Orange Link nous demande nos mots de passe: pas au point! [fr]

[en] There is absolutely no excuse, in 2010, for asking people to enter their Gmail, Facebook or Twitter passwords on third-party sites. And that is precisely what the "social media to SMS" service Orange Link is doing for Gmail and Twitter, though they got Facebook right. Laziness or scary cluelessness?

Orange Link est un service d’Orange.ch qui nous permet de recevoir des alertes SMS de services comme Twitter, Facebook, et Gmail (et aussi, d’envoyer des SMS à ces services).

Orange Link

Très cool. J’espère en passant qu’ils sont aussi en train de bosser sur un partenariat avec Twitter comme l’ont fait d’autres opérateurs.

Ce qui est beaucoup moins cool c’est qu’ils nous demandent nos mots de passe Twitter et Gmail!

Orange Link - BAD BAD password anti-pattern

Regardez ce que je disais en avril 2008, il y a plus de deux ans:

I have an interest in social network portability (also called “make holes in my buckets”) — I gave a talk on SPSNs from a user point of view at WebCamp SNP in Cork recently — and I am also concerned that in many cases, implementations in that direction make generous use of the password anti-pattern (ie, asking people for the password to their e-mail). It’s high time for design to encourage responsible behaviour instead. As the discussion at WebCamp shows, we all agree that solutions need to be found.

Les gens ont tendance à être d’une naïveté affligeante avec leurs mots de passe, tant dans le choix de ceux-ci que l’insouciance avec laquelle il les prêtent à autrui ou les entrent sur n’importe quel site qui le leur demande.

Il est irresponsable de la part d’une entreprise comme Orange.ch d’encourager les gens à entrer leur mot de passe sur un site qui n’est pas celui du service en question. On est en 2010, loin de la situation en 2008 référencée plus haut, et OAuth et autres services du genre sont une réalité. Texprezzo et Textendo, qui fournissent la technologie derrière Orange Link, ne nous demandent d’ailleurs pas notre mot de passe Facebook, mais utilisent Facebook Connect pour accéder à notre compte.

Orange Link -- Good

Facebook | Request for Permission

Il n’y a donc aucune excuse pour ne pas procéder avec les technologies similaires à disposition pour Twitter et Gmail. Début 2009, Twitter était sur le point d’implémenter OAuth, ce qui a été fait depuis lors — lire la FAQ de Twitter sur OAuth. Quant à Google (pour Gmail), eh bien, depuis mars 2010 (enfin!) ils parlent aussi OAuth.

Je ne sais pas s’il faut en conclure qu’ils s’en fichent ou qu’ils sont mal informés/inconscients — mais à ce point, j’avoue que ça ne m’inspirerait guère confiance.