SSO : plus efficace pour traquer les utilisateurs que les cookies

SSO : plus efficace pour traquer les utilisateurs que les cookies
Les grandes firmes du web ont de nouveaux moyens aujourd'hui pour cataloguer les utilisateurs

Avec le rapide développement des smartphones, les géants de l'internet et de l'informatique ont trouvé de nouveaux moyens pour traquer les utilisateurs et les classer selon leurs goûts et leurs comportements. En effet, l'une des plus classiques méthodes utilisées pour suivre un utilisateur sur internet était de stocker des cookies sur son ordinateur. Les cookies servaient à stocker des informations sur les sites qu'il visite avec les dates, ainsi que d'autres informations utiles.

Cependant, avec l'apparition des tablettes et des smartphones, cette méthode a rapidement montré ses limitations. Aujourd'hui, il est fréquent utiliser plusieurs appareils pour se connecter à internet, du coup, les géants du web préfèrent stocker les informations sur l'activité de l'utilisateur sur leurs propres serveurs au lieu des cookies. D'autant plus que l'explosion des réseaux sociaux a permis de rassembler une précieuse mine d'informations pour cataloguer les utilisateurs, que les entreprises utilisent sans hésitation à des fins commerciales. Une autre raison qui limite la pertinence des cookies et qui a contribué à accélérer cette transition est que les constructeurs de smartphones empêchent aujourd'hui les applications d'accéder aux cookies des navigateurs web et vice-versa.

C'est pour ces raisons que certaines firmes comme Google, Microsoft, Apple, Yahoo et Facebook s'intéressent maintenant plus à ce qu'on appelle l'Identification Unique ou Single Sign-On (SSO) en anglais : qui est une méthode permettant à un utilisateur d'accéder à plusieurs sites web ou applications sécurisés en ne procédant qu'à une seule identification.

Par exemple, avec notre seul identifiant Gmail, on peut aujourd'hui accéder à Youtube, Drive, Calendar, Google+, Maps, Play Store ainsi que tous les autres services Google, mais les fournisseurs d'identification vont encore plus loin et proposent aux développeurs des API qui permettent aux utilisateurs de s'identifier sur des sites tiers en utilisant leurs comptes Gmail par exemple, ou leurs comptes Facebook, Flickr, YahooID, Live ID ou Twitter.

Ceci représente un avantage pour les utilisateurs qui leur évite de créer un compte différent pour chaque site avec tous les problèmes de perte de mot de passe qui s'en suivent. Et ça profite encore plus aux fournisseurs du service d'identification, car ça leur permet de traquer et cataloguer l'utilisateur et recueillir des informations détaillées sur les sites qu'il a l'habitude de visiter pour ensuite les utiliser pour mieux cibler la publicité.

Dans un récent article paru dans eMarketer, Google et Facebook se partagent 40% de la publicité sur internet, suivis directement par Microsoft et Yahoo. Sur mobile l'importance de ce type de revenu se fait plus sentir puisque Google à elle seule possède 50% du marché de la publicité, suivi de Facebook avec 22%. L'intérêt de traquer et cataloguer les utilisateurs prend donc tout son sens vu l'ampleur des revenus qu'ils peuvent générer. Toutefois, pour but de protéger la vie privée des utilisateurs, ces firmes ne communiquent plus les noms et/ou adresses mails des utilisateurs aux annonceurs de pubs, ils utilisent au lieu de cela un identifiant à chaque utilisateur, l'annonceur pourra donc vous cibler avec sa publicité, mais ne saura pas votre identité réelle.

Sources : Facebook Developpers Blog, eMarketer, Wikipédia, Apple SSO authentification, Google Account Help Center

Et vous ?

:fleche: À quelle fréquence utilisez-vous ces services d'identification sur des sites tiers ?
:fleche: Que pensez-vous des publicités ciblées en utilisant les informations recueillies sur les utilisateurs ?

Citation:

---

Envoyé par Amine Horseman

Toutefois, pour but de protéger la vie privée des utilisateurs, ces firmes ne communiquent plus les noms et/ou adresses mails des utilisateurs aux annonceurs de pubs, ils utilisent au lieu de cela un identifiant à chaque utilisateur, l'annonceur pourra donc vous cibler avec sa publicité, mais ne saura pas votre identité réelle.

---

Mais pourquoiiiiii?

On a rien a cacher!:aie:

D'où l'intérêt et l'urgence de retirer à Google, Facebook, Microsoft, Yahoo... tout le pouvoir qu'on leur donne en utilisant leurs services.

C'est l'histoire d'un mec... qui voulait supprimer son compte Facebøøk.
Mais finalement, comme il s'était inscrit partout avec, il a dû se résigner à continuer de l'utiliser.

FIN

Conclusion : utiliser un login prorpre à chaque site fréquenté...

Surtout que si le compte principale est compromis, je vous laisse imaginer l'étendue des dégâts!

