Connexion avec Google: bonne ou mauvaise idée?
Est-ce sécuritaire de se connecter à un service en ligne à l’aide d’un compte tiers comme Google? Cette option, de plus en plus répandue sur le Web, soulève des questions et peut refroidir certains utilisateurs. Pour en savoir plus, on a jasé avec un expert.
Selon Alexis Dorais-Joncas, expert en cybersécurité chez Proofpoint, ce type de connexion repose sur un mécanisme appelé Single Sign-On (SSO), basé sur le protocole OAuth. Cela permet d’utiliser un seul compte principal pour accéder à plusieurs services, ce qui réduit le nombre de comptes à gérer et, par le fait même, les risques liés à la multiplication de mots de passe et aux fuites de données.
«La clé du succès est de sécuriser ce compte principal [Google] adéquatement, car la compromission de cette identité principale donnera accès à tous les autres services d’un coup», explique Dorais-Joncas.
Parmi les bonnes pratiques pour sécuriser notre compte principal, l’expert recommande en priorité d’activer l’authentification en deux étapes (2FA) et de favoriser la méthode par application ou par clé d’accès (passkey), évitant les méthodes d’authentification par SMS ou courriel.
Ensuite, il faut un bon mot de passe. «Oui, après avoir activé l’authentification en deux étapes», déclare Dorais-Joncas. «Un compte avec [le mot de passe] "soleil123” avec l’authentification à deux étapes est généralement mieux protégé qu’un compte avec un mot de passe fort, mais à simple authentification».
Vous devriez aussi pratiquer une bonne hygiène numérique. Connectez-vous à votre compte Google et consultez l’onglet «Sécurité». Vous pouvez réviser les connexions de tiers et les retirer au besoin, mais aussi faire une vérification de la sécurité de votre compte. Le même exercice peut être fait sur Facebook en visitant l’Espace Comptes.
En pratique, il est généralement plus sécuritaire d’utiliser un seul compte bien protégé pour se connecter à des services que de multiplier les comptes et mots de passe. Les sites qui utilisent la connexion Google n’ont pas accès à votre mot de passe; ils demandent plutôt l’autorisation de se connecter.
Les infos auxquelles ces sites ont accès sont bien précises, et indiquées durant le processus de connexion. Exemple, j’ai tenté ici de me connecter au site de Wired avec un compte Google (caviardé).
Se connecter avec Google n’est donc pas une mauvaise pratique, au contraire. C’est une option efficace et sécuritaire, à condition de prendre le temps de protéger correctement ce compte central.
