Sign in with Apple : Apple devient fournisseur d’identité privée

Anthony Nelzin-Santos |

Personne ne l’attendait, et c’est pourtant l’une des annonces les plus importantes de la WWDC. Avec « Sign in with Apple », Apple prend une place centrale dans votre vie numérique, en devenant une fournisseuse d’identité. Une identité brouillée, détachée des données, purement utilitaire… et hautement stratégique. « Sign in with Apple » vient contrecarrer les plans de Google, de Facebook, et tous ceux qui cherchent à enfoncer un coin entre Apple et ses clients.

« Sign in with Apple » peut être utilisé par toutes les applications proposant un formulaire de connexion, mais doit être utilisé par les applications intégrant des systèmes d’identification comme « Google Sign-in » ou « Facebook Connect ». Dans ce cas, le bouton « Sign in with Apple » doit être aussi grand que les autres, et placé le plus haut possible. L’apparence et le texte du bouton peuvent être (légèrement) personnalisés.

La création d’un compte est aussi simple qu’un paiement avec Apple Pay. Appuyez sur le bouton « Sign in with Apple » : le système génère un identifiant de compte unique, et vous présente une fenêtre modale, qui contient déjà votre nom. Ne vous reste qu’un choix, celui de fournir votre adresse e-mail, auquel cas le développeur peut retrouver un éventuel compte préexistant, ou bien d’utiliser une adresse relais fournie par Apple.

Apple invite les développeurs à reconsidérer leurs pratiques. Ont-ils vraiment besoin de récupérer le nom et l’adresse e-mail ? Dans certains cas, l’identifiant unique devrait suffire. L’adresse e-mail permet certes de fournir une assistance au client, mais aussi de l’inonder de courriers indésirables. Autoriser l’un tout en prévenant l’autre, c’est l’objectif des adresses relais.

D’abord parce que le relai fonctionne dans les deux sens. Le développeur ne voit que l’adresse relais, mais vous recevez son courrier dans votre « vraie » boite de réception. Le risque serait que vous dévoiliez votre adresse en répondant, mais toutes vos communications sont couvertes par le relai. Apple ne conserve aucune information, et les messages sont supprimés des boites relais dès qu’ils ont été distribués.

Ensuite parce que le relai est exclusif et temporaire. À chaque fois que vous créez un compte dans une nouvelle application, « Sign in with Apple » crée une nouvelle adresse relais unique. Vous recevez des messages indésirables par le biais d’une adresse relais ? Vous pouvez identifier l’application fautive, et révoquer le relai.

Identifiant unique, nom, adresse… mais où est passé le mot de passe ? C’est bien simple : il n’y en a pas. Vos données d’authentification sont enregistrées dans le Trousseau iCloud, verrouillé par votre mot de passe iCloud et (normalement) protégé par l’identification à deux facteurs d’Apple. Sur un nouvel appareil, vous pourrez vous connecter avec Touch ID ou Face ID, dans chaque application.

« Sign in with Apple » protège l’utilisateur, mais aussi le développeur. Le comportement de l’utilisateur et les données de l’appareil sont analysés, sur l’appareil lui-même, pour tenter d’identifier les comptes suspicieux et les robots. Apple n’empêche pas l’inscription, mais envoie l’information au développeur, sous la forme d’un simple bit d’avertissement. À lui d’agir en conséquence.

Comme Apple Pay, « Sign in with Apple » vise à sécuriser la transaction que représente la création d’un compte, mais aussi à la repousser. Apple conseille ainsi de « retarder l’inscription aussi longtemps que possible », et dans le cas d’une application de vente en ligne, d’« attendre que le client ait effectué un achat avant de lui demander de créer un compte ».

