Sign in with Apple : Apple devient fournisseur d’identité privée

Anthony Nelzin-Santos |

Personne ne l’attendait, et c’est pourtant l’une des annonces les plus importantes de la WWDC. Avec « Sign in with Apple », Apple prend une place centrale dans votre vie numérique, en devenant une fournisseuse d’identité. Une identité brouillée, détachée des données, purement utilitaire… et hautement stratégique. « Sign in with Apple » vient contrecarrer les plans de Google, de Facebook, et tous ceux qui cherchent à enfoncer un coin entre Apple et ses clients.

« Sign in with Apple » peut être utilisé par toutes les applications proposant un formulaire de connexion, mais doit être utilisé par les applications intégrant des systèmes d’identification comme « Google Sign-in » ou « Facebook Connect ». Dans ce cas, le bouton « Sign in with Apple » doit être aussi grand que les autres, et placé le plus haut possible. L’apparence et le texte du bouton peuvent être (légèrement) personnalisés.

La création d’un compte est aussi simple qu’un paiement avec Apple Pay. Appuyez sur le bouton « Sign in with Apple » : le système génère un identifiant de compte unique, et vous présente une fenêtre modale, qui contient déjà votre nom. Ne vous reste qu’un choix, celui de fournir votre adresse e-mail, auquel cas le développeur peut retrouver un éventuel compte préexistant, ou bien d’utiliser une adresse relais fournie par Apple.

Apple invite les développeurs à reconsidérer leurs pratiques. Ont-ils vraiment besoin de récupérer le nom et l’adresse e-mail ? Dans certains cas, l’identifiant unique devrait suffire. L’adresse e-mail permet certes de fournir une assistance au client, mais aussi de l’inonder de courriers indésirables. Autoriser l’un tout en prévenant l’autre, c’est l’objectif des adresses relais.

D’abord parce que le relai fonctionne dans les deux sens. Le développeur ne voit que l’adresse relais, mais vous recevez son courrier dans votre « vraie » boite de réception. Le risque serait que vous dévoiliez votre adresse en répondant, mais toutes vos communications sont couvertes par le relai. Apple ne conserve aucune information, et les messages sont supprimés des boites relais dès qu’ils ont été distribués.

Ensuite parce que le relai est exclusif et temporaire. À chaque fois que vous créez un compte dans une nouvelle application, « Sign in with Apple » crée une nouvelle adresse relais unique. Vous recevez des messages indésirables par le biais d’une adresse relais ? Vous pouvez identifier l’application fautive, et révoquer le relai.

Identifiant unique, nom, adresse… mais où est passé le mot de passe ? C’est bien simple : il n’y en a pas. Vos données d’authentification sont enregistrées dans le Trousseau iCloud, verrouillé par votre mot de passe iCloud et (normalement) protégé par l’identification à deux facteurs d’Apple. Sur un nouvel appareil, vous pourrez vous connecter avec Touch ID ou Face ID, dans chaque application.

« Sign in with Apple » protège l’utilisateur, mais aussi le développeur. Le comportement de l’utilisateur et les données de l’appareil sont analysés, sur l’appareil lui-même, pour tenter d’identifier les comptes suspicieux et les robots. Apple n’empêche pas l’inscription, mais envoie l’information au développeur, sous la forme d’un simple bit d’avertissement. À lui d’agir en conséquence.

Comme Apple Pay, « Sign in with Apple » vise à sécuriser la transaction que représente la création d’un compte, mais aussi à la repousser. Apple conseille ainsi de « retarder l’inscription aussi longtemps que possible », et dans le cas d’une application de vente en ligne, d’« attendre que le client ait effectué un achat avant de lui demander de créer un compte ».

Après quelques mois de tests, « Sign in with Apple » sera disponible cet automne sur macOS, iOS et iPadOS, ainsi que watchOS et tvOS. Mais aussi le web, et même les applications Android et Windows, avec une implémentation JavaScript. Dans Safari, « Sign in with Apple » fonctionnera comme Apple Pay, et l’inscription pourra être validée avec le capteur Touch ID intégré ou les appareils environnants.


avatar byte_order | 

@reborn
Il me semble que les webapps ne sont pas soumis aux mêmes obligations.
Et puis, bon, cela doit pas être trop compliquer de passer la validation *avec* le bouton sur la page web *puis* de modifier ladite page web pour le retirer ou le déplacer plus bas, ailleurs, en tout cas moins en tête de gondole.

