En ce moment, énormément de sites et de blogs proposent cette fonctionnalité d’authentification sociale à ses usagers. Celle-ci est en vogue et permet d’inciter ses visiteurs à s’inscrire ou à réagir facilement et rapidement à un contenu.
Plusieurs réseaux sociaux et services web mettent à dispositions des développeurs des API pour intégrer l’authentification dans nos applications web. Le “social login” permet de gérer le processus d’authentification lorsqu’un utilisateur veut se connecter à un site web avec leur OpenID, Facebook, LinkedIn, Google, Twitter, MySpace, Windows Live, Foursquare, Friendster, Vimeo, Yahoo, PayPal, Tumblr, Gowalla et autres réseaux sociaux ou les services fournisseurs d’identité (aussi appelé IDP).
S’inscrire et/ou se connecter via nos réseaux sociaux préférés devient peu à peu une habitude et ce, dans un but de simplicité afin d’éviter de remplir des formulaires, ce qui est quelque peu rébarbatif et fastidieux. Mais qui se pose la question de la sécurité des données et du respect des données personnelles ?
LoginRadius, OneAll ou encore Janrain Engage pour ne citer qu’eux, sont deux fournisseurs de systèmes de “social login” très utilisés. Il faut s’enregistrer chez eux puis utiliser leurs applications sociales (que les visiteurs doivent accepter) afin d’utiliser leurs services. Le webmaster n’a aucun contrôle sur ces applications et donc sur les données récoltées par celles-ci.
La plupart des réseaux sociaux transmettent les informations personnelles des utilisateurs telles quelles sans que vous puissiez les filtrer ou les modifier (une fois l’application acceptée). De plus, le webmaster perd la main sur les données et s’en remet totalement aux réseaux sociaux et à la société de service qui fournit le service de “social login”. Le jeu en vaut-il donc la chandelle ? Explications.
Prenons UnderNews comme exemple. Il y a, depuis peu, cette fameuse fonctionnalité de connexion (uniquement pour soumettre un commentaire). Il n’était pas question de s’en remettre à un service tiers pour gérer les données de connexion de nos membres. En fait, nous avons décidé de mettre en place notre propre système couplé avec nos propres applications !
Cela a été rendu possible grâce à la librairie PHP (très prometteuse en passant) HybridAuth. Avec elle, nous gardons la main sur toutes les données communiquées par les utilisateurs, sans enrichir la base de données d’une quelconque société et en réduisant fortement les risques liés aux données privées. C’est donc mieux pour nous ainsi que pour le respect de nos utilisateurs !
Beaucoup de grosses sociétés se retrouvent victime de fuites de données, non pas à cause de leur propre système mais de ceux de tiers, qui gèrent les données personnelles de leurs clients ! Connaissant ce risque, ajouté à celui d’enrichir la base d’une société inconnue au bataillon, il n’est pas recommandé de faire confiance à de tels services. Notons que ces services sont proposés gratuitement par ces sociétés, ce qui ne peut que présager une utilisation substantielle des données récoltées afin de monétiser leurs systèmes…
J’allais utiliser LoginRadius pour Joomla pour un de mes clients jusqu’au moment ou j’ai compris qu’il fallait tout décentraliser sur leur site. Les données personnelles utilisateurs sont des données sensibles que les utilisateurs acceptent de partager avec le site sur lequel ils s’inscrivent. Il n’est pas question, pour moi, de laisser libre accès à une société tierce (et inconnue) à leurs données. J’ai donc abandonné l’idée d’utiliser LoginRadius et je vais plutôt me pencher sur HyrbidAuth, merci pour le lien.
Pour Claude, vous pouvez avoir les meilleurs intention du monde, comme je le disais les données personnelles utilisateurs sont sensibles et vous ne pourrez jamais enlever l’idée à certains que vos intentions peuvent être malhonnêtes. Les données personnelles, c’est ce qui fait vivre le web (en partie).
De plus, je ne comprends pas pourquoi vous êtes du 54 et vous avez domicilié votre société au Luxembourg. Pour moi c’est plus louche qu’autre chose. Et un geek reste un homme comme les autres, il est intéressé par l’argent comme tout le monde.
“De plus, je ne comprends pas pourquoi vous êtes du 54 et vous avez domicilié votre société au Luxembourg. Pour moi c’est plus louche qu’autre chose.”
Vous penser vraiment que je l’aurais mentionné ICI s’il y aurait une quelconque magouille ladedans? Ma femme est française et moi-même luxembourgeois. Notre lieu d’habitation est un choix personnel.
Bonjour et merci de vos réactions plutôt rapides.
Rassurez-vous, le but n’est pas de faire de la mauvaise pub mais juste d’exprimer un avis sur la sécurité des données privées.
J’explique mes choix et les avantages que cela représente pour mes membres.
@Claude : Chacun peut avoir une idéologie différente ! Personnellement je refuse catégoriquement d’utiliser des services tiers mais nous savons très bien que des services comme vous développez sont largement utilisés 😉
@HybridAuth : Je comprend cela tout à fait, j’ai moi-même du trouver du temps pour mettre en place cela et j’ai avant essayé OneAll et LoginRadius (que j’ai failli adopter par ailleurs). C’est juste l’idéologie du libre et de garder la main sur tout qui m’a fait reculer et donc me tourner vers la fameuse librairie.
Désolé si cela est quelque peu mal tourné, quoi qu’il en soit, je souhaite bon courage à OneAll ainsi qu’aux autres fournisseurs d’authentification.
PS : il serait intéressant si vous m’expliquiez en détails votre politique sur les données personnelles afin de rédiger un prochain article sur la question ! Utilisez le formulaire de contact ou directement le mail en bas de site. Bonne journée.
permettez moi de dire que ce que vous avancer ressemble plus a un proces d’intention…
Le risque de fuites de données certe exite, mais certains entreprises ne peuvent pas (ou simplement ne veulent pas) creer, gerer et maintenir des tels systemes d’authentification. La question est donc de bien choisir avant d’accorder sa confiance.
(et merci pour le mot en passant 🙂
Bonjour, je m’appelle Claude et je suis le fondateur de oneall. Si vous le permettez, je voudrais ajouter quelques clarifications à votre article.
Nous somme une équipe de trois geeks qui travaillent d’arrache-pied afin de proposer un service utile et ça me fait de la peine de lire
qu’il y ait un quelconque doute sur nos intentions.
Oneall est une SARL Luxembourgeoise et moi-même j’habite dans le 54. C’est vrai que nos services sont actuellement gratuits mais le but n’est pas de récolter un maximum de données. Oneall est en phase bêta, le système est en phase de développement en nous ne pouvons tout simplement pas vendre quelque chose qui n’est pas tout à fait fini.
N’hésitez pas à me contacter si vous avez d’autres questions 😉
Les commentaires sont fermés.