Publicité

Article

Contrôler les applications autorisées sur Google, Facebook et Twitter

Christophe Coquis

Christophe Coquis

  • Mise à jour:
  • Google, Facebook et Twitter et de nombreux autres services permettent à des services tiers d’obtenir des permissions. Est-ce dangereux? Comment se protéger? Softonic vous explique tout!

Commençons par une anecdote. L’autre jour, j’ai reçu un spam assez bizarre dans ma boite email. Il venait d’un ami. Je lui ai immédiatement demandé si je pouvais jeter un coup d’œil aux applications qu’il avait autorisées dans Gmail.

J’ai supposé que mon ami avait autorisé une application douteuse à accéder à son compte Google, et par conséquent, à sa boite Gmail.

Contrôler les applications autorisées sur Google, Facebook et Twitter

En gros, succombant à de formidables promesses, mon ami avait autorisé un site web situé en Russie à accéder à son compte Google avec toutes les permissions possibles et imaginables, incluant la possibilité d’envoyer un email à son nom.

Ma suspicion était fondée : j’ai passé en revue la liste des sites et applications autorisées de mon ami et j’ai trouvé un site au nom louche. Je l’ai cherché sur Google et je suis tombé sur une page à l’aspect douteux. Je lui ai demandé que la permission à ce site soit révoquée. La même aventure vous est peut-être arrivée?

Que sont les applications et sites autorisés ?

Sur internet, les données que vous stockez sur Google, Facebook et Twitter ont une grande valeur. Certaines applications et pages web y accèdent à travers des permissions spéciales que vous donnez vous-même. Vous vous demandez sûrement quelle en est la raison…

Les applications et sites tiers demandent des permissions pour des raisons diverses. En général, leurs intentions sont très utiles, et visent à enrichir les applications que vous utilisez. Des exemples d’applications et de sites qui ont besoin d’accéder à vos données sont :

  • Les versions mobiles de vos sites préférés (officiels ou pas)
  • Des sites web sur lesquels vous pouvez vous identifier sans mot de passe
  • Des accessoires pour mieux gérer vos emails et vos réseaux sociaux
  • Les applications qui se connectent à divers services, comme IFTTT
  • Des applications qui font des copies de sécurité de vos données
  • Des applications plus futiles qui vous disent qui vous suit et cesse de vous suivre sur les réseaux sociaux

Cela a du sens, pas vrai ? Au final, vous êtes toujours connectés avec Google ou Facebook. Pourquoi ne pas utiliser ces comptes pour rentrer sur les autres pages ? Pourquoi ne pas permettre aux applications d’utiliser vos données pour votre propre intérêt ?

Le problème, c’est que toutes les applications et sites tiers ne sont pas sûrs, et que tous ne traitent pas vos données avec soin. Si vous autorisez une application douteuse les conséquences peuvent être déplaisantes voire destructrices.

Pourquoi ce système d’autorisations ?

A partir de 2007, les principaux acteurs du web ont commencé à mettre en place un standard d’identification et d’autorisation appelé OAuth (autorisation ouverte). C’est le standard utilisé quand vous vous identifiez sur une page en passant par Google ou Facebook par exemple.

Avec OAuth, votre site n’a jamais besoin de mot de passe, seulement d’un « token » (source)

La raison d’être d’OAuth est simple : avant, pour que ces applications accèdent à vos données, vous deviez introduire le mot de passe du service, un mot de passe qui pouvait être intercepté ou stocké, avec tous les risques que cela entraîne.

Avec OAuth, pas besoin d’écrire de mots de passe : l’authentification comme utilisateur de Google a lieu sur le site de Google ou Facebook. Ainsi vous ne pouvez pas donner votre code aux sites tiers sans que ce site ne demande la permission au site mère.

Le côté obscur des autorisations de sites

Nous donnons ces autorisations aux applications et aux sites web avec beaucoup de légèreté, sans nous fier à leur qualité ou à leur confidentialité. Et c’est ainsi qu’encouragé par des promesses extraordinaires, nous laissons entrer des « malwares » dangereux ou simplement embêtants.

Une application autorisée qui envoie des spams via Twitter (source)

En fonction des permissions que vous avez initialement accordées, une application malveillante pourra causer plus ou moins de dommages à vos comptes:

  • Supprimer des adresses email, des mises à jour, des contacts
  • Envoyer de la publicité non désirée à votre nom
  • Publier vos photos sur des sites publics
  • Extraire des informations personnelles, tels que des mots de passe

Ces actions n’ont pas toujours une motivation malveillante. Parfois, un site autorisé est mal configuré ou mal conçu. Les dommages, ceci dit, sont les mêmes. Mais ils peuvent être facilement évités, en révoquant simplement les permissions.

Comment révoquer ou supprimer les permissions?

Tous les services qui accordent des permissions doivent donner la possibilité de les consulter et de les révoquer. Cependant ce n’est pas toujours simple, soit parce que l’option nécessaire est cachée, soit parce que le système de révocation est difficile à comprendre.

Pour plus de simplicité, vous pouvez utiliser le site MyPermissions.org et ses applications pour iPhone et pour Android. Elles gardent un œil sur vos services et vous rappellent de nettoyer périodiquement les autorisations.

Quelques conseils avant de commencer votre nettoyage

Nettoyer périodiquement la liste des applications autorisées est une bonne habitude à prendre. Vous éviterez les problèmes à long terme quand ces applications seront abandonnées ou attaquées par des hackers. Mais ce n’est pas suffisant.

Vous devez réfléchir avant d’autoriser une application ou un site tiers. Qu’avez-vous vraiment autorisé ? La page web est-elle fiable ? Quelles permissions sollicite-t-elle ? Si elle ne vous inspire pas confiance, qu’elle fait trop de promesses et présente un aspect médiocre, vous pouvez commencer à avoir des soupçons.

Un autre conseil utile est de changer vos mots de passe régulièrement, en attribuant un mot de passe fort et facile à retenir à chacun de vos services de base. Si vous utilisez le même mot de passe pour chaque service et que l’un d’entre eux se fait attaquer, vous les perdrez tous.

Et vous, avez-vous déjà eu des problèmes avec des applications autorisées ?

À lire aussi:

Article original écrit par Fabrizio Ferri-Benedetti – Softonic.com. Adapté de l’espagnol.

Christophe Coquis

Christophe Coquis

Nouveautés de Christophe Coquis

Directives éditoriales