Connexion avec Google: bonne ou mauvaise idée?

Est-ce sécuritaire de se connecter à un service en ligne à l’aide d’un compte tiers comme Google? Cette choice, de plus en plus répandue sur le Web, soulève des questions et peut refroidir certains utilisateurs. Pour en savoir plus, on a jasé avec un knowledgeable.

Selon Alexis Dorais-Joncas, knowledgeable en cybersécurité chez Proofpoint, ce kind de connexion repose sur un mécanisme appelé Single Sign-On (SSO), basé sur le protocole OAuth. Cela permet d’utiliser un seul compte principal pour accéder à plusieurs companies, ce qui réduit le nombre de comptes à gérer et, par le fait même, les risques liés à la multiplication de mots de passe et aux fuites de données.

«La clé du succès est de sécuriser ce compte principal [Google] adéquatement, automobile la compromission de cette identité principale donnera accès à tous les autres companies d’un coup», explique Dorais-Joncas.

Parmi les bonnes pratiques pour sécuriser notre compte principal, l’knowledgeable recommande en priorité d’activer l’authentification en deux étapes (2FA) et de favoriser la méthode par software ou par clé d’accès (passkey), évitant les méthodes d’authentification par SMS ou courriel.

Ensuite, il faut un bon mot de passe. «Oui, après avoir activé l’authentification en deux étapes», déclare Dorais-Joncas. «Un compte avec [le mot de passe] “soleil123” avec l’authentification à deux étapes est généralement mieux protégé qu’un compte avec un mot de passe fort, mais à easy authentification».

Vous devriez aussi pratiquer une bonne hygiène numérique. Connectez-vous à votre compte Google et consultez l’onglet «Sécurité». Vous pouvez réviser les connexions de tiers et les retirer au besoin, mais aussi faire une vérification de la sécurité de votre compte. Le même exercice peut être fait sur Facebook en visitant l’Espace Comptes. 

En pratique, il est généralement plus sécuritaire d’utiliser un seul compte bien protégé pour se connecter à des companies que de multiplier les comptes et mots de passe. Les websites qui utilisent la connexion Google n’ont pas accès à votre mot de passe; ils demandent plutôt l’autorisation de se connecter.

Les infos auxquelles ces websites ont accès sont bien précises, et indiquées durant le processus de connexion. Exemple, j’ai tenté ici de me connecter au website de Wired avec un compte Google (caviardé).

Se connecter avec Google n’est donc pas une mauvaise pratique, au contraire. C’est une choice efficace et sécuritaire, à situation de prendre le temps de protéger correctement ce compte central.