Delegate Recovery, le nouveau protocole pour récupérer un mot de passe Facebook

Pendant la conférence Usenix Enigma, les représentants de Facebook qui étaient sur les lieux ont présenté une nouvelle méthode pour récupérer l’accès à un compte que l’utilisateur a oublié. Cette nouvelle technique est en réalité basée sur la coopération entre des services web.

Auparavant, le seul moyen de récupérer un mot de passe oublié était de passer obligatoirement par l’adresse email utilisée par le compte. L’utilisateur obtenait ainsi un nouveau code après avoir répondu à quelques questions. Cependant, suite aux piratages des données de Yahoo, les responsables de la sécurité du service ont travaillé sur une alternative viable à cette procédure.

Delegated REcovery

Facebook a développé une nouvelle méthode de récupération de mot de passe.

Pour renforcer la sécurité des membres du réseau social de Mark Zukerberg, ces experts ont dont créé le « Delegate Recovery, » une nouvelle façon de reprendre le contrôle d’un compte.

Récupérer un compte avec un jeton de récupération chiffré et horodaté

Pour faire simple, « Delegate Recovery » est un protocole permettant à un site d’authentifier l’utilisateur d’un autre site. Ici, il s’agit de la collaboration entre deux sites très populaires, à savoir Facebook et Github.

En pratique, l’utilisateur devrait d’abord posséder un compte sur les deux plateformes. Ensuite, il créera un jeton sur GitHub et il l’enregistrera sur Facebook. Si par ailleurs l’utilisateur venait à oublier l’accès à son compte GitHub, il pourrait le récupérer à partir d’un jeton de récupération disponible sur son compte Facebook.

Afin d’assurer la sécurité de cette procédure, le jeton de récupération est totalement chiffré, il est donc impossible d’accéder à son contenu et aux informations qu’il contient.

En outre, le jeton est aussi doté d’une contre-signature horodatée afin de permettre au site émetteur de vérifier son authenticité.

Facebook améliore sa technique d’authentification

Un ingénieur de sécurité chez Facebook a ajouté que le processus est simple, rapide et surtout sécurisé. Il suffit de quelques clics pour l’activer, et tout cela en mode HTTPS.

Disponible sur un référentiel Github, ce nouveau protocole développé par Facebook a aussi été pensé pour pouvoir intégrer des bibliothèques supplémentaires et pour s’intégrer à d’autres services web.

Facebook semble en tout cas mettre l’accent sur la sécurité en ce moment. Il faut en effet rappeler que la firme a intégré à son service la semaine dernière un nouveau système d’identification en deux étapes reposant sur des clés de sécurité compatibles avec le protocole U2F.

Un tutoriel entièrement dédié à la mise en place et à la configuration de ces clés vous attend d’ailleurs à cette adresse.