[en] There is absolutely no excuse, in 2010, for asking people to enter their Gmail, Facebook or Twitter passwords on third-party sites. And that is precisely what the "social media to SMS" service Orange Link is doing for Gmail and Twitter, though they got Facebook right. Laziness or scary cluelessness?
Orange Link est un service d’Orange.ch qui nous permet de recevoir des alertes SMS de services comme Twitter, Facebook, et Gmail (et aussi, d’envoyer des SMS à ces services).
Très cool. J’espère en passant qu’ils sont aussi en train de bosser sur un partenariat avec Twitter comme l’ont fait d’autres opérateurs.
Ce qui est beaucoup moins cool c’est qu’ils nous demandent nos mots de passe Twitter et Gmail!
Regardez ce que je disais en avril 2008, il y a plus de deux ans:
I have an interest in social network portability (also called “make holes in my buckets”) — I gave a talk on SPSNs from a user point of view at WebCamp SNP in Cork recently — and I am also concerned that in many cases, implementations in that direction make generous use of the password anti-pattern (ie, asking people for the password to their e-mail). It’s high time for design to encourage responsible behaviour instead. As the discussion at WebCamp shows, we all agree that solutions need to be found.
Les gens ont tendance à être d’une naïveté affligeante avec leurs mots de passe, tant dans le choix de ceux-ci que l’insouciance avec laquelle il les prêtent à autrui ou les entrent sur n’importe quel site qui le leur demande.
Il est irresponsable de la part d’une entreprise comme Orange.ch d’encourager les gens à entrer leur mot de passe sur un site qui n’est pas celui du service en question. On est en 2010, loin de la situation en 2008 référencée plus haut, et OAuth et autres services du genre sont une réalité. Texprezzo et Textendo, qui fournissent la technologie derrière Orange Link, ne nous demandent d’ailleurs pas notre mot de passe Facebook, mais utilisent Facebook Connect pour accéder à notre compte.
Il n’y a donc aucune excuse pour ne pas procéder avec les technologies similaires à disposition pour Twitter et Gmail. Début 2009, Twitter était sur le point d’implémenter OAuth, ce qui a été fait depuis lors — lire la FAQ de Twitter sur OAuth. Quant à Google (pour Gmail), eh bien, depuis mars 2010 (enfin!) ils parlent aussi OAuth.
Je ne sais pas s’il faut en conclure qu’ils s’en fichent ou qu’ils sont mal informés/inconscients — mais à ce point, j’avoue que ça ne m’inspirerait guère confiance.
J’imagine plutôt que le service à été développé avant 2009 et qu’Orange viens juste de finir de l’integrer 🙂
En admettant que je sois pris d’une “naïveté affligeante” – ça arrive à tout le monde, sisi ^^ – et/ou que je réussisse à faire suffisamment confiance à Orange.ch pour leur confier l’accès à ma boite Gmail, je ne suis pas certain que j’utiliserais longtemps le service pour autant : il suffit que je change mon mot de passe chez Gmail pour que les alertes ne fonctionnent plus… 🙁
En effet, OAuth a aussi été inventé dans le but de dissocier l’accès et l’autorisation. Sans cela, la souscription aux nombreux services sociaux aujourd’hui disponibles en ligne rendrait quasiment impossible le changement d’un mot de passe car il faudrait aller le mettre à jour sur tous les services connectés à chaque fois, ce qui est impensable pour la plupart d’entre-nous…
Aha tu crois? Dans ce cas, ça veut quand même dire qu’ils ne restent pas à jour technologiquement… ce qui est tout aussi mauvais!
David: tout à fait juste!
Personnellement, je ne vois pas trop le problème. J’ai beaucoup plus confiance en Orange qu’en un site comme Twitter.
Il n’y a qu’à lire l’actu récente : http://tinyurl.com/2fjh3aa
Orange héberge déjà toutes nos données personnelles (nom, adresse, coordonnées bancaires…). Tout ça est crypté et sécurisé sur leurs serveurs et jusqu’à présent, je n’ai pas eu connaissance de problème chez eux. Ce qui n’est pas le cas pour Twitter ou Google (rappelons-nous des attaques provenant de Chine…).
Une personne mal intentionnée trouvera toujours moyen de ‘hacker’ un compte.
Franchement, se poser ce genre de questions, c’est soit être un anti-Orange primaire, soit de la masturbation intellectuelle.
Ce que je vois, c’est qu’en 2010, Orange est le seul opérateur à nous proposer un service gratuit (je répète -gratuit-) qui nous permet de rester connecté à nos réseaux sociaux par SMS lorsqu’on n’a pas de connexion 3G.
Je les remercie de nous proposer un tel service !
[en] Personally, I do not really see the problem here. I have more confidence in Orange than in a site like Twitter.
Just read the latest news: http://tinyurl.com/2fjh3aa
Orange already hosts all our personal data (name, address, bank account details …). All that is encrypted and secured on their servers and so far, I have not been aware of any problems with them. That is not the case for Twitter or Google (let’s remember cyber-attacks from China…).
A malicious person will always find a way to ‘hack’ an account.
Frankly, asking such questions, it is either being anti-Orange or some kind of intellectual masturbation.
What I see is that in 2010, Orange is the only provider to offer us a free service (I repeat -free service-) that allows us to stay connected to our social networks via SMS when we do not have a 3G connection.
I thank them for offering such a service!
Romain: si tu me connais un tant soit peu, j’espère qu’il est évident que je ne fais pas preuve d’esprit “anti-Orange” primaire! Ce n’est pas le fait de donner mon mot de passe à stocker à Orange qui pose véritablement problème ici. Je suis sûre qu’ils en prendront bien soin et qu’ils ne l’exploiteront pas “mal”. Mais il faut bien se rendre compte que ce n’est probablement pas à Orange que l’on confie son mot de passe, mais à l’entreprise qui fait tourner le service en question (si tu creuses un peu, tu verras que c’est loin d’être “développé par Orange”, Orange Link. Eux, on les connaît moins bien, mais même ça, ce n’est pas le plus gros problème.
Non, le vrai problème c’est qu’on enseigne et qu’on cautionne ainsi des comportements imprudents. Le mot de passe, pour nos identités numériques, c’est notre trousseau de clés, notre passeport. Et prendre ainsi l’habitude de rentrer nos mots de passe sur tous les sites qui nous le demandent, c’est préparer le terrain à avoir une bien mauvaise surprise le jour où l’on a la malchance de tomber sur un site peu scrupuleux ou simplement inconscient avec nos données.
Je m’excuse du parallèle douteux, mais c’est un peu comme dire aux gens “oh, c’est OK de ne pas utiliser de préservatif avec quelqu’un que vous avez juste rencontré, si cette personne vous assure qu’elle n’a pas de MST et qu’en plus elle connaît bien votre voisin”. Vous voyez le genre. (C’est douteux mais c’est passé minuit, faudra repasser demain pour quelque chose d’un peu plus fin.)