Delegate Recovery : Facebook teste le collaboratif pour se ré-authentifier

Les ingénieurs de Facebook ont présenté Delegate Recovery, une technique pour récupérer l’accès à son compte.

A l’occasion de la conférence Usenix Enigma, les ingénieurs de Facebook ont présenté un mécanisme original pour récupérer l’accès à un compte oublié. Cette méthode repose sur la coopération entre différents services web. Traditionnellement, les utilisateurs, ayant oublié leur mot de passe, sont obligés de récupérer le précieux sésame via une procédure par mail avec des questions secrètes. Suite aux affaires de piratage des données de Yahoo (500 millions et 1 milliard de comptes compromis), les experts en sécurité se creusent la tête pour trouver des alternatives.

L’équipe de scientifiques de Facebook a donc présenté « Delegate Recovery ». Il s’agit d’un protocole capable pour un site d’authentifier un utilisateur sur un autre site. Cette authentification est basée sur un jeton. Concrètement, un utilisateur a un compte sur Facebook et GitHub, il génère un jeton de récupération (Recovery Token) avec GitHub. Ensuite, il enregistre ce jeton GitHub dans son compte Facebook. Si l’utilisateur perd l’accès à son compte GitHub, il lui suffit de récupérer ce compte via le jeton de récupération stocké sur son compte Facebook.

Un jeton chiffré et horodaté

Bien évidemment, le jeton de récupération est chiffré et aucun des sites les stockant ne peut les lire. Par ailleurs, le jeton comprend une contre-signature horodatée, pour que le site émetteur puisse en vérifier son authenticité. Un processus rapide et sécurisé, précise Brad Hill, ingénieur sécurité chez Facebook. « Cela peut se faire en quelques clics dans votre navigateur et tout cela en HTTPS. »

Les scientifiques ont précisé que ce protocole est disponible sur un référentiel GitHub. En travaillant avec les équipes de GitHub, Facebook prévoit de livrer des bibliothèques Open Source dans différents langages de programmation pour aider d’autres services web à intégrer Delegate Recovery.

En matière d’authentification, Facebook annoncé la semaine dernière le support des clés USB chiffrées. Plutôt que de taper un code à caractères multiples en plus d’un mot de passe, l’abonné Facebook saisit ses identifiants et place la clé dans le port USB de son terminal. Il l’active en appuyant sur le bouton central lorsque le réseau social l’y invite.

GongTo / shutterstock.com

Lire aussi : GitHub déploie l’authentification à deux facteurs (2FA)