Après quelques mois de tests, « Sign in with Apple » sera disponible cet automne sur macOS, iOS et iPadOS, ainsi que watchOS et tvOS. Mais aussi le web, et même les applications Android et Windows, avec une implémentation JavaScript. Dans Safari, « Sign in with Apple » fonctionnera comme Apple Pay, et l’inscription pourra être validée avec le capteur Touch ID intégré ou les appareils environnants.

avatar Liena | 

Vivement ! Ca me semble vraiment pas mal ?

avatar Cro_Arthur | 

Va-t-on pouvoir transférer tous nos compte déjà existants (sign with FB ou autre) en « sign with Apple » ? Cela risque d’être compliqué.. ?

avatar alexyb8 | 

@Cro_Arthur

Ça serait trop beau pour être vrais mais croisons les doigts

avatar Cro_Arthur | 

@alexyb8

Il va falloir supprimer un à un des compte et refaire tout avec Apple... ?

avatar vlsf1 | 

@Cro_Arthur

A mon avis ça dépend si sur ces apps/sites, tu n’a « que » un compte via le sign in with Facebook, ou si tu l’a pour te connecter plus vite mais que tu aussi accès à ce site via un compte créé dessus (mail/login). Dans le second cas on peut sûrement ajouter le sign in with Apple et désolidariser de Facebook.

avatar Anthony Nelzin-Santos | 
@Cro_Arthur : Apple ne fournit pas de mécanisme tout prêt pour le faire, mais dit bien qu'un développeur qui veut lier un compte préexistant à un compte « Sign in with Apple » peut le faire.
avatar KorE | 

@Cro_Arthur

Ce serait tellement bien!

avatar vlsf1 | 

Le concept est génial. Et pas seulement pour la vie privée, c’est aussi plus simple à utiliser.

avatar Poklo | 

On parle bien de l'entreprise qui a participé au programme prism ?

avatar Baptiste_nv18 | 

@Poklo

C’est ou Google et Facebook mdr

avatar Indecence | 

Microsoft et Apple en faisait parti également. On pouvait aussi cité Yahoo, AOL ou Dropbox. MDR.

avatar Poklo | 

Je parle d'apple, apple suce votre vie privée comme les autres ce n'est pas un secret

avatar shaba | 

@Poklo

Si justement c’est un secret...

avatar Dimemas | 

chut les gars... on va dire que vous êtes des troll sinon ...

avatar MerkoRiko | 

@Poklo

Les mecs, on leur met la tête sur le billot, ils payent pour y passer en premier...entre ça et les données de santé, ils ne se posent même pas la question de donner des renseignements privés à une société US, quand on voit le genre de Présidents qu'ils nous sortent depuis un bon moment.
Attendons, qu'ils se fassent hacker eux-aussi, par les russes ou les chinois, comme ça, ces moutons de pâturage auront leurs empreintes anales dans toutes les dictatures...

avatar alexyb8 | 

Ça me parait tous aussi génial que lors de la présentation ! Hâte d’essayer !

Oui voilà je me demandais comment ça allait se passer sur Windows ou Android et j’ai ma réponse

avatar vlsf1 | 

@alexyb8

Pas sûr que ça se déploie énormément sur Android. Par définition, un utilisateur Android a plus de chances d’avoir un compte Facebook qu’un identifiant Apple.

avatar alexyb8 | 

@vlsf1

Oui c’est vrais et qu’en sera-t-il des sites accessibles sous mac et Windows et qui ont leurs applications iPhone et android ?

avatar denisdp | 

@vlsf1

J’ai un tel Android pour le boulot, ça peut au moins servir pour ce use case là.

avatar vlsf1 | 

@débileg

Il y a 35 millions d’utilisateurs Facebook en France. Apple ayant 20% du marché, ça fait meme pas 10 millions de personnes en France.

avatar vlsf1 | 

@débileg

Je mélange ce qui existe. Il y a plus de comptes Facebook que de comptes Apple. Et d’autant plus chez les utilisateurs Android puisqu’ils n’ont aucun besoin de compte Apple, à part pour Apple Music. C’était ça mon propos de base.

avatar vlsf1 | 

@débileg

Bon tu veux jouer au troll visiblement. Bonne journée.

avatar vlsf1 | 

@débileg

Je n’ai jamais vu quelqu’un avec 80 comptes facebook. J’ai vu des gens avec des comptes Apple dans plusieurs pays par contre (et j’en fais partie).

