\u201cYour account has been suspended for violation of our policies.\u201d<\/p>\n\n\n\n Aucune explication claire. En quelques minutes :<\/p>\n\n\n\n Le probl\u00e8me n\u2019\u00e9tait pas Google lui-m\u00eame. Son compte Google servait de cl\u00e9 d\u2019acc\u00e8s \u00e0 tout :<\/p>\n\n\n\n Le SaaS tournait encore. Et le plus inqui\u00e9tant : il ne sait toujours pas pr\u00e9cis\u00e9ment pourquoi le compte a \u00e9t\u00e9 suspendu.<\/p>\n\n\n\n Le SSO (\u201cSingle Sign-On\u201d) est vendu comme une solution moderne, simple et s\u00e9curis\u00e9e.<\/p>\n\n\n\n En r\u00e9alit\u00e9, pour beaucoup d\u2019entreprises, c\u2019est surtout un point de d\u00e9faillance unique<\/strong>.<\/p>\n\n\n\n Le confort est r\u00e9el :<\/p>\n\n\n\n Mais en \u00e9change, vous concentrez toute votre identit\u00e9 num\u00e9rique chez un seul fournisseur.<\/p>\n\n\n\n Quand tout va bien, personne n\u2019y pense. Quand vous utilisez \u201cSign in with Google\u201d, vous ne cr\u00e9ez pas un compte ind\u00e9pendant chez le service.<\/p>\n\n\n\n Vous d\u00e9l\u00e9guez votre identit\u00e9 \u00e0 Google.<\/p>\n\n\n\n Tant que Google valide votre session, tout fonctionne. Et contrairement \u00e0 ce que beaucoup imaginent :<\/p>\n\n\n\n M\u00eame des profils tr\u00e8s connus ont d\u00e9j\u00e0 subi ce type de blocage.<\/p>\n\n\n\n Le cas le plus c\u00e9l\u00e8bre reste celui d\u2019Andrew Spinks, dont le compte Google a \u00e9t\u00e9 d\u00e9sactiv\u00e9 sans explication en 2021. Il n\u2019a r\u00e9cup\u00e9r\u00e9 son acc\u00e8s qu\u2019apr\u00e8s une forte m\u00e9diatisation de l\u2019affaire.<\/p>\n\n\n\n Le SSO est souvent pr\u00e9sent\u00e9 comme \u201cplus s\u00e9curis\u00e9 qu\u2019un mot de passe\u201d.<\/p>\n\n\n\n En pratique, ce n\u2019est pas si simple.<\/p>\n\n\n\n Un gestionnaire de mots de passe + :<\/p>\n\n\n\n offre souvent une meilleure r\u00e9silience.<\/p>\n\n\n\n Le vrai sujet n\u2019est pas uniquement la probabilit\u00e9 d\u2019incident. Perdre l\u2019acc\u00e8s \u00e0 un service est g\u00eanant. En 2025, des chercheurs de Truffle Security ont r\u00e9v\u00e9l\u00e9 un sc\u00e9nario probl\u00e9matique autour des domaines expir\u00e9s et de Google OAuth.<\/p>\n\n\n\n Le principe :<\/p>\n\n\n\n Pourquoi ? Des outils comme Slack, Notion ou Zoom pouvaient alors devenir accessibles si la logique de v\u00e9rification c\u00f4t\u00e9 application \u00e9tait insuffisante.<\/p>\n\n\n\n Le probl\u00e8me ici n\u2019est pas uniquement Google. Beaucoup pensent encore :<\/p>\n\n\n\n \u201cSi mon compte est compromis, je change mon mot de passe et c\u2019est r\u00e9gl\u00e9.\u201d<\/p>\n<\/blockquote>\n\n\n\n Les attaques modernes fonctionnent diff\u00e9remment.<\/p>\n\n\n\n Aujourd\u2019hui, les attaquants cherchent surtout \u00e0 voler :<\/p>\n\n\n\n Dans plusieurs campagnes r\u00e9centes, des malwares ont r\u00e9ussi \u00e0 maintenir des sessions Google actives m\u00eame apr\u00e8s un changement de mot de passe, tant que les sessions OAuth n\u2019\u00e9taient pas explicitement r\u00e9voqu\u00e9es.