Sign in with Apple : Google aime le système mais pas sa présentation

Stéphane Moussie |

Google accueille favorablement « Sign in with Apple », le nouveau système d’authentification d’Apple, même s’il juge sa présentation à la WWDC 2019 diffamatoire envers « Google Sign-In ».

Dans une interview accordée à The Verge, le responsable de la sécurité des comptes Google estime d’abord que le plus important est de réduire le nombre de mots de passe utilisés par les internautes. Puisque « Sign in with Apple » poursuit cet objectif, il applaudit l’initiative.

Mark Risher sait que des gens voient d’un mauvais œil ces systèmes d’authentification centralisés, car cela revient à mettre tous ses œufs dans le même panier, selon eux. Il affirme pourtant qu’un système comme « Google Sign-In » est plus sûr qu’utiliser des mots de passe pour deux raisons.

D’une part, du côté des éditeurs de sites web et d’applications, cela évite de devoir gérer une base de données d’authentification, avec tous les risques que cela représente. C’est l’équipe de sécurité de Google (ou d’Apple), supposément plus chevronnée, qui prend en charge cette problématique.

D’autre part, côté utilisateur, le responsable de « Google Sign-In » répond à la métaphore des œufs dans le panier par une autre métaphore, plus juste d’après lui :

Vous avez deux façons de mettre à l’abri vos cent dollars : vous pouvez les répartir dans toute votre maison, en mettant des pièces d’un dollar dans chaque tiroir et sous le matelas. Ou vous pouvez les mettre à la banque, qui est un panier unique, mais un panier protégé par des portes en acier de 30 cm d’épaisseur.

Mark Risher est moins content de la façon dont Apple a présenté « Sign in with Apple ». Lors du keynote, Craig Federighi a déclaré que « Google Sign-In » et « Facebook Login » pouvaient partager des informations personnelles en cachette et servir à pister les utilisateurs. Le cadre de Google n’a pas apprécié que « Sign in with Apple » soit décrit comme le seul système intègre en matière de confidentialité, tandis que les autres seraient corrompus. Il avance d'ailleurs, sans en être certain, que le système d'Apple pourrait être plus invasif que celui de Google, car il consignerait les mails envoyés par les entreprises, ce dont Apple se défend.

Il reconnait que « certains concurrents », en premier lieu Facebook, même s’il ne le nomme pas, ont pu entraîner les systèmes d’authentification dans la mauvaise direction et conduire à une suspicion de la part des utilisateurs : « Vous avez peut-être cliqué sur ce bouton qui informe tous vos amis que vous venez de vous connecter à un site embarrassant. » Et d’enfoncer le clou en parlant de ce concurrent — Facebook, encore — qui se servait apparemment des numéros de téléphone destinés à l’authentification en deux étapes pour ajuster son ciblage publicitaire. « C’est mauvais pour l’ensemble de l’écosystème, car les gens ne nous font plus confiance », se désole-t-il.

Mark Risher assure que Google ne détourne pas « Google Sign-In » de son usage principal : « Nous enregistrons seulement le moment de la connexion. Ce n’est utilisé pour aucun type de reciblage. Ce n’est utilisé pour aucune sorte de publicité. Ce n’est partagé avec personne. Et c’est en partie sous le contrôle de l’utilisateur afin qu’il puisse revenir en arrière et voir ce qui s’est produit. »

Ce que le dirigeant ne dit pas, c’est qu’outre ses mauvaises habitudes concernant le respect de la vie privée, Facebook a aussi donné le pire des exemples en matière de sécurité. En septembre dernier, l’entreprise a révélé qu’un pirate avait pu voler les tokens d’accès (l’équivalent d’une clé qui maintient la connexion à Facebook) de 50 millions de membres, lui permettant ainsi d’usurper leurs comptes sur le réseau social, mais aussi dans les apps tierces utilisant « Facebook Login ».

La vulnérabilité venait de la fonction « Voir en tant que » qui révélait ce token privé dans un cas précis. Facebook a dû réinitialiser les tokens de tous les utilisateurs concernés. Les portes en acier de 30 cm qui protègent le panier à œufs ne servent à rien si on peut les crocheter avec un trombone…


avatar pilipe | 

Mais bien sûr, il se défend comme il peut mais je ne suis pas dupe.

avatar reborn | 

« C’est mauvais pour l’ensemble de l’écosystème, car les gens ne nous font plus confiance », se désole-t-il.