Oser mettre en doute qu’il y a plus d’utilisateurs actifs de Facebook que d’utilisateurs actifs d’un compte Apple, c’est... risible.

avatar vlsf1 | 

@débileg

Ah oui donc tu oses le dire en fait... Il y a plus d’utilisateurs actifs d’un compte Apple que d’un compte Facebook ? Parce que tout le reste est inutile, c’est la seule chose que je dis. Sur Android, probablement 80% des utilisateurs ont un compte Facebook.

Sur ce, bonne soirée le troll.

avatar Jeamy | 

Intéressant à tout point de vue

avatar Dazoudaz | 

C’est top surtout lorsque l’on a quitté Facebook...

avatar MacGruber | 

Top !
C’est comme un VPN

avatar mapiolca | 

La question est de savoir si les applications vont l’intégrer... car avoir des infos sur ces utilisateurs ça intéresse beaucoup de sites.

avatar Yohmi | 

@mapiolca
Toutes les applications qui proposent de se connecter par Facebook ou par Google y seront contraintes, du coup ça va forcément arriver car ces systèmes d’authentification sont légion ☺️ Ça ne les empêchera pas de collecter des données anonymes sur l’utilisation ou tout simplement sur les données que l’on remplit soi-même au sein des applications. Ça évite juste que l’on partage ses données en double et auprès d’un service qui n’a rien à voir dans l’affaire et qui en sait déjà suffisamment ?

avatar webHAL1 | 

@Yohmi
« Toutes les applications qui proposent de se connecter par Facebook ou par Google y seront contraintes [...] »

Pourquoi ça ?

avatar Yohmi | 

@webHAL1
Ce sont les règles de l’AppStore, comme dit dans l’article :

• « Sign in with Apple » peut être utilisé par toutes les applications proposant un formulaire de connexion, mais doit être utilisé par les applications intégrant des systèmes d’identification comme « Google Sign-in » ou « Facebook Connect ». Dans ce cas, le bouton « Sign in with Apple » doit être aussi grand que les autres, et placé le plus haut possible.

avatar webHAL1 | 

@Yohmi
« Ce sont les règles de l’AppStore, comme dit dans l’article [...] »

Merci, j'étais passé à côté du "doit être utilisé".

Je me demande jusqu'à quel point ça ne va pas être qualifié d'anti-concurrentiel. C'est une pratique plutôt limite, et c'est un euphémisme...

avatar Yohmi | 

@webHAL1
Je pense que ce n’est pas nécessairement plus sale que la collecte de données personnelles à l’insu des utilisateurs, ça pèse sûrement dans la balance (même si ce n’est pas la première fois qu’Apple abuse de sa position pour imposer ses services sur iOS, et qu’un jour ça pourrait bien leur retomber dessus ☺️).

avatar webHAL1 | 

@Yohmi
« Je pense que ce n’est pas nécessairement plus sale que la collecte de données personnelles à l’insu des utilisateurs [...] »

Comment ça ? Quel est le rapport avec ce que j'ai dit ?

avatar Yohmi | 

@webHAL1
Tu dis qu’imposer cette solution d’authentification anonymisée et sécurisée est une pratique plutôt limite, et je suis tout à fait d’accord pour dire qu’imposer sa solution sur l’unique boutique existante et dont on est le propriétaire est plus que limite.
Je pense néanmoins que les systèmes que cette solution concurrence sont tout aussi « limite », voire davantage, ce qui peut faire pencher la balance en faveur d’Apple malgré cet abus de position dominante manifeste.

Il y a fort à parier que s’il n’était pas question de combattre la collecte et l’exploitation silencieuse des données personnelles, imposer une énième méthode d’authentification aussi peu respectueuse que les autres n’aurait pas été accueilli de la même manière ?

avatar webHAL1 | 

@Yohmi
« Je pense néanmoins que les systèmes que cette solution concurrence sont tout aussi « limite" [...] »

Dans quel sens sont-ils "limite" ?

avatar byte_order | 

@Yohmi
> Je pense que ce n’est pas nécessairement plus sale que la collecte de données
> personnelles à l’insu des utilisateurs,

A l'insu ?
Ces utilisateurs ont cliqué sur "Sign in with Facebook / Google / etc" à l'insu de leur plein gré ? Puis ont validé la fenêtre web qui s'est alors ouverte leur demandant s'ils autorisaient l'app machintruc a obtenir telle et telle information à partir de leur identifiant" toujours à l'insu de leur plein gré !?

