Deux nouvelles mesures de sécurité pour Facebook


Jean-François Ferland - 26/01/2011

Facebook implante la connexion sécurisée de type HTTPS et envisage le recours à « l’authentification sociale » fondée sur la reconnaissance des visages.

Dans un billet de blogue, Facebook annonce l’ajout prochain d’une option de connexion sécurisée à son réseau social par le biais du protocole de transfert hypertexte sécurisé HTTPS (HyperText Transfer Protocol Secure en anglais).

Le protocole HTTPS, qui est couramment utilisé par des institutions financières, par des détaillants et par des fournisseurs de services en ligne, sert à établir des liaisons sécurisées entre les navigateurs Web des internautes et les serveurs Web à l’aide du chiffrement. Ce protocole permet aussi de valider l’identité d’un site au moyen d’un certificat d’authentification qui est émis par un tiers.

Alex Rice, l’ingénieur en sécurité qui a rédigé le billet de blogue publié par Facebook, précise que le choix des utilisateurs de recourir aux liaisons sécurisées entraînera certaines contraintes, comme un temps de chargement des pages plus long. Également, certaines fonctions de Facebook et des applications de tiers pourraient ne plus fonctionner, mais l’ingénieur assure que l’équipe technique du réseau social oeuvre à la résolution de ces problèmes.

« Authentification sociale »

D’autre part, M. Rice indique que Facebook travaille à l’établissement d’une fonction « d’authentification sociale ».

Cette méthode, qui ressemble à l’authentification fondée sur la sélection d’une image préférée qui est utilisée par les institutions bancaires, consisterait en l’identification d’amis de l’utilisateur au moyen de photos affichées à l’écran. En résumé, lors du processus de connexion, Facebook afficherait à l’écran de l’utilisateur des photos de personnes qui font partie de sa liste d’amis, ainsi qu’une liste de prénoms et de noms de famille. L’utilisateur devrait alors cocher la réponse appropriée dans la liste afin de pouvoir accéder à sa page d’accueil sur le réseau social.

Pour illustrer le concept, le billet de M. Rice contient une capture d’écran (voir ci-dessous) où l’on voit trois photos d’une même personne dont le visage est entouré d’un carré, avec un ombrage sur le reste de l’image. Cette approche ressemble aux fonctions automatisées de détection des visages qui sont offertes dans certains logiciels de gestion des photos.

Facebook authentification sociale

Représentation du concept d’authentification sociale en cours de développement chez Facebook. (Photo: Facebook)

En haut à droite de l’écran, on peut lire « 0 of 5 friends identified », ce qui porte à croire que l’utilisateur devrait identifier plus d’une personne avant d’accéder à sa page d’accueil. En bas à droite, un bouton « skip person » permettrait à l’utilisateur de procéder à l’identification d’une autre personne.

« La vaste majorité des gens qui ont utilisé Facebook n’ont jamais rencontré de problème de sécurité. Toutefois, si nous détections une activité suspicieuse dans votre compte, comme s’être branché en Californie le matin et ensuite en Autriche quelques heures plus tard, nous pourrions vous demander de vérifier (sic) votre identité afin que nous soyons sûrs que votre contre n’a pas été compromis », indique M. Rice dans son billet.

L’ingénieur souligne que l’authentification à l’aide d’un « test captcha», où l’utilisateur doit écrire des mots affichés dans une image tordue, est utile pour contrer le piratage automatisé par ordinateur, mais s’avère peu efficace lorsque la tentative d’usurpation d’identité implique un être humain pouvant écrire la bonne réponse.

« Les pirates à l’autre bout du monde peuvent connaître votre mot de passe, mais ils ne savent pas qui sont vos amis », indique M. Rice.

Enjeux de confidentialité?

Alors que le procédé est expliqué avec des verbes conjugués au conditionnel, M. Rice précise que Facebook continue à faire l’essai de cette approche et à recueillir des commentaires de la part des utilisateurs de son réseau et « de la communauté de la sécurité » afin savoir comment cette fonction « et d’autres fonctions sociales » pourraient être sécuritaires et utiles.

Toutefois, il est possible que l’application de cette méthode d’authentification soulève des enjeux en matière de confidentialité et de respect de la vie privée. Par exemple, un tel procédé pourrait exiger que l’utilisateur identifie des amis sur des photos, ce qui pourrait incommoder certains de ces amis. Également, certains amis pourraient être incommodés par l’affichage de photos montrant leur visage dans le cadre d’un tel processus.

Le billet de blogue de Facebook ne précise pas si l’utilisateur devrait identifier au préalable les amis dont les photos seraient affichées à l’écran, ou si les exploitants du réseau social choisiraient au hasard des personnes au sein de la liste d’amis de l’utilisateur.

Dans la section des commentaires du billet de blogue de M. Rice, on constate que le recours au protocole HTTPS semble être accueilli favorablement par les membres de Facebook, mais les avis semblent partagés quant à une possible implantation d’un processus d’authentification sociale.

Jean-François Ferland est rédacteur en chef adjoint au magazine Direction informatique.




Tags: , , , , , , , , , ,

À propos de Jean-François Ferland

Jean-François Ferland a occupé les fonctions de journaliste, d'adjoint au rédacteur en chef et de rédacteur en chef au magazine Direction informatique.
Google+