Le principe même d'exiger d'être le choix en tête de gondole pose de facto problème.
D'exiger d'être dans les choix possibles, à la rigueur, c'est comme d'exiger que Microsoft propose d'installer un navigateur web parmi une liste triée aléatoirement, c'est déjà tordu, mais au final l'utilisateur garde le choix et ce choix n'est pas arbitrairement biaisé.

avatar rua negundo | 

Quel sera le montant de la commission facturée par Apple ?

avatar Sgt. Pepper | 

@rua negundo

Dans les 30-15% de commission ?

avatar marc_os | 

?

avatar Daye | 

Lorsque ça va être intégré directement sur l’iPhone, sa sera vraiment simple et rapide à utilisé ?

avatar Crkm | 

Bien, j’imagine qu’il faut s’attendre à ce que les développeurs cessent de supporter la connexion via les réseaux sociaux, au profit de la création d’un compte sur leur app. Les applications qui prendront en compte Apple Connect se compteront sur les doigts (des deux mains, soyons généreux), dans la mesure où ça les empêcherait d’obtenir les infos personnelles. Encore un bide pour Apple! ?

avatar Lucas | 

@Crkm

Ben non justement, une victoire pour la vie privée et contre Facebook et Google si soudainement toutes les apps retirent leurs API ;)

avatar UraniumB | 

@Crkm

T’as rien compris toi... ?‍♂️

avatar xDave | 

@Crkm

Au contraire.
Les Applications qui procèdent ainsi sont obligées de proposer cette solution en plus.
Donc si ça fait suer le dev il aura le choix de n’utiliser que le login / pwd et pas uniquement le login Facebook par exemple.

avatar Crkm | 

Ben oui c’est bien ce que je dis. Les développeurs auront trois choix:
1)soit ils ne proposent qu’une seule méthode d’inscription, c’est à dire la méthode classique avec une adresse e-mail ou nº de tel
2)soit en plus de la méthode précédente, ils proposent aussi la connexion via réseaux sociaux ou bien Apple Connect qui empêche la récolte du nom et de l’adresse e-mail
3)soit ils ne proposent que Apple Connect

La méthode nº1 sera à mon avis largement privilégiée, car les choix 2 et 3 ne permettent pas la collecte d’informations personnelles. On aura ainsi la plupart des applis qui ne proposeront plus le login via Twitter et Facebook, la méthode d’inscription proposée sera l’adresse e-mail en grande majorité. Peu d’applis actuellement ne proposent que le login via Facebook.

avatar fanchperon | 

Mais du coup, si j’utilise par ailleurs certains comptes sur PC, comment m’y connecter vu qu’il n’y a pas safari ?

avatar reborn | 

@fanchperon

C’est du javascript ça fonctionne de partout normalement

avatar fanchperon | 

@reborn

Mais je m’y connecte avec quoi ? Mes identifiants iCloud ? Où sont la sécurité et l’anonymat dans ce cas ?

avatar reborn | 

@fanchperon

Le dev ne voit pas l’adresse icloud, il voit un alias

avatar Sgt. Pepper | 

@fanchperon

C’est du code JavaScript .
Ce que j’ai compris:
un « overlay » Apple sera affiché pour rentrer AppleId/password Du compte Apple.
Avec une double Authent via le Trusted Device (comme pour icloud.com)

Le site web ne verra rien des données utilisées,
c’est comme une redirection vers un autre site d’Apple
(Comme pour lors d’un achat ou il y a une redirection vers une page de la banque )

avatar fanchperon | 

@Sgt. Pepper

Ok merci pour vos explications à tous les deux !

avatar irep | 

Sous Windows (et peut-être aussi sur macOS), si l'utilisateur est dans l'impossibilité temporaire de s'identifier par son iBidule alors Sign with Apple pourrait exiger que la navigation web se fasse avec Safari, lui-même connecté à iCloud,…
Cela va faire remonter les parts de marché de Safari

avatar Sgt. Pepper | 

@irep

Safari sous Windows??

Tu as inventé cette histoire d’exigence Apple? ?

Car Apple a déjà un process pour cela via appleid.apple.com

avatar yaya31832 | 

Ça a vraiment l’air bien ce système.

avatar Lucas | 

En tout cas c’est génial ! ???

avatar thefutureismylife | 

C'est effectivement une petite nouveauté bienvenue. je faisais justement le tri dernièrement des comptes que j'ai pu crée depuis 10 ans ... on en cumule ! La RGPD a bien aidé à se rappeler de ces comptes !

J'espère qu'Apple offrira une page dédiée à leur gestion : répertoire des comptes, informations mises à disposition, etc etc.

Bref le fameux petit plus qu'on attend de la part d'Apple.

avatar Bigdidou | 

Vous utilisez beaucoup ces systèmes de « sign in with machin chose » ?

Ça met quand même machin chose en intermédiaire entre vous et le service pour un bénéfice que je ne comprends pas bien.
Mais bon, c’est sûrement plus moderne.

avatar reborn | 

@Bigdidou

Vous utilisez beaucoup ces systèmes de « sign in with machin chose » ?

Jamais

Mais le système d’Apple si il est proposé je vais m’y intéresser.

avatar Sgt. Pepper | 

@Bigdidou

Google et Facebook : sûrement pas ?

Mais avec Apple : je vois que des avantages

Fini les multiples Login/password côté App donc meilleur sécurité contre le piratage (combien d’accidents et de message nous demandant de changer le mdp)

Simplification: pas de nouveaux mdp, plus de lien à cliquer dans un e-mail pour vérification, recovery simplifier

Du gagnant -gagnant pour l’App et l’utilisateur ?

avatar fousfous | 

@Bigdidou

Souvent y a pas le choix en fait, c'est sign in with Facebook ou rien du tout!

Pages

CONNEXION UTILISATEUR