BrowserID La semaine dernière, Mozilla a levé le voile sur son projet open source d'authentification aux sites sans mot de passe : BrowserID ( voir notre actualité ). Pour l'heure expérimental, ce système décentralisé remplace le couple traditionnel identifiant et mot de passe.

La pierre angulaire est le protocole Web Verified Email Protocol de Mozilla. L'adresse email préalablement choisie est utilisée comme moyen de connexion. En tâche de fond, cette dernière est vérifiée par le site Web ainsi que son utilisateur légitime grâce à une clé de chiffrement publique.

Si BrowserID et OpenID ont des buts similaires, notamment en termes de simplification pour l'utilisateur et sécurité, Mozilla a tenu à souligner les différences suite au premiers retours. La plus évidente est que c'est l'adresse email qui fait office d'identifiant pour l'utilisateur.

" Avec OpenID, l'adresse email de l'utilisateur peut être disponible aux sites Web qui demandent une authentification, ou elle peut être absente. Dans tous les cas, ce n'est pas l'identifiant. Nous pensons que, tant pour les développeurs que pour les utilisateurs, une adresse email est le bon identifiant ', justifie l'équipe Mozilla Identity.

Mozilla précise également qu'avec OpenID, le fournisseur d'identité " participe nécessairement dans le flux de connexion ". Avec BrowserID, les " fournisseurs d'identité ne sont pas impliqués dans la transaction de connexion ". Autre point de différenciation, BrowserID a été conçu pour s'intégrer facilement aux navigateurs Web modernes et de bénéficier ainsi des mécanismes de sécurité de ces navigateurs.

Directeur de Xamax Consultancy, Roger Clarke estime néanmoins que BrowserID n'est qu'une nouvelle tentative de gestion de l'identité numérique qui présente de " sérieuses failles ", notamment au regard de la protection de la vie privée.

" L'authentification est basée, au départ, sur la capacité démontrée à se connecter au service email et par la suite sur la capacité démontrée à accéder aux fonctionnalités du navigateur concerné ", déclare Roger Clarke qui parle alors de " possession virtuelle " pour " deux ou plusieurs entités ".

" De plus, le fait que cette possession soit partagée avec un processus local non autorisé, et même par un processus distant non autorisé ou un individu, peut être ignoré par l'utilisateur ". Et de faire référence à une exploitation par certains rootkits.