Les systèmes d’authentification unique (SSO) nous permettent de nous connecter à plusieurs sites Web et applications en utilisant une seule combinaison de nom d’utilisateur et de mot de passe. Mais ce sont des systèmes tiers généralement gérés par des sociétés Big Tech qui auraient collecté et divulgué des informations personnelles sans le consentement de l’utilisateur. Désormais, les chercheurs ont développé un nouvel algorithme d’authentification unique sécurisé qui élimine tous ces problèmes.

Les systèmes d’authentification unique

Au cours des dernières décennies, à mesure que l’ère de l’information a mûri, elle a façonné le monde de la cryptographie et en a fait un paysage varié. Parmi la myriade de méthodes d’encodage et de cryptosystèmes actuellement disponibles pour assurer des transferts de données sécurisés et l’identification des utilisateurs, certains sont devenus très populaires en raison de leur sécurité ou de leur caractère pratique. Par exemple, si vous avez déjà eu la possibilité de vous connecter à un site Web à l’aide de votre identifiant et mot de passe Facebook ou Gmail, vous avez rencontré un système d’authentification unique (SSO) au travail. Il en va de même pour la plupart des smartphones, où la connexion avec une seule combinaison de nom d’utilisateur et de mot de passe permet d’accéder à de nombreux services et applications différents.

Les schémas SSO donnent aux utilisateurs la possibilité d’accéder à plusieurs systèmes en se connectant à un seul système spécifique. Ce système spécifique est appelé «fournisseur d’identité» et est considéré comme une entité de confiance qui peut vérifier et stocker l’identité de l’utilisateur. Lorsque l’utilisateur tente d’accéder à un service via le SSO, le « fournisseur de services » demande à ce fournisseur d’identité d’authentifier l’utilisateur.

Les avantages des systèmes SSO sont nombreux. D’une part, les utilisateurs n’ont pas besoin de se souvenir de plusieurs combinaisons de nom d’utilisateur et de mot de passe pour chaque site Web ou application. Cela se traduit par moins de personnes oubliant leurs mots de passe et, par conséquent, moins d’appels téléphoniques aux centres de support informatique. De plus, l’authentification unique réduit les tracas liés à la connexion, ce qui peut, par exemple, encourager les employés à utiliser les outils de sécurité de leur entreprise pour des tâches telles que le transfert sécurisé de fichiers.

Mais ces avantages s’accompagnent de graves préoccupations. Les systèmes SSO sont souvent gérés par des grandes entreprises technologiques, qui, dans le passé, ont été signalées pour collecter des informations personnelles à partir d’applications et de sites Web (fournisseurs de services) sans leur consentement, à des fins de publicité ciblée et à d’autres fins de marketing. Certaines personnes craignent également que leur identifiant et leur mot de passe puissent être stockés localement par des tiers lorsqu’ils les fournissent au mécanisme SSO.

Des efforts pour se passer des Big Techs

Dans un effort pour remédier à ces problèmes, le professeur agrégé Satoshi Iriyama de l’Université des sciences de Tokyo et son collègue le Dr Maki Kihara ont récemment développé un nouvel algorithme SSO qui empêche en principe un tel échange d’informations holistique. Dans leur article, publié dans Cryptography, ils décrivent en détail le nouvel algorithme après avoir passé en revue leurs motivations pour le développer. Le Dr Iriyama déclare: «Nous visions à développer un algorithme SSO qui ne divulgue pas l’identité de l’utilisateur et les informations personnelles sensibles au fournisseur de services. De cette manière, notre algorithme SSO utilise les informations personnelles uniquement pour l’authentification de l’utilisateur, comme prévu à l’origine lorsque SSO systèmes ont été introduits.  »

En raison de la façon dont cet algorithme SSO est conçu, il est essentiellement impossible que les informations utilisateur soient divulguées sans autorisation. Ceci est réalisé, comme l’explique le Dr Iriyama, en appliquant le principe du «traitement des informations alors qu’elles sont encore cryptées». Dans leur algorithme SSO, toutes les parties échangent des messages mais n’échangez jamais de clés de décryptage, et personne n’est jamais en possession de toutes les pièces du puzzle car personne ne possède les clés de toutes les informations. Bien que le fournisseur de services (et non le fournisseur d’identité) sache si un utilisateur a été authentifié avec succès, il n’a pas accès à l’identité de l’utilisateur et à aucune de ses informations personnelles sensibles. Cela rompt à son tour le lien qui permet aux fournisseurs d’identité de tirer des informations utilisateur spécifiques des fournisseurs de services.

Le schéma proposé offre de nombreux autres avantages. En termes de sécurité, il est de par sa conception imperméable à toutes les formes typiques d’attaques par lesquelles des informations ou des mots de passe sont volés. Par exemple, comme l’explique le Dr Iriyama, « Notre algorithme peut être utilisé non seulement avec un identifiant et un mot de passe, mais aussi avec tout autre type d’informations d’identité, telles que la biométrie, les données de carte de crédit et les numéros uniques connus de l’utilisateur. » Cela signifie également que les utilisateurs ne peuvent fournir que les informations d’identité qu’ils souhaitent divulguer, réduire le risque que des entreprises Big Tech ou d’autres tiers siphonnent des informations personnelles. De plus, l’algorithme fonctionne remarquablement vite, une qualité essentielle pour s’assurer que la charge de calcul ne gêne pas sa mise en œuvre.

Nous espérons que cette étude apportera des changements positifs dans les systèmes SSO actuels, de sorte que davantage d’utilisateurs soient encouragés à les utiliser et à en récolter les nombreux avantages.

SEO INSIDE est une agence web à Lille.