Ah c’est bête ça ?‍♂️

avatar Gagolak | 

@reborn
Ouais.

En même temps, ça se comprend ?

avatar whocancatchme | 

@Gagolak

La meilleure c’était quand même le micro caché que je ne sais plus quel appareil ! Du génie

avatar UraniumB | 

@whocancatchme

Un appareil Google ?

avatar whocancatchme | 

@UraniumB

Oui !

avatar UraniumB | 

@whocancatchme

???

avatar UraniumB | 

@whocancatchme

Hehe, tkt pourtant que les trolls continueront à dire que ce qu’Apple fait n’est pas mieux ???

avatar broketschnok | 

@reborn

Tu as raison. Ils sont gonflés!!

avatar Lucas | 

@reborn

Mais tellement...

avatar bhelden | 

Faudrait faire comme dans Westworld S02 : détruire tous les serveurs de Facebook & Google contenant nos informations personnelles et plus.

Par la suite, on verra si ils continuent de parler de confidentialité (car aujourd’hui ils ont l’air de connaître les gens parfois bien mieux qu’eux même donc ils ont ce qu’ils veulent...).

avatar fallherpe | 

@bhelden

Tu perdrais sans doute des données iCloud dans ce cas ! Car Apple loue (en partie) le stockage d’informations iCloud sur les serveurs de Google (qui est aussi un acteur majeur du cloud au même titre que Microsoft ou Amazon encore).

avatar jeantro | 

@bhelden

Tu oublies Apple, Amazon...... ?

avatar bhelden | 

@jeantro

Oui, j’ai pas parlé d’Apple car c’est eux qui mettent en avant une nouvelle façon de se connecter sur le web avec une certaine confidentialité des données. Les autres par contre ne se gênent pas depuis des années (et effectivement j’ai pas cité tout le monde, juste ceux dont on parle le plus).

avatar UraniumB | 

Au pire, que chacune de ces entreprises suivent son chemin et laisse le choix au consommateur; on ne peux pas demander mieux.

avatar broketschnok | 

Haha ?. On voit qu’ils ont les boules

avatar htep | 

La dernière fois que j’ai essayé d’utiliser gmail pour me connecter à un partenaire, ce dernier voulait récupérer tous mes contacts.

Soit c’est un gesironnnaire d’authentification, soit c’est un moyen de récupérer de la donnée mais je trouve la 2ème abusée

avatar byte_order | 

@htep
> La dernière fois que j’ai essayé d’utiliser gmail pour me connecter à un partenaire,
> ce dernier voulait récupérer tous mes contacts.

Et vous aurez noter que le premier non seulement ne vous a pas cacher ce que voulait faire le second, mais qu'en plus le premier vous en informe et vous donne le choix de choisir ensuite soit d'accorder ce que demande le second soit de refuser, et donc de vous méfier du second.

Mais pourquoi reporter cette méfiance légitime du second au premier, alors que celui-ci a bien fait son boulot !?

Votre banque vous informe que tel compte en banque demande à faire un prélèvement automatique sur votre compte sans votre accord, et vous vous méfiez plus de votre banque que de la personne qui a tenté d'obtenir un prélèvement automatique sans votre accord préalable ?!

avatar joso | 

@byte_order

Bien dit !
Même si la méfiance est de garde avec ces géants du numérique qui centralisent tout

avatar Sacha12 | 

“le responsable de la sécurité des comptes Google estime d’abord que le plus important est de réduire le nombre de mots de passe utilisés par les internautes.”
M D R mais il est con ce mec ou quoi ?

avatar denisnone | 

@Sacha12

Pas vraiment. Il dit qu’il faut utiliser les tokens générés automatiquement à base des symboles aléatoires au lieu des mots de passe. Et ses tokens sont stockés dans votre compte google/facebook et protégés par un seul mot de passe de votre compte.

