Delegated Recovery : nouvelle technologie de récupération de mots de passe de Facebook

Facebook a annoncé une nouvelle technologie qui pourrait permettre d’améliorer ce chaos insécurisé que représente la récupération d’un compte pour lequel le mot de passe ou l’identifiant de l’utilisateur ont été oubliés ou compromis.

Appelée Delegate Recovery, le principe de cette technologie est assez simple : utiliser Facebook (ou une autre plateforme de confiance) comme mécanisme de ré-authentification.

N’importe qui ayant déjà essayé le sait très bien, les méthodes actuelles pour récupérer l’accès à un compte, par exemple via la réinitialisation d’un mot de passe, n’inspirent pas réellement confiance !

Les mécanismes actuels se basent sur l’envoi d’un lien de réinitialisation du mot de passe à une adresse e-mail enregistrée au préalable, ou tout simplement saisie au moment de l’opération de récupération. Ces techniques ont largement montré leurs faiblesses, en commençant par l’insécurité flagrante des emails comme un canal pour la réinitialisation, et la facilité déconcertante avec laquelle les questions de sécurité peuvent être devinées.

Comme Brad Hill de Facebook l’a déclaré, au sujet d’un système de récupération de compte bancaire en ligne (non spécifié), lors de la présentation de Delegated Recovery durant la conférence USENIX Enigma : “Il m’a demandé quelle était ma couleur préférée, et il m’a laissé la deviner autant de fois que je voulais”.

Il y a 10 ans de cela, l’authentification fédérée, permettant l’accès à différents services à l’aide d’une seule identité via Google ou Microsoft, pouvait être une réponse satisfaisante, mais leur utilisation parmi les fournisseurs orientés-clients reste modeste.

Delegated Recovery ramène le problème à un niveau plus simple. Dans ce cas, Facebook est utilisé pour générer et stocker un jeton de récupération chiffré pour un site web donné. Si un identifiant tel qu’un mot de passe devait être oublié, un jeton limité dans le temps (contresigné par la clé privée du fournisseur) est envoyé pour restaurer l’accès après que l’utilisateur se soit ré-authentifié sur Facebook.

Ce processus dans son ensemble doit prendre quelques secondes avec un navigateur utilisant une connexion HTTPS, a précisé Hill à son auditoire.

Pour le moment, Delegated Recovery est seulement disponible pour des utilisateurs de GitHub. Facebook espère que d’autres sites Web et fournisseurs d’identité vont commencer à utiliser le protocole prochainement, pour permettre de répandre sa praticité.

Cette initiative rappelle que la sécurité d’un mot de passe ne réside pas uniquement dans sa longueur, sa complexité ou le nombre de sites internet sur lesquels il est réutilisé. Même les meilleurs mots de passe sont vulnérables si le système de réinitialisation est lui-même fragile.

Cela dit, Delegated Recovery exige que les utilisateurs de Facebook sécurisent correctement leur compte pour éviter tout simplement de déplacer le problème. Vous pouvez en effet activer la vérification en 2 étapes des approbations de connexion sur Facebook dans les paramètres de sécurité, qui par défaut envoie les codes par SMS.

Alternativement, et à partir de la semaine dernière, les jetons FIDO U2F plus sécurisés tels que YubiKey peuvent être utilisés sur les navigateurs pris en charge tels que Chrome. Contrairement aux systèmes de vérification en deux étapes plus simples, il s’agit ici d’une véritable authentification à deux facteurs (2FA) puisqu’ils séparent complètement le premier facteur (un élément connu, tel qu’un mot de passe) du deuxième facteur (un élément en possession de l’utilisateur uniquement).

Nous avons parlé de l’approche U2F plus en détail récemment.  Il est bon de voir Facebook accorder une attention particulière à l’amélioration de la sécurité.

Follow @ SophosFrance //platform.twitter.com/widgets.js
Billet inspiré de Facebook takes steps to boost password recovery security, par John E Dunn, Sophos NakedSecurity.