Facebook boosts up its security systems with Delegated Recovery feature

Delegated Recovery : Facebook booste sa sécurité

L’approche conventionnelle de l’authentification à deux facteurs (2FA) est basée sur votre téléphone ou un jeton physique. Mais qu’en est-il lorsque vous perdez votre téléphone mobile ou le jeton physique ? Vous devez prendre contact avec le service client et les problèmes se présentent dès que vous tentez de récupérer un accès à votre compte. Mais une nouvelle option s’offre désormais à vous. L’approche intelligente de Facebook permet de réduire les efforts nécessaires afin de récupérer un accès à votre compte, et ce grâce à une nouvelle conception de l’authentification à deux facteurs : Delegated Recovery.

Quelle est donc la différence avec Delegated Recovery ?

Les principes fondamentaux de la fonctionnalité Delegated Recovery de Facebook sont identiques à l’authentification à deux facteurs ou multi-facteurs. Vous devrez confirmer votre identité en combinant deux composants différents ou plus. Mais il existe une différence ! Tandis que l’authentification classique à deux facteurs est principalement basée sur l’accès à votre téléphone mobile ou à un jeton physique, Delegated Recovery va stocker le jeton physique de l’un de vos comptes tiers, et ce directement sur Facebook. Actuellement, il fait appel à GitHub car Delegated Recovery est encore en phase bêta. Pendant ce temps, Facebook collecte des retours d’information auprès de la communauté de sécurité GitHub, englobant des participants dans leur programme de bug bounty.

Facebook boosts up its security systems with Delegated Recovery feature - GitHub login

Attendez ! Des comptes tiers ? Où mes données vont-elles donc ?

Aucun souci, elles n’iront nulle part. En premier lieu, vous devrez sauvegarder le jeton de récupération que vous avez créé dans les paramètres de votre compte tiers (ici GitHub) sur Facebook. Ce jeton sera chiffré, ce qui signifie que Facebook ne pourra lire en aucun cas vos informations personnelles déposées dans GitHub ! Facebook ne partagera pas non plus vos données personnelles avec GitHub. Pour récupérer un accès au compte GitHub, il leur suffit de savoir que « untel est la personne devant avoir accès à ce compte GitHub ». Comme vous venez tout juste de sauvegarder le jeton chiffré dans votre compte Facebook, il est inutile de partager votre identité Facebook réelle.

Facebook boosts up its security systems with Delegated Recovery feature - Facebook security settings

C’est ici que la loi de Murphy vient frapper : vous avez perdu l’accès à votre compte GitHub.

Évidemment, il ne manquait plus que ça. Vous venez de perdre l’accès à votre compte GitHub et vous devez le récupérer. Il vous suffit de vous ré-authentifier dans Facebook, et ils enverront un jeton à GitHub doté d’une « Contre-signature horodatée » : vous pourrez alors vous reconnecter à GitHub.

Cette méthode vous intéresse ? Elle est proposée en open source ! Enfin, bientôt…

Facebook a également publié les spécifications de sa fonctionnalité Delegated Recovery (quelle surprise !) sur GitHub. Ils prévoient même de publier un exemple d’implémentation du protocole dans plusieurs langages de programmation afin d’accélérer le délai d’implémentation de leur service. Difficile de faire mieux !

 

Voulez-vous implémenter cette fonctionnalité sur votre site Internet ? Ou mieux, voulez-vous en faire usage tout simplement ? N’hésitez pas à partager vos impressions dans les commentaires.

Cet article est également disponible en: AnglaisAllemandItalien

Hey, I'm István and the Social Media Manager @Avira. Find all of my blog articles here and I hope you enjoy & share them. Stay up-to-date and connect with Avira on Twitter, Facebook, Instagram, and YouTube. Follow this blog with Bloglovin.