C'est pas à l'insu.
C'est par inconscience des conséquences.
Nuance.

Stop à la déresponsabilisation des gens qui ont fait des choix.

avatar Yohmi | 

@byte_order
Les informations partagées vers ces services ne sont pas connues. On sait ce que l’app récupère (enfin, on nous donne un nombre d’infos, je ne sais pas si c’est exhaustif) mais pas ce que Facebook ou Google prend en échange. Ils ne proposent pas ce service de manière désintéressée.

avatar byte_order | 

@Yohmi
> Les informations partagées vers ces services ne sont pas connues.

Bien sur que si. Il suffit à l'utilisateur d'aller voir ce que recouvre tel groupe d'informations associés à telle autorisation demandée par l'app ou le site web.

> On sait ce que l’app récupère (enfin, on nous donne un nombre d’infos, je ne sais pas
> si c’est exhaustif)

Euh, ah, je vois, on n'est pas sûr que ce que l'autorisation indique est bien ce qui est partagé ensuite ?

Ben, tout comme on n'est pas sûr que Apple ne fera pas un usage non déclaré de la riche liste des demandes de login qu'elle recevra chaque jour selon vos usages d'apps ou de sites web sur lequel vous vous identifierez désormais via Apple. Le site/app ne saura rien de vous, mais Apple, elle, elle *sait* qui se cache derrière tel compte anonymisé par ses soins (pour tout le monde, *sauf* elle).

Pourquoi croire que tous les autres cachent forcément des trucs, mais jamais Apple ? Vous croyez vraiment qu'elle n'aura aucune envie ni tentation de voir combien de gens utilisent finalement Dropbox, Netflix ou Spotify et que comme par hasard cela serait une bonne idée marketing de faire des promotions "ciblées", juste pour eux, à ses services iCloud, AppleTV+ ou Apple Music ?

Etre méfiant, de base, c'est bien.
Faut-il l'être de manière constante, et non pas selon des éléments de valeur qui reposent nettement plus sur de l'affect qu'autre chose.

avatar Sgt. Pepper | 

@webHAL1

Bien au contraire, cela apporte d’avantage de concurrence face Google et FB...

avatar webHAL1 | 

@Sgt. Pepper
« Bien au contraire, cela apporte d’avantage de concurrence face Google et FB... »

Quand un acteur impose sa solution face à celles des autres ça apporte davantage de concurrence ? Donc quand Microsoft a intégré Internet Explorer à Windows c'était une bonne chose car ça concurrençait Netscape ?
Ou bien c'est de l'humour ?

avatar Sgt. Pepper | 

@webHAL1

Essayes de réfléchir 2 mn

dans le cas précis , l’utilisateur aura devant les yeux le CHOIX: Apple, Google, FB

MS : seul internet Explorer était pré installé .

avatar webHAL1 | 

@Sgt. Pepper

Tu fais exprès de ne pas comprendre ? Je ne parle pas de l'utilisateur, mais du développeur.

avatar Sgt. Pepper | 

@webHAL1

Pirouette Cacahouète

Rien à voir avec la concurrence ,
Ni avec l’arrivée de IE sur MS (oú est le Dev ?)

J’arrête la pour aujourd’hui avec les trollS

avatar webHAL1 | 

@Sgt. Pepper
« Rien à voir avec la concurrence [...] »

Juste après avoir écrit :

« Bien au contraire, cela apporte d’avantage de concurrence [...] »

« J’arrête la pour aujourd’hui avec les trollS. »

Ah, là on est d'accord ! Vous en avez produit suffisamment pour la journée.

Pages

CONNEXION UTILISATEUR