Avec Microsoft et Google, Facebook est l’un des annuaires d’identité en ligne les plus utilisés.
D’abord utilisé exclusivement pour le site Facebook, puis pour tous les services de l’entreprise, l’important du compte Facebook s’est énormément développé avec l’invention des connexions sociales, où un site ou un service tiers accepte de déléguer l’identification et l’authentification à une entreprise comme Facebook, Twitter, Google ou Microsoft.
Aujourd’hui, lors de la conférence Enigma 2017, Facebook annonce une nouvelle fonctionnalité de ses comptes, qui les rendent encore plus intéressants : la Delegated Recovery ou récupération déléguée.
Quand on perd le mot de passe d’un compte, on doit en général soit répondre à une question secrète, soit cliquer sur un lien dans un courriel ou un SMS de récupération.
La première option est problématique du point de vue de la sécurité et peu pratique.
D’après Facebook, les deux autres options n’offriraient pas la sécurité de bout en bout, et seraient problématiques pour les personnes qui se mettent en ligne pour la première fois.
Facebook se propose donc de devenir le second facteur d’une récupération à facteur multiple pour les services tiers avec la récupération déléguée.
En cas d’oubli du mot de passe pour GitHub par exemple, on recevrait d’une part un courriel de récupération de GitHub, et d’autre part, on se connecterait à son compte Facebook pour envoyer à GitHub un jeton de récupération.
Pour que ce scénario fonctionne, il faut au préalable qu’un service tiers accepte les jetons de récupération de Facebook comme facteur de récupération, et d’autre part que cette méthode soit au préalable activée par l’utilisateur, qui sauvegarde à l’avance le jeton de récupération dans son compte Facebook.
Le jeton de récupération est chiffré, Facebook ne pourra donc pas connaître sa valeur. Aucune information personnelle n’est partagée avec un service tiers, dans notre exemple GitHub : la seule chose qu’il vérifie est que la personne qui a démarré le processus de récupération est la même que celle qui a sauvé le jeton.
Dans l’immédiat, GitHub est plus qu’un exemple : il est le partenaire exclusif de la période de test. Quand Facebook sera satisfait que le protocole, dont la conception est placée en code source ouvert sur GitHub, remplit bien son rôle, laissé à la communauté l’occasion donner son avis et aux pirates celle de tester la sécurité du système, le réseau social développera des implémentations de référence dans plusieurs langages de programmation et donnera la possibilité à d’autres services tiers d’utiliser ce facteur de récupération.
Si le concept est loin d’être inintéressant, on notera d’une part qu’il existe déjà des récupérations à facteurs multiples simples, tel qu’un code envoyé par téléphone, et d’autre part qu’il accroît encore la dépendance au réseau social.