A l’occasion de la conférence Usenix Enigma, les ingénieurs de Facebook ont présenté un mécanisme original pour récupérer l’accès à un compte oublié. Cette méthode repose sur la coopération entre différents services web. Traditionnellement, les utilisateurs, ayant oublié leur mot de passe, sont obligés de récupérer le précieux sésame via une procédure par mail avec des questions secrètes. Suite aux affaires de piratage des données de Yahoo (500 millions et 1 milliard de comptes compromis), les experts en sécurité se creusent la tête pour trouver des alternatives.
L’équipe de scientifiques de Facebook a donc présenté « Delegate Recovery ». Il s’agit d’un protocole capable pour un site d’authentifier un utilisateur sur un autre site. Cette authentification est basée sur un jeton. Concrètement, un utilisateur a un compte sur Facebook et GitHub, il génère un jeton de récupération (Recovery Token) avec GitHub. Ensuite, il enregistre ce jeton GitHub dans son compte Facebook. Si l’utilisateur perd l’accès à son compte GitHub, il lui suffit de récupérer ce compte via le jeton de récupération stocké sur son compte Facebook.
Bien évidemment, le jeton de récupération est chiffré et aucun des sites les stockant ne peut les lire. Par ailleurs, le jeton comprend une contre-signature horodatée, pour que le site émetteur puisse en vérifier son authenticité. Un processus rapide et sécurisé, précise Brad Hill, ingénieur sécurité chez Facebook. « Cela peut se faire en quelques clics dans votre navigateur et tout cela en HTTPS. »
Les scientifiques ont précisé que ce protocole est disponible sur un référentiel GitHub. En travaillant avec les équipes de GitHub, Facebook prévoit de livrer des bibliothèques Open Source dans différents langages de programmation pour aider d’autres services web à intégrer Delegate Recovery.
En matière d’authentification, Facebook annoncé la semaine dernière le support des clés USB chiffrées. Plutôt que de taper un code à caractères multiples en plus d’un mot de passe, l’abonné Facebook saisit ses identifiants et place la clé dans le port USB de son terminal. Il l’active en appuyant sur le bouton central lorsque le réseau social l’y invite.
A lire aussi :
Facebook va bloquer les fausses news et les hoax en Allemagne
Les leçons d’intelligence artificielle de Facebook
Une API sans authentification a permis à des tiers de valider les numéros de téléphone…
D'AgentJ à YesWiki, voici les dernières entrées au SILL (Socle interministériel de logiciels libres).
En parallèle de diverses expérimentations, Microsoft livre une première version de WSL2 basée sur Linux…
Le dernier rapport environnemental de Google comporte peu d'indicateurs spécifiques à l'IA. Quelles perspectives l'entreprise…
Booster les performances des forces de vente en fondant les processus commerciaux sur ce que…
Respectivement DG et CTO de Red Hat France, Rémy Mandon et David Szegedi évoquent le…