A l’occasion de la conférence Usenix Enigma, les ingénieurs de Facebook ont présenté un mécanisme original pour récupérer l’accès à un compte oublié. Cette méthode repose sur la coopération entre différents services web. Traditionnellement, les utilisateurs, ayant oublié leur mot de passe, sont obligés de récupérer le précieux sésame via une procédure par mail avec des questions secrètes. Suite aux affaires de piratage des données de Yahoo (500 millions et 1 milliard de comptes compromis), les experts en sécurité se creusent la tête pour trouver des alternatives.
L’équipe de scientifiques de Facebook a donc présenté « Delegate Recovery ». Il s’agit d’un protocole capable pour un site d’authentifier un utilisateur sur un autre site. Cette authentification est basée sur un jeton. Concrètement, un utilisateur a un compte sur Facebook et GitHub, il génère un jeton de récupération (Recovery Token) avec GitHub. Ensuite, il enregistre ce jeton GitHub dans son compte Facebook. Si l’utilisateur perd l’accès à son compte GitHub, il lui suffit de récupérer ce compte via le jeton de récupération stocké sur son compte Facebook.
Bien évidemment, le jeton de récupération est chiffré et aucun des sites les stockant ne peut les lire. Par ailleurs, le jeton comprend une contre-signature horodatée, pour que le site émetteur puisse en vérifier son authenticité. Un processus rapide et sécurisé, précise Brad Hill, ingénieur sécurité chez Facebook. « Cela peut se faire en quelques clics dans votre navigateur et tout cela en HTTPS. »
Les scientifiques ont précisé que ce protocole est disponible sur un référentiel GitHub. En travaillant avec les équipes de GitHub, Facebook prévoit de livrer des bibliothèques Open Source dans différents langages de programmation pour aider d’autres services web à intégrer Delegate Recovery.
En matière d’authentification, Facebook annoncé la semaine dernière le support des clés USB chiffrées. Plutôt que de taper un code à caractères multiples en plus d’un mot de passe, l’abonné Facebook saisit ses identifiants et place la clé dans le port USB de son terminal. Il l’active en appuyant sur le bouton central lorsque le réseau social l’y invite.
A lire aussi :
Facebook va bloquer les fausses news et les hoax en Allemagne
Les leçons d’intelligence artificielle de Facebook
Un temps pressenti pour constituer le socle d'une suite bureautique AWS, Amazon WorkDocs arrivera en…
Eviden regroupe cinq familles de serveurs sous la marque BullSequana AI. Et affiche le supercalculateur…
Le dernier Magic Quadrant du SSE (Secure Service Edge) dénote des tarifications et des modèles…
Formats de paramètres, méthodes d'apprentissage, mutualisation GPU... Voici quelques-unes des recommandations de l'ANSSI sur l'IA…
À la grogne des partenaires VMware, Broadcom répond par diverses concessions.
iPadOS a une position suffisamment influente pour être soumis au DMA, estime la Commission européenne.