Qu’est-ce que le SSO et est-il vraiment sûr ?

Si vous êtes client de Google, Microsoft ou Apple, vous avez l'habitude de vous connecter une fois pour accéder à toutes les applications de ce fournisseur. Par exemple, si vous utilisez Gmail, vous n'avez pas besoin de vous connecter séparément pour Google Drive. L'authentification unique (généralement appelée SSO) vise à vous simplifier la vie, mais comment fonctionne-t-elle ?

Qu'est-ce que le SSO ?

Du côté de l'utilisateur, l'authentification unique est assez simple. Vous vous connectez à un service et tous les services associés se déverrouillent également pour vous. Entrez donc vos identifiants sur votre ordinateur portable Windows et tous les services Microsoft vous sont ouverts. Certaines entreprises, comme Google ou Facebook, vous permettent même d'utiliser vos identifiants pour vous connecter à d'autres services qui ne sont pas directement liés.

Attention cependant à ne pas confondre SSO et gestionnaires de mots de passe. SSO remplace plus ou moins vos identifiants, tandis que les gestionnaires de mots de passe conservent vos identifiants mais vous connectent automatiquement.

Comment fonctionne le SSO ?

Normalement, chaque service que vous utilisez et qui nécessite une connexion possède un ensemble d'informations d'identification distinct, généralement un nom d'utilisateur ou une adresse e-mail et un mot de passe. Lorsque vous utilisez l'authentification unique, votre service « principal » (appelons-le site A) remplace l'ensemble d'informations d'identification d'un autre service (site B) par ce que l'on appelle un jeton, un petit ensemble d'informations numériques.

La prochaine fois que vous vous connecterez au site B, au lieu de saisir votre nom d'utilisateur et votre mot de passe, c'est le jeton du site A qui se connectera à votre place. Tout se passe en coulisