ces services pour les reconnaitre à leur logo et les utiliser pour se connecter ailleurs.
Mais tu as parfaitement raison, un article qui dit ne pas suivre une option qu’il propose, c’est amusant…
il faut être un sacré boomer pour nommer Facebook « fessebook » et Google « Gogol », tu ne penses pas?
6 « J'aime »
Je ne sais pas ce qu’est un « boomer » pour vous, pour moi c’est un HP dédié aux basses fréquences. J’ai toujours nommé ces services inutiles de cette façon (FesseDeBouc et non pas fessebook qui n’a aucun sens). D’ailleurs, « Gogol » est le nom initial du service (Googol en anglais, Gogol en français), c’est une erreur de frappe qui mena au nom actuel.
4 « J'aime »
T’inquiète, le gars est medium, peut-être même un peu ventriloque ; il lit dans la matrice comme dans le marc de café ou les tripes de poulet .
Bah l’ancienne page de connexion, avant y’avait juste id/MDP. Maintenant le système de login de base c’est par lien envoyé par mail, faut changer à chaque fois, et y’a cloudflare qui fait ramer, une fois sur deux faut se logger sur le site ET le forum (bug) et faut se logger bien plus souvent qu’avant… 
10 « J'aime »
J’avoue qu’entre ça, les decos régulières sans raison, le turnstile qui te crache le CSRF à la gueule une fois sur 4/5, le menu mobile pas ouf sur le forum…
Manquerait plus que ça fonctionne mieux avec le « connectez vous avec google ». Seul problème c’est que ça fait un nouveau compte et bim un modo t’allumera hahahah (blague hein on sait que vous êtes pas comme ça) ^^
J’avais commencé ce fil pour faire remonter le truc et tenter d’avoir une réaction. Tu peux voir le résultats : Régulièrement déconnecté des forums ? Clubic.com et l'absence de feedback? - #21 par Hanandano
J’ai même proposé de leur écrire le fix xd
1 « J'aime »
En tant que responsable technique d’applications web, je conçois et mets en place ce type de systèmes d’authentification dans le cadre de mon travail. Je trouve que cet article manque de rigueur technique et présente une vision biaisée de la connexion via Google.
Il sous-entend que cette méthode compromettrait la vie privée, alors qu’elle repose sur des standards de sécurité éprouvés comme OAuth 2.0 et OpenID Connect. Ces protocoles permettent une authentification sécurisée, sans jamais donner accès au mot de passe Google, et avec un contrôle total de l’utilisateur sur les données partagées (nom, e-mail, etc.).
Contrairement à ce qui est suggéré, ce n’est pas un échange bidirectionnel : le site reçoit des données de Google uniquement avec le consentement de l’utilisateur, et ne peut en aucun cas transmettre des informations à Google.
Dans les faits, l’authentification via Google réduit les risques de sécurité (notamment grâce à la double authentification) et évite les mauvaises pratiques comme la réutilisation de mots de passe.
L’article soulève un sujet pertinent, mais l’approche est déséquilibrée et inexacte techniquement. Une analyse plus nuancée serait bienvenue.
6 « J'aime »
Gamin, cesse d’insulter tes aînés.
Merci.
4 « J'aime »
Le sso n’est pas propre à google, c’est une logique d’authentification tiers.
En fait ça peut-être pratique pour créer un compte rapidement, mais si vous restez sur le service le compte une fois créée, allez changer le mot de passe du service et n’utilisez plus la connexion SSO par la suite.
En tant que responsable sécurité chez un gafam, je conçois et threat model ces services d’authentification cloud dans le cadre de mon travail 
L’article n’entre pas dans la technique car ce n’est pas son but. Et il est parfaitement pertinent sur la vie privée. Des exemples de risques:
1- chaque fois que le client demande un access token, il divulgue qu’il accède au site voir à une partie du site. C’est une information que Google peut utiliser pour profiler ses utilisateurs. La durée d’un access token (3600 secondes) est suffisamment faible pour suivre les habitudes des utilisateurs: quels services pour quelle durée depuis quel navigateur, de quel endroit. Même un silent re-auth avec prompt=none + response_mode=ifram du RP donne des indications utilisables
2- l’utilisation de l’idp peut être corrélée avec les cookies SSID et APISID pour tracker la navigation
3- le site peut demander des scopes plus larges que ce dont il a vraiment besoin, créant une perméabilité inter services ( accès aux contacts, au calendar etc). Il est difficile pour un utilisateur lambda de comprendre ce qui est demandé
4- cela banalise l’usage du compte Google, rendant les attaques par phishing plus simples
Etc.
