Tweet
Alors que le système d'identifiant unique OpenID est adopté par un nombre croissant d'acteurs de l'internet - notamment Microsoft, Google et Yahoo -, sa sécurité est mise en question.
OpenID est un système qui permet d'utiliser le même identifiant pour se connecter à différents services en ligne. Il suffit de s'enregistrer une fois, et le log-in fonctionne sur le réseau de sites qui adhèrent au principe, notamment ceux de Microsoft, Google et Yahoo.
Or la technologie repose sur les serveurs qui gèrent les noms de domaines (DNS), prévient ainsi un expert des identités fédérées chez Sun Microsystems, Robin Wilton. A la lumière des récentes failles de sécurité décelées au niveau du système DNS, OpenID présente donc des risques comme toutes les autres applications dépendantes des DNS.
Le système de la Liberty Alliance plus sécurisé ?
Elle compte totalement sur son intégrité pour s'assurer que l'identifiant fourni provient bien d'un fournisseur de confiance. Pourtant, si le système DNS est victime d'une attaque, il devient impossible de garantir qu'une personne est bien ce qu'elle prétend.
Précisons que Sun propose un système concurrent d'OpenID, poussé par la Liberty Alliance, qui ne peut toutefois être affecté par de tels problèmes puisque son fonctionnement diffère, explique Wilton. Il ne repose pas sur les DNS.
Mais cet expert n'est pas le seul à montrer du doigt les risques de sécurité d'OpenID. Un blog évoque des travaux effectués par un expert de Google, Ben Laurie, et Richard Clayton des laboratoires de l'université de Cambridge, qui confirment les risques. Ils parlent de plusieurs adhérents du système OpenID qui se servent de certificats utilisant des clés privées insuffisamment sécurisées. De quoi ouvrir la voie à une attaque par cache-poisoning, où un pirate fait passer un serveur pour un fournisseur OpenID de bonne foi.
par ZDnet
OpenID est un système qui permet d'utiliser le même identifiant pour se connecter à différents services en ligne. Il suffit de s'enregistrer une fois, et le log-in fonctionne sur le réseau de sites qui adhèrent au principe, notamment ceux de Microsoft, Google et Yahoo.
Or la technologie repose sur les serveurs qui gèrent les noms de domaines (DNS), prévient ainsi un expert des identités fédérées chez Sun Microsystems, Robin Wilton. A la lumière des récentes failles de sécurité décelées au niveau du système DNS, OpenID présente donc des risques comme toutes les autres applications dépendantes des DNS.
Le système de la Liberty Alliance plus sécurisé ?
Elle compte totalement sur son intégrité pour s'assurer que l'identifiant fourni provient bien d'un fournisseur de confiance. Pourtant, si le système DNS est victime d'une attaque, il devient impossible de garantir qu'une personne est bien ce qu'elle prétend.
Précisons que Sun propose un système concurrent d'OpenID, poussé par la Liberty Alliance, qui ne peut toutefois être affecté par de tels problèmes puisque son fonctionnement diffère, explique Wilton. Il ne repose pas sur les DNS.
Mais cet expert n'est pas le seul à montrer du doigt les risques de sécurité d'OpenID. Un blog évoque des travaux effectués par un expert de Google, Ben Laurie, et Richard Clayton des laboratoires de l'université de Cambridge, qui confirment les risques. Ils parlent de plusieurs adhérents du système OpenID qui se servent de certificats utilisant des clés privées insuffisamment sécurisées. De quoi ouvrir la voie à une attaque par cache-poisoning, où un pirate fait passer un serveur pour un fournisseur OpenID de bonne foi.
par ZDnet