En même temps si ce putain de facebook decide un jour que tu as posté quelque chose interdit (que p. e. zuckerberg est con) et bloque ton compte tu perdra aussi l’accès à ces sites.

avatar SyMich | 

Relisez ce qu'il dit sur la meilleure façon de sécuriser l'accès à vos 100 dollars.

Et s'il est con, alors les dirigeants d'Apple le seraient tout autant puisque c'est également l'objet d'Apple Sign-in...

avatar DG33 | 

@SyMich

A propos de la sécurisation des 100$...
Je ne serais pas surpris que Google laisse un PostIt « il y a entre 50 et 200 $ ici » sur la porte ou serrure du coffre, à l’attention des ses partenaires.
Et côté FaceBook « voici le coffre d’Untel, il y a un billet de 100$ déposé il y a un mois, il y en a deux autres et un de 50 depuis 6 mois, et le code commence par 123 »

avatar Adrienhb | 

On a eu des cas de mauvaise utilisation des identifiants par Google?
Même si cela ne viendrait pas à l’idée de m’identifier via leur service.

avatar fousfous | 

On en parle de Google + qu'ils ont du fermer parce qu'ils avaient rien sécurisés?
Ils ont quand même de la chance d'avoir Facebook pour récupérer toute l'attention négative et de pas se faire emmerder par les journalistes.

avatar byte_order | 

@fousfous
Rien, faut p'tet pas exagéré.
Ils ont identifié des failles dans des cas particuliers, mais cela a surtout servi à dire que G+ avait la rage parce que Google voulait tuer G+ surtout, pour des raisons plus financières et d'audience qu'autre chose.

avatar SyMich | 

"Ce que le dirigeant ne dit pas,..."
Au cas où vous l'auriez oublié en chemin, le dirigeant en question est de chez Google. Il n'est pas là pour parler de Facebook !

avatar vlsf1 | 

@SyMich

Ben il se compare. Le Sign In with Apple est une réponse directe à Facebook et Google. Normal que chacun parle de ses petits camarades ^^

avatar SyMich | 

Ben non... il est là pour défendre Google qu'il considère injustement dénigré par Apple.
Il n'est pas là pour dire du mal ou cacher des éléments de Facebook!
Donc écrire "ce que le dirigeant ne dit pas..." comme s'il cachait volontairement des choses alors que l'événement mis en avant par le rédacteur de l'article concerne FaceBook, n'est pas très honnête ou révèle que dans l'esprit de l'auteur du texte, Google ou FaceBook c'est du pareil au même, dans la ligne de l'argumentaire d'Apple en quelque sorte.

avatar vlsf1 | 

@SyMich

Ben non parce que Google et Facebook font cause commune sur ça, et que l’argument de la sécurité a ses limites. Ca concerne aussi Apple d’ailleurs.

En fait ça ne concerne pas Google ou Facebook ou Apple mais tous ceux qui sont sur ce marché. L’exemple que prend le mec de Google vaut pour ses concurrents aussi.

avatar JokeyezFX | 

@SyMich

T’inquiète mec, j’me suis dit la même chose en lisant l’article, c’est les autres qui ne comprennent pas ce que t’as voulu dire dans ton premier commentaire ?

Relisez correctement le premier commentaire de SyMich et ensuite relisez attentivement l’article, et si vous être pas trop des billes en français (attention, je ne me considère pas comme un maître de la langue) vous comprendrez.

avatar cosmoboy34 | 

Que ce soit une entreprise dont son business model est de vendre des infos qui dise ça c’est quand même très risible. Ils prennent vraiment les gens pour des idiots

avatar en ballade | 

tu crois d'avantage une entreprise qui donne peu pour sa R&D et donne surtout à sa trésorerie et ses actionnaires? Naïveté???

avatar Silverscreen | 

@en ballade

Peu ? 4 milliards de dollars par trimestre.

Business model d’Apple : marge importante sur la vente de matériel informatique

Business model de Google : vente d’espace publicitaire et de profiling clients

Apple a intérêt à convaincre ses clients de continuer à acheter ses produits, par ce qu’ils sont sûrs, notamment.

Google a intérêt à convaincre ses (vrais) clients de continuer à utiliser ses services de publicité à destination du grand public, en continuant à être le premier fournisseur de services gratuits au grand public.