2 « J'aime »
En langage plus accessible:
1- le problème est qui fournit les protocoles (Google), pas les protocoles utilisés
2- l’échange est bidirectionnel, l’utilisateur voir le site demande activement à Google de valider l’accès, donnant des informations que Google utilise dans son graphe comportemental
Si tu compares l’implémentation l’identité chez Google ou chez un autre service, tu remarques que la configuration a été optimisé pour permettre le traking: tracking oauth2 passif via silent login très utilisé, tracking cross sites avec utilisation de cookies tiers, services embarqués fourni par YouTube, maps et autres.
Et le fait que scopes (les droits d’accès donnés aux sites) soient peu granulaires et peu compréhensibles, et des capacités d’audit (vérification des accès par l’utilisateur) soient limitées n’arrangent rien.
1 « J'aime »
Des services qu’il « n’utilise pas » et dont il ne reconnait pas les logos, mais qui visiblement l’obsèdent suffisamment pour qu’il les pourfende avec des jeux de mots bien sentis.
Je ne sais pas qui est le + « lobotomisé » dans tous ça.
Etre un boomer, c’est par exemple asséner des « ces services inutiles » en ne considérant que son propre usage, son seul point de vue, son petit monde restreint et plein de certitudes. Google ou Facebook ne sont surement pas exempts de reproches et d’inconvénients notables à les utiliser. De là à dire qu’ils sont inutiles c’est absurde.
5. Restez courtois
Particulièrement lorsque vous exprimez votre désaccord, critiquez les idées, pas les personnes. Évitez à tout prix les insultes, les attaques et autres jugements sur la forme des messages.
6. Publiez des messages utiles
Chaque participation a vocation à enrichir la discussion, aussi les partages d’humeurs personnelles ne doivent pas venir gêner le fil des échanges.
Merci
1 « J'aime »
@Aegis
Je pense qu’il est essentiel de faire une distinction claire entre la fonctionnalité d’authentification Google (via OAuth/OpenID Connect) et l’écosystème complet de services Google (Analytics, Ads, Fonts, Firebase, etc.).
Dans un scénario où un site tiers utilise uniquement l’authentification Google, sans intégrer d’autres services ou SDK Google, alors :
Google voit uniquement que l’utilisateur s’est connecté à un service donné, à un instant donné, avec des métadonnées minimales (navigateur, IP, etc.).
Mais aucune visibilité n’est possible sur l’activité de l’utilisateur après la connexion, tant que le site n’utilise pas de ressources ou de scripts Google.
Il n’y a donc pas de corrélation comportementale possible entre la navigation sur ce site et le profil Google de l’utilisateur.
Ce n’est que lorsque le site combine l’authentification avec d’autres éléments de l’écosystème Google (scripts embarqués, API, cookies tiers, etc.) que le suivi devient techniquement réalisable.
Il faut donc bien distinguer l’usage du compte Google comme clé d’accès, et l’exposition à l’écosystème Google en tant que tel. Les deux ne sont pas automatiquement liés.
Mdrr pour un site qui propose ce type de connexion, faire un tel article est un comble.
C’est techniquement juste mais sans valeur pratique. Quasiment aucun site utilise l’authentification Google sans autre service Google ( analytics, Google ads, des cookies tiers ou services embarqués maps, youtube etc.)
C’est comme dire « Laisser sa porte d’entrée ouverte ne pose pas de problème de sécurité, tant que personne ne passe devant et ne regarde à l’intérieur. »
1 « J'aime »