L’authentification unique vers la fin des cookies ?

En tant qu’utilisateurs, lors de nos navigations sur le web nous sommes toujours confrontés aux mêmes situations. Pour acheter un produit en ligne, il faut d’abord se connecter à la boutique, pour consulter nos emails une nouvelle fois nous devons utiliser nos identifiants et j’en passe. Ces actions sont répétitives et souvent chronophages, et ce, même pour les plus organisés d’entre nous. Récemment, je me suis posé une question. Combien de comptes en ligne possède-je (entre mes abonnements cloud, mes multiples adresses email, et les nombreux comptes destinés à mes achats en ligne) ? Le constat est sans appel, avec pas moins de 174 comptes enregistrés dans Safari, je me rends alors compte de l’ampleur de la tâche. Comment ferai-je si je ne pouvais pas générer et sauvegarder tous ces identifiants dans un pense-bête maintenant devenu indispensable ? Pour le moment, une seule solution me vient à l’esprit. Le Single sign-on (SSO), comprenez aussi l’authentification unique. Cette méthode présente une alternative intéressante pour éviter aux utilisateurs comme aux entreprises d’encombrer leur mémoire de plusieurs centaines d’identifiants et mots de passe.

Qu’est-ce que l’authentification unique (ou single sign-on) ?

Plutôt que d’avoir des identifiants différents pour chaque service, site web ou application, l’utilisateur possède un identifiant et un mot de passe uniques pour accéder à l’ensemble de ses comptes.

2 exemples, qui vous parleront sans aucun doute : Facebook et Google. Vous le savez bien, pour vous connecter aux nombreux services que propose Google, il suffit généralement de vous connecter à votre compte Gmail. Vous effectuez alors un Google Sign-On. Même principe avec Facebook, pour vous connecter ou vous créer un compte sur une nouvelle application, un site web, etc. vous n’avez qu’à cliquer sur le bouton dédié Facebook et à autoriser l’application à utiliser votre compte Facebook pour vous connecter (Facebook Sign-On).

Le single sign-on est donc une formidable technologie d’authentification, puisqu’il vous permet d’être connecté sur une multitude d’applications et services web sans pour autant avoir à vous connecter à ces services un par un en saisissant des informations de connexion différentes pour chaque utilisation.

Comment le single sign-on fonctionne ?

Tout d’abord, il faut souligner que l’authentification unique repose sur un partenariat où la bonne foi et la confiance sont primordiales. Effectivement, développeurs d’applications, fournisseurs de services et fournisseurs d’identité aussi appelés Identity Providers (IDP) travaillent en étroite collaboration puisque le développeur d’application n’est plus responsable de l’authentification des internautes, c’est l’IDP qui en est responsable.

De fait, lorsqu’un internaute souhaite se connecter à une application, un site web ou autre service utilisant le système d’authentification unique, l’application concernée demande à l’identity provider d’identifier l’utilisateur. L’identity provider vérifie alors si l’utilisateur est connecté ou non, si ce n’est pas le cas, il demande à l’internaute de renseigner les informations nécessaires à la connexion.

Quels sont les avantages du SSO ?

Pour les internautes :

• Un compte est égal à un identifiant et un mot de passe disponible pour plusieurs sites, applications et services : l’avantage ici est donc d’arrêter de se torturer la mémoire avec des identifiants toujours plus nombreux tout en gagnant en rapidité à chaque nouvelle connexion.
• Outre le fait d’avoir un moyen simple et rapide pour se connecter aux différents comptes utilisateur, l’internaute n’a plus besoin de renseigner toutes ses informations personnelles à chaque création de comptes (téléphone, adresse, etc.) puisque le tout est déjà enregistré dans le système SSO qui est en mesure de transmettre les informations aux sites et applications qui en ont besoin.
• Une sécurité optimisée et à jour : Comme je le disais précédemment, en utilisant un système d’authentification unique, ce ne sont plus les développeurs d’applications qui sont responsables de la sécurité et cela peut s’avérer profitable puisqu’ils ne sont pas toujours spécialistes en la matière alors que les solutions de SSO disposent de moyens humains importants pour permettre la sécurisation de toutes les données qui transitent via leur système.

Pour les fournisseurs de services et développeurs d’applications :

• Nul besoin d’être un spécialiste en sécurité informatique pour intégrer un système d’authentification unique : C’est le fournisseur d’identité qui s’occupe de l’aspect de sécurisation des données liées aux utilisateurs.

