Qui se rend souvent sur Internet connaît le problème : des dizaines de sites, de forums et de boutiques exigent des identifiants de connexion, qui se composent pour la plupart d'un nom d'utilisateur et d'un mot de passe. Sans compter les mots de passe pour l'ordinateur, le routeur, les comptes cloud et bien d'autres services. Bref, le chaos des mots de passe est inévitable en cas d'utilisation intensive du réseau et des services. Mais il existe une solution : le soi-disant Single Sign-On (SSO).
Le Single Sign-On facilite beaucoup de choses
Le Single Sign-On permet d'accéder à toute une série de services et de prestations avec une seule connexion. Il est par exemple possible d'accéder directement à tous les lecteurs et serveurs du réseau en se connectant à un ordinateur de travail. Cette technologie existe également pour Internet, proposée par exemple par Twitter, Facebook et Google ("Se connecter avec Google"), et qui rend l'inscription superflue après avoir associé une seule fois un compte d'utilisateur au service concerné. D'ailleurs, Apple autorise également cette technique dans l'application TV et l'Apple-TV. Les données d'accès de services tels que Netflix, Amazon Prime ou d'autres fournisseurs de streaming sont alors déposées dans l'application. Une fois connecté à l'application TV, il est également possible d'accéder aux autres services. A l'avenir, Apple proposera également un service de connexion dans le style de Google et Facebook, à la différence qu'il renonce entièrement au tracking.
Single Sign-On : comment ça marche
Pour que cela fonctionne, la technologie Single Sign-On a recours à une astuce : soit les données d'accès sont déposées quelque part de manière centralisée, par exemple dans un cloud. Soit des droits doivent être attribués au service concerné via un outil tiers, comme c'est le cas pour "Se connecter avec Google". Ensuite, l'utilisateur reçoit un "token", une clé d'accès unique qui est définie pour chaque terminal. Dans le navigateur web, cette clé est généralement attribuée sous la forme d'un cookie, mais pour les PC, les Mac et les appareils mobiles, des solutions tierces telles que NetID ou ID4me peuvent également être utilisées. Il est également possible d'enregistrer les clés sur des clés USB ou de relier le SSO à l'application d'un smartphone Bluetooth. Important pour tous les services : contrairement à un gestionnaire de mots de passe, le logiciel cible doit prendre en charge la méthode de connexion, c'est-à-dire qu'un site web ou une application doit également proposer le service Single Sign On pour que celui-ci puisse être utilisé. Comme de nouveaux fournisseurs apparaissent constamment sur le marché, une solution pour tous les services est souhaitable - mais n'existe malheureusement pas actuellement.
Les avantages de l'authentification unique
Néanmoins, l'authentification unique présente d'énormes avantages par rapport à la connexion avec nom d'utilisateur et mot de passe. A commencer par le fait qu'une seule combinaison nom d'utilisateur/mot de passe doit être gérée, ce qui permet dans de nombreux cas d'utiliser un mot de passe sûr pour le service Single Sign-On. En effet, malgré tous les rappels, même les utilisateurs expérimentés répètent souvent leur combinaison nom d'utilisateur/mot de passe ou ne varient que très peu le mot de passe, par exemple selon le schéma "mot de passe1", "mot de passe2", "mot de passe3" et ainsi de suite. Cela offre naturellement de nombreux points d'attaque aux hameçonneurs et autres malfaiteurs en ligne, qui peuvent facilement deviner les variantes de mot de passe et ainsi prendre le contrôle des comptes. Avec l'authentification unique, ce problème n'a plus lieu d'être : l'utilisateur peut se concentrer sur un mot de passe sûr qui autorise (du moins en théorie) l'accès à tous les services.
La sécurité du mot de passe est essentielle
C'est précisément ce qui pose un gros problème à l'authentification unique : si le mot de passe est mal choisi et que le service ne propose pas de filets de sécurité supplémentaires - comme l'authentification à deux facteurs -, le gain de sécurité se retourne contre lui. Les pirates n'ont qu'à récupérer la combinaison nom d'utilisateur/mot de passe pour avoir ensuite accès à tous les comptes d'un utilisateur. C'est pourquoi de nombreuses procédures SSO proposent, en plus du jeton basé sur l'ordinateur, un verrouillage temporel : si l'ordinateur ou le service n'est pas utilisé pendant un certain temps, la connexion est automatiquement interrompue. Un autre problème est la disponibilité du service SSO en lui-même : si celui-ci n'est pas disponible de manière fiable, l'utilisateur n'a pas la possibilité d'accéder à ses comptes. Le token lui-même est également un point d'attaque potentiel auquel les administrateurs et les utilisateurs doivent éventuellement prêter attention. En outre, l'authentification unique soulève automatiquement la question d'une authentification unique centralisée : en se déconnectant de l'ordinateur, par exemple, les connexions aux services doivent être automatiquement coupées.
Single Sign-On : comment l'utiliser?
Dans l'ensemble, les avantages de l'authentification unique l'emportent toutefois sur les inconvénients. Les utilisateurs doivent toutefois veiller à choisir un service qui remplit les conditions nécessaires en matière de sécurité et de protection des données. Facebook et Google ne sont pas les meilleurs candidats, mais ces services peuvent être mieux protégés contre les attaques en optimisant la sécurité, comme l'authentification à deux facteurs. Ce qui est important dans toutes les solutions de signature unique, c'est qu'elles soient largement soutenues, ce que malheureusement peu de services peuvent faire actuellement. Il reste donc à espérer qu'à l'avenir, de grands acteurs comme Microsoft et Apple y remédieront avec des solutions faciles à utiliser et moins problématiques en termes de protection des données.