Le maillon faible, c'est le webmaster qui pour X raisons préfère utiliser des services externe plutôt que de faire les choses complètement. Je n'ai pas à juger des raisons qui les poussent à ça, c'est juste un constat.

C'est vrai pour l'authentification mais pas que.
En fait, n'importe quel outil devant effectuer des requêtes vers un serveur Google, Facebook, Microsoft, Yahoo ou n'importe quel autre fournisseur de services tiers est potentiellement utilisable pour tracer assez bien un utilisateur durant toute sa navigation. Je pense bien entendu aux outils d'analyse de trafic mais aussi à des choses plus inoffensives comme des polices.
Je dirais que 99% des sites web se font complices de cette traque bien malgré eux (developpez.net n'y échappe pas d'ailleurs ;) ). Le problème est d'autant plus important que ce sont à peu près toujours les mêmes outils que l'on retrouve d'un site à l'autre.

Lorsqu'on veut avoir une certaine hygiène numérique face à ça, c'est assez compliqué. C'est un peu comme vouloir être végétarien au fin fond du Texas.
Côté utilisateur, j'utilise par exemple request policy dans firefox (ça bloque toutes les requêtes vers les domaines autres que celui visité et ça prévient lors des redirections automatiques sur certaines pages).
J'utilise par ailleurs un blog Wordpress et par défaut, il utilise des google font. J'ai donc désactivé ça car google peut très bien se passer de moi s'il veut collecter des données.

De toute façon, les marketteux auront notre peau. Quoi qu'on fasse, il faudra toujours produire plus d'informations sur nous, pour être "les premiers" à détecter les tendances et se faire du fric. Pour moi, c'est l'humain qui doit être plus fort en arrêtant de cliquer à tord et a travers sur la première pub qui passe

Le titre est trompeur étant donné que l'authentification, SSO ou pas, se sert toujours des cookies. On a simplement réduit les données du cookie au strict minimum, à savoir l'authentification de l'utilisateur. Les cookies ne sont pas morts, mais leur rôle s'est amoindri.

Citation:

---

Envoyé par diabolos29

Le maillon faible, c'est le webmaster qui pour X raisons préfère utiliser des services externe plutôt que de faire les choses complètement. Je n'ai pas à juger des raisons qui les poussent à ça, c'est juste un constat.

---

Dans mon cas, si je le fais c'est parce que mes utilisateurs me râlent dessus pour pas l'avoir fait, alors le maillon faible tu sais ce qu'il te dit. Le maillon faible c'est les utilisateurs de Facebook.
Au passage il reste parfaitement possible de s'authentifier par mot de passe simple.

Et ce comportement des utilisateurs, qui paraît démentiel quand on regarde les choses avec son microscope "vie privée," n'a rien de surprenant quand on regarde les choses dans leur globalité. D'abord l'utilisateur, lorsqu'il a déjà entendu parler de la notion de vie privée sur Internet, il s'en cogne. Je rappelle qu'il utilise Facebook, c'est censé être une surprise ? Les gens n'en ont déjà rien à cirer de leur vie privée dans la rue et vous voulez qu'ils s'en occupent devant leur ordinateur ?
L'utilisateur a ses propres priorités, et parmi elles, il a autre chose à foutre que créer un nouveau mot de passe et s'en rappeler pour chaque site qu'il "visite" (bien sûr pas besoin d'authentification pour visiter, en réalité s'il a besoin de le faire c'est parce qu'il a demandé à être actif, mais l'utilisateur n'a pas le niveau pour comprendre des notions qui l'intéressent aussi peu.) Donc ces sites devraient se débrouiller pour utiliser les authentifications qu'il a déjà, qu'on résume en général à Facebook, Google ou Yahoo. Du point de vue des gens, rappelez-vous, les gens c'est ces trucs pour lesquels on fait en sorte que les sites existent, eh ben donc, de leur point de vue c'est non seulement normal mais même évident. Quand ils exigent pas ça, c'est la plupart du temps qu'ils ont pas compris que c'est faisable.

Est-ce que ça ne s'apparente pas un peu à un enfant qui tape du pied pour que je le laisse jouer avec des ciseaux métalliques et la prise murale ? Certainement. Et peut-être que ça s'apparente aussi à un fumeur de soixante ans, qui a attendu personne pour entendre que c'est pas bien, mais ce qu'il constate c'est que ça améliore son confort de vie, jusqu'à un évènement dans le vague futur où il va y avoir des conséquences dont il a déjà dit qu'il en a rien à foutre. Je me répète, mais cette personne utilise Facebook, alors les risques de vie privée en utilisant mon site, hein.
Le paternalisme, considérer les gens comme des enfants, c'est facile. Mais peut-être qu'au fond, si leurs priorités ne sont pas celles qu'ils "devraient avoir," c'est parce que les priorités ça se discute. Je ne le pense pas, mais il m'est arrivé de me tromper dans ma vie.