<\/p>\n\n\n\n C\u2019est une r\u00e9alit\u00e9 encore mal comprise par beaucoup d\u2019entreprises.<\/p>\n\n\n\n Autre id\u00e9e re\u00e7ue :<\/p>\n\n\n\n \u201cJ\u2019ai la double authentification, donc je suis prot\u00e9g\u00e9.\u201d<\/p>\n<\/blockquote>\n\n\n\n Pas forc\u00e9ment.<\/p>\n\n\n\n Les attaques de \u201cconsent phishing\u201d utilisent parfois :<\/p>\n\n\n\n L\u2019utilisateur ne donne pas son mot de passe. Techniquement, l\u2019utilisateur valide lui-m\u00eame l\u2019acc\u00e8s. Le bouton Google int\u00e9gr\u00e9 sur les sites n\u2019est g\u00e9n\u00e9ralement pas une simple image.<\/p>\n\n\n\n C\u2019est un script charg\u00e9 depuis les serveurs de Google.<\/p>\n\n\n\n Concr\u00e8tement, cela signifie que Google peut voir :<\/p>\n\n\n\n M\u00eame sans cliquer sur le bouton.<\/p>\n\n\n\n Non.<\/p>\n\n\n\n Le SSO reste pratique pour :<\/p>\n\n\n\n Le probl\u00e8me appara\u00eet quand la m\u00eame identit\u00e9 Google devient :<\/p>\n\n\n\n \u00c0 ce moment-l\u00e0, un seul incident peut devenir syst\u00e9mique.<\/p>\n\n\n\n![\"\"](\"https:\/\/dyb.eu\/blog\/wp-content\/uploads\/2026\/05\/image-1.png\")
<\/figure>\n<\/blockquote>\n\n\n\n
Aucun humain.
Aucune r\u00e9f\u00e9rence exploitable.<\/p>\n\n\n\n\n
Le probl\u00e8me, c\u2019\u00e9tait que toute son infrastructure d\u00e9pendait d\u2019un seul bouton : \u201cSign in with Google\u201d<\/strong>.<\/p>\n\n\n\n\n
Mais lui n\u2019avait plus les cl\u00e9s.<\/p>\n\n\n\n
\n\n\n\nLe vrai probl\u00e8me du \u201cSign in with Google\u201d<\/h1>\n\n\n\n
\n
Quand ce fournisseur coupe l\u2019acc\u00e8s, tout tombe d\u2019un coup.<\/p>\n\n\n\n![\"\"](\"https:\/\/dyb.eu\/blog\/wp-content\/uploads\/2026\/05\/sign-in-with-google-1024x683.png\")
<\/figure>\n\n\n\n
\n\n\n\n1. Vous ne contr\u00f4lez plus r\u00e9ellement votre acc\u00e8s<\/h1>\n\n\n\n
Le jour o\u00f9 ce lien est rompu, vous perdez potentiellement l\u2019acc\u00e8s \u00e0 des dizaines de plateformes critiques.<\/p>\n\n\n\n\n
\n\n\n\n2. Centraliser toute votre identit\u00e9 augmente l\u2019impact d\u2019un incident<\/h1>\n\n\n\n
\n
C\u2019est l\u2019ampleur des d\u00e9g\u00e2ts.<\/p>\n\n\n\n
Perdre l\u2019acc\u00e8s \u00e0 20 services critiques simultan\u00e9ment peut stopper une entreprise enti\u00e8re.<\/p>\n\n\n\n
\n\n\n\n3. Certaines failles OAuth ont eu un impact massif<\/h1>\n\n\n\n
\n
Parce que plusieurs plateformes se fiaient essentiellement :<\/p>\n\n\n\n\n
C\u2019est tout l\u2019\u00e9cosyst\u00e8me qui s\u2019est construit autour d\u2019une confiance implicite dans le SSO.<\/p>\n\n\n\n
\n\n\n\n4. Changer son mot de passe ne suffit plus toujours<\/h1>\n\n\n\n
\n
\n
\n\n\n\n5. Le phishing moderne contourne souvent la 2FA<\/h1>\n\n\n\n
\n
\n
Il autorise simplement une application malveillante \u00e0 acc\u00e9der \u00e0 :<\/p>\n\n\n\n\n
La 2FA ne bloque donc pas l\u2019attaque.<\/p>\n\n\n\n
\n\n\n\n6. M\u00eame le bouton \u201cSign in with Google\u201d pose des questions de confidentialit\u00e9<\/h1>\n\n\n\n
\n
\n\n\n\nFaut-il arr\u00eater totalement le SSO ?<\/h1>\n\n\n\n
\n
\n