Pour les développeurs d’applications, les fournisseurs de services et les internautes :

• Une connexion multi-device : le comportement de consommation des internautes est de plus en plus tourné vers le mobile. Les internautes ne sont plus fidèles qu’à un seul et unique device pour leurs recherches et leur navigation quotidienne. Le SSO a l’avantage de prendre en charge le multi-device pour permettre aux utilisateurs de se connecter rapidement avec leurs différents appareils. Mais les fournisseurs de services ont aussi beaucoup à y gagner. De fait, l’authentification unique leur permet de récolter des données de comportement et d’utilisation tout au long de la journée de l’internaute. Ce qui laisse la porte grande ouverte pour personnaliser leurs expériences, etc.

Quels sont les inconvénients du SSO ?

Pour les internautes :

• Il devient difficile de cacher des informations : en effet, avec cette méthode, il devient très compliqué pour l’internaute de mentir sur l’adresse email ou sur tout autre élément qui caractérise son identité lors de la création d’un compte sur un nouveau site. Cela pouvait être pratique pour les internautes dans le sens où ils pouvaient limiter la pression marketing en mentant sur leurs données personnelles (emails, numéro de téléphone, etc.).
• Une connexion à tous les services de la marque sans avoir le choix : prenons l’exemple d’une connexion à votre compte Gmail, automatiquement vous êtes non seulement connecté à votre messagerie Google, mais également au Drive, à YouTube et tous les autres services proposés par Google sans avoir pour autant choisi ces connexions aux multiples services de Google.
• La sécurité d’un système SSO est un avantage, mais peut aussi être un inconvénient : si un hacker parvient à ce faufiler à travers le filet de sécurité, il sera en capacité de pirater la plupart des comptes auxquels l’internaute est inscrit.

Pourquoi le SSO est-il vu comme une alternative aux cookies ?

• Accès privilégié à la personne : contrairement aux cookies, le SSO permet de connaître l’individu et ses habitudes de consommation. En quelque sorte, la connexion d’un internaute à un service permet le suivi et la traçabilité du contact là où un cookie même s’il permet de collecter toute sorte d’informations sur un internaute n’est pas pour autant capable de restituer des informations sur l’identité de la personne. Effectivement, un cookie n’est pas lié à un individu, mais permet plutôt d’identifier un navigateur. On ne sait donc pas qui se cache derrière le clavier. De plus, à sa création le cookie est exempt d’information alors que le SSO apporte apporte des données liées aux sites et applications à la connexion de l’utilisateur.
• Un potentiel multi-device contrairement aux cookies : comme évoqué précédemment, une fois l’internaute connecté sur ses multiples devices, il le reste. À l’inverse, si l’individu navigue à la fois sur son ordinateur et sur son smartphone, alors deux cookies seront créés et les activités resteront distinctes sur smartphone et ordinateur.
• Moins volatile que le cookie : en plus d’être mal adapté à une utilisation multi-device, le cookie de tracking peut-être supprimé par l’utilisateur, alors, il ne sera plus identifié et un nouveau cookie sera créé lors d’une nouvelle connexion.
• Résistant aux politiques des navigateurs : les navigateurs web à l’image de Safari sont en train de désactiver automatiquement les cookies pour protéger les utilisateurs contre le retargeting publicitaire pouvant nuire à l’expérience utilisateur et à la vie privée des internautes. Si le but est noble, cela risque également de mettre un terme à de nombreux services qui permettent d’améliorer l’expérience utilisateur (comme la personnalisation par exemple) si d’autres alternatives (comme le SSO) ne prennent pas le relais sur les cookies.
• Les données sont fiables, qualifiées et perdurent dans le temps

Depuis la création du web, les cookies sont présents sur nos navigateurs et permettent de collecter des informations la preuve en est, le premier navigateur à les supporté était Netscape en 1994.

Pour autant, le cookie est encore indispensable, car les utilisateurs ne sont pas encore prêts à s’identifier sur tous les sites et services qu’ils utilisent ni, par la même occasion, à lever le voile sur leur identité. À l’inverse, les cookies sans être trop intrusifs dans leur vie privée permettent malgré tout de répondre aux besoins en personnalisation des services marketing notamment dans un secteur comme celui de la presse en ligne ou la monétisation des audiences est l’enjeu primordial qui déterminera si oui ou non un site média peut perdurer dans le temps.

Ainsi le SSO représente une formidable opportunité pour améliorer l’expérience utilisateur, mais exploiter son potentiel reposera sur une adoption des utilisateurs. En attendant les cookies restent une technologie cruciale sur le Web. Aujourd’hui, cookies et systèmes de single sign-on sont complémentaires et laissent libre court aux marques d’utiliser la personnalisation pour satisfaire leurs audiences et améliorer leurs KPIs marketing. Le jour où les utilisateurs auront pleinement adopté les SSO peut-être alors que les jours des cookies seront comptés.