À la place je fais ce que je peux pour les éduquer, en mettant en valeur des liens vers quelques blogs qui expliquent les problèmes du SSO. Et si vraiment ils veulent s'authentifier avec Facebook, ils peuvent. Au pire il y a moyen de changer de mode d'authent' si un jour ils se décident enfin à avoir peur de Facebook.

Citation:

---

Envoyé par thelvin

Dans mon cas, si je le fais c'est parce que mes utilisateurs me râlent dessus pour pas l'avoir fait, alors le maillon faible tu sais ce qu'il te dit. Le maillon faible c'est les utilisateurs de Facebook.

---

+1000

thelvin :

Citation:

---

À la place je fais ce que je peux pour les éduquer, en mettant en valeur des liens vers quelques blogs qui expliquent les problèmes du SSO. Et si vraiment ils veulent s'authentifier avec Facebook, ils peuvent.

---

J'applaudis l'initiative, car peu de gens y pensent !

Bonjour,

Je vous propose d'écouter une chronique au sujet des login sur les réseaux sociautx dans l’émission "on en parle" de la radio télévision suisse.

Titre :Des logins qui pompent énormément

http://www.rts.ch/la-1ere/programmes...4-10-2014.html

J'attends vos réactions

Salutations

Je n'utilise pas ces identifiants uniques sur Internet. Échec et mat pour ces sociétés!

Citation:

---

Envoyé par Battant

J'attends vos réactions

---

N'ayant pas de compte Facebook ou Twitter (des fois j'ai l'impression d'être un Extra-Terrestre), je n'étais pas au courant de l'étendue des dégâts...

Ce que je constate avec ce genre d'applications (celles qui reposent sur Facebook, Twitter et autres), c'est qu'elles exploitent plus ou moins les mêmes principes :

- la majorité des gens se fichent de leur vie privée

Tu veux accéder à toutes mes données personnelles, mes photos, mes contacts, etc ? :fleche: Pas de problème ! (Tu veux pas baiser ma copine aussi, tant que tu y es ?)


- la majorité des gens sont paresseux

Devoir créer un compte, remplir des formulaires, avoir plusieurs mots de passe ? Trop fatiguants -> vas-y, accède à toutes mes données personnelles

Avoir le choix entre attendre 1h, faire une action répétitive pendant 5 minutes ou dépenser de l'argent pour avancer plus vite. :fleche: vas-y, prend mon fric. Je m'en fous, je suis millionnaire !


- la majorité des gens sont faibles

Avoir le choix entre se passer d'une application / d'un service ou accepter des Conditions Générales d'Utilisation (500 pages de jargon légal que personne ne lit) qui donnent le droit de faire tout et n'importe quoi :fleche: c'est bon, j'accepte les CGU !

Ça me rappelle un épisode de South Park ("The human Centipad")

Et quand la réalité dépasse la fiction, des gens sont allé jusqu'à donner un de leurs enfants contre du wifi gratuit :
http://www.theinquirer.net/inquirer/...-for-free-wifi




À partir de là, des gens peu scrupuleux se disent "puisque qu'il y a de plus en plus de gens capables d'accepter tout et n'importe quoi, autant en profiter !" et sortent de nouvelles applications dans ce sens.

Pas besoin de cookie il y a le RFID

Pour rebondir sur le sujet, j'ai configuré mon téléphone pour être le moins
dépendant possible des applications google, des surcouches opérateurs
et des surcouches fabriquant.

Le constat est que ce n'est pas facile à mettre en oeuvre.

La première démarche est de passer son téléphone en mode root,
ce qui donnera les droits nécessaires pour supprimer les applications
opérateurs et fabriquant.

Après cette étape, j'ai installé cyanogenmod, c'est un android sans
les applications googles, ou tout du moins on peut s'en passer.

Et pour finir, et c'est là que ça devient moins évident, j'ai utilisé un serveur
que je loue chez SAS Online (FREE) en installant un serveur CalDAV, CardDAV,
SMTP, IMAP, DNS et mon cloud perso. Avec un cryptage adapté et quand c'est possible
pour essayer de maintenir un semblant de protection des données personnelles.

Reste le délicat problème des nouvelles applications à installer, deux solutions
la première étant de s'adresser à des "stores" libres ou de télécharger vos
applications sur un PC et transférer les packages sur votre portable mais
là vous allez me dire, on utilise google de façon délocalisé, quand je vous dis
que ce n'est pas facile de s'extraire des pieuvres curieuses et fouineuses
aujourd'hui.

J'ai eu cette démarche en pensant à certains films de sciences fictions
où les acteurs majeurs du numérique sont dans nos vies en permanence.
On peut vite s'apercevoir qu'aujourd'hui il est déjà de plus en plus difficile
de s'en extraire.

Et encore on ne parle pas des titres de transports électroniques, des caméras
"outdoor", du traçage des GSM, etc... Parano pensez vous ? Non juste techniquement
curieux et de toute façon j'ai rien à cacher :mrgreen:

Moi, je pensais que l'article parlerait du Web Storage...