Libertés Numériques

Mozilla vient d'annoncer une évolution de son système de connexion unifié qui se veut une alternative à OpenID : Persona (à ne pas confondre avec les thèmes Personas). En effet, il supporte désormais officiellement la simplification de l'inscription via un compte Google. L'occasion pour nous de revenir de manière détaillée sur cette solution qui se veut simple, mais surtout respectueuse de votre vie privée.

Il existe depuis quelques années plusieurs initiatives de procédures de connexion unifiée et simplifiée. Certaines sont assez largement connues du grand public, comme celles proposées par Facebook, Google ou Twitter, mais d'autres existent depuis bien plus longtemps comme OpenID créé en 2007.

Le SSO, ou Single Sign On est une méthode d’authentification à des services web. OAuth, c’est le SSO de Facebook qui vous permet par exemple d’aller commenter certains sites de presse ou de jouer à de petits jeux. Aujourd’hui, Nir Goldshlager nous en raconte un bien bonne. Une faille béante concernant le lien du bouton d’autorisation d’accès aux applications utilisant OAuth permettrait de prendre le contrôle de n’importe quel compte en lui attribuant une URL forgée maison dans laquelle on injecte quelques paramètres observés sur ceux d’applications Facebook tierces, comprenant toutes les permissions qui vont bien…. et oui c’est une faille particulière débile.