Nous ne sommes pas les clients de Google, nous sommes le produit qu’il vend à ses partenaires commerciaux. Donc la sécurité de données... hum comment dire ?

CQFD

avatar en ballade | 

je parlais en pourcentage du C.A. compare avec google ou MS

N oublie pas que Appl€ reçoit son cheque annuel de google pour que tu deviennes aussi son client.....

avatar iPop | 

@cosmoboy34

C’est en principe toujours le cas.

avatar byte_order | 

@cosmoboy34
> Que ce soit une entreprise dont son business model est de vendre des infos qui dise ça
> c’est quand même très risible.

Ce qui est risible, c'est en 2019 de ne pas savoir que le business model de Google est de vendre du *ciblage* publicitaire, pas les infos qui lui permette de vendre ce ciblage.
Ce que vend Google, c'est sa capacité à faire du ciblage, via des données qu'elle a *elle* mais qu'elle ne (re)vend pas évidement (revendre la matière principale de votre business, c'est jamais une bonne idée, par ailleurs).

> Ils prennent vraiment les gens pour des idiots

Et bien, lisez un peu comment fonctionne Google Sign-In, les mécanismes de notification de l'utilisateur de ce service sur qui, quand et sur quelles données associées sont, sur *son* accord, rendu accessible ou pas aux tiers.

Si vous acceptez systématiquement la demande d'accès de tiers à vos données associées à votre compte Google, c'est *vous* qui *vendez* vos données, et pas à un bon prix, en plus. C'est pas Google qui le fait dans votre dos.

Ensuite, on pourra évaluer ce qui relève de l'idiotie ou pas.

avatar vlsf1 | 

Pourquoi pas, mais j’ai du mal à prendre Google pour un passionné de vie privée vu que l’exploitation des données est leur coeur de business. Leur régie publicitaire est bien plus grosse que celle de Facebook.

Et il dit probablement la vérité sur Sign in with Google. En fait je pense qu’ils n’en ont pas besoin. Avec les AdSense sur énormément er sites, GMail, YouTube et surtout Google Search (où on cherche à peu près tout ce qu’on est susceptibles f’acheter), ils en savent déjà suffisamment pour le ciblage.

avatar Bigdidou | 

Il faudrait un label « Aimé par Google ».
J’aurais tout de suite plus confiance.

avatar rua negundo | 

@Bigdidou

En attendant, il y a la mascotte avec drapeau vert de MacG pour les tests de produits. Elle pourrait être étendue aux services ?

avatar guilpa | 

mouais et bien moi ça fait une paire d'années que j'ai un mail juste pour les sites internet, mail créé avec des fausses informations et surtout non enregistrée sur l'appareil, j'ai jamais reçu de pub sur mon smartphone ni sur mon vrai email

avatar iPop | 

@guilpa

Idem 3 mails
. Pub
. Perso
. Pro

avatar Nom d'utilisateur | 

Et bien qu'il aille se faire foutre!

avatar dvsn | 

"Il avance d'ailleurs, sans en être certain, que le système d'Apple pourrait être plus invasif que celui de Google" !!!

Peut-on faire pire que Google & Facebook en matière de confidentialité ? Non.

Cette hypothèse n'est PAS DU TOUT recevable, de là à affirmer qu'Apple = risque 0, non plus, mais risques + ou - limité par rapport à ces 2 pourritures que sont Google & Facebook.

avatar benette170497 | 

Que Google me sorte un navigateur digne de ce nom et un drive qui va avec au lieu de me donner une passoire à pâte ... et après ils pourront reparler
Parce que si Apple a connu quelques déboires question secu, Google garde la palme et est loin devant iOS pour revendre vos infos perso à tierces personnes ...

avatar xDave | 

C’est vrai que de faire confiance à un banquier, c’est un bon exemple...
Ou pas

avatar Jeanlucesi | 

J'ai un beau MacBook mi 2012 que je viens de libérer en installant la 18.04 d'Ubuntu.
Fini l'obsolescence software fini les Apple si Apple là;
Pour les mots de passe Bitwarden logiciel libre et gratuit je donne 10 € /an au dév.
Cessez d'être esclave d'Apple et de son honteuse politique .

CONNEXION UTILISATEUR