En consultant des sites web d'EVE Online non officiels, il peut être demandé aux utilisateurs de se connecter en utilisant les identifiants de leur compte EVE Online. Cela peut être préoccupant pour la sécurité de leur compte. Toutefois, il est possible que le site web utilise l'authentification unique (SSO) d'EVE Online. Le SSO permet aux utilisateurs de transmettre les informations de leur compte au serveur de connexion EVE Online de façon sécurisée, afin que le site web reçoive la confirmation que le joueur est bel et bien propriétaire d'un personnage donné.
Il y a plusieurs points importants à prendre en considération lorsqu'il vous est demandé de renseigner les identifiants de votre compte sur un site CCP non officiel :
- Les utilisateurs doivent s'assurer que le site qui demande les informations de connexion est sécurisé. Pour déterminer si le site est sécurisé, veuillez consulter la section « Comment utiliser le SSO de façon sécurisée » ci-dessous.
- L'utilisation d'un SSO authentique signifie que le site web ne verra pas les identifiants du compte (nom d'utilisateur ou mot de passe). Le SSO ne fera que confirmer si un compte est détenteur d'un personnage.
- Si le moindre doute existe concernant la sécurité ou l'authenticité d'un site web, nous recommandons aux utilisateurs de ne pas saisir la moindre information. Signalez tout site suspect à security@ccpgames.com
Vous trouverez des informations plus détaillées sur le SSO dans l'article ci-dessous.
Qu'est-ce que le SSO ?
Le SSO, également appelé authentification unique, est un moyen de se connecter à un site web ou à une application à l'aide du nom d'utilisateur et du mot de passe d'un autre site web.
Par exemple, https://www.goodreads.com/ vous demandera de vous connecter avec Facebook, Twitter, Google, ou même Amazon. Cette solution est très avantageuse pour Goodreads, car l'entreprise n'a pas à se soucier de la gestion des noms d'utilisateurs et des mots de passe enregistrés. De plus, cela rend la connexion à leur site web beaucoup plus facile, sans avoir besoin de s'inscrire ou de garder en tête des noms de compte et des mots de passe supplémentaires.
Pour EVE Online, le SSO permet de se connecter à un site web qui a intégré le SSO d'EVE et qui peut confirmer un personnage donné. Lorsque vous vous connectez à un site, vous devez choisir un personnage pour l'authentification. Le site web permet ensuite au SSO d'EVE d'obtenir une confirmation de CCP, qui vérifie l'identité du propriétaire du personnage.
Le site web d'origine n'obtiendra que les informations sur le personnage. Il ne verra jamais le nom du compte ou le mot de passe. Le site web d'origine ne saura pas à quel compte ce personnage appartient et n'aura aucun moyen de faire le lien entre ce personnage et n'importe quel autre personnage du même compte.
Voici un aperçu du SSO :
Comment utiliser le SSO de façon sécurisée
Le système SSO remplit, par nature, un rôle de garde-fou. Dans le cas qui nous intéresse, il détermine qui a accès à l'identité virtuelle. Malheureusement, Internet regorge d'escrocs qui attendent patiemment l'occasion de se faire de l'argent ou d'obtenir de quelconques avantages, et ces individus sont prêts à tout pour arriver à leurs fins. Ils cherchent à berner les gens pour les inciter à donner leurs identifiants à l'aide de moyens techniques et d'ingénierie sociale comme l'hameçonnage et l'usurpation d'identité (ou spoofing), en se faisant passer pour des tiers de confiance sur Internet.
Ceci étant dit, quel est le meilleur moyen pour utiliser le SSO de façon sécurisée ? Heureusement, les outils et les technologies actuels nous fournissent de nombreuses informations concernant les relations de confiance et la sécurité des communications. En utilisant ces informations, nous sommes capables de dire si nous sommes la cible d'une attaque ou non. Voici un aperçu de notre SSO.
Vérifiez l'URL de la page et veillez à ce que la connexion soit bien sécurisée avant de saisir le moindre identifiant
Il n'existe qu'une seule combinaison valable de nom de domaine et d'hôte pour notre SSO, à savoir login.eveonline.com. Par ailleurs, assurez-vous que la connexion se fait via https (notez bien le « s ») et ne saisissez jamais vos identifiants via des connexions http en clair et non authentifiées.
Vérifiez que la connexion est bien cryptée et authentifiée
Voici un exemple de la boîte de dialogue de vérification affichée lorsque vous cliquez sur la petite icône de cadenas, située à gauche de la barre d'adresse dans le navigateur Chrome. Tous les navigateurs modernes proposent un aperçu similaire qui permet de vérifier la relation de confiance de la connexion SSO et le niveau de sécurité du chiffrement qui est appliqué.
Vérification manuelle du certificat
En vérifiant manuellement le certificat de connexion à une ressource web, il est possible de valider ce certificat pour le nom de domaine pour lequel il est utilisé et sa date d'expiration.
Conclusion
En suivant ces recommandations, il est possible de réduire le risque de vol des identifiants de votre compte. Par ailleurs, nous vous encourageons à signaler toute utilisation trompeuse, factice ou douteuse de notre SSO à security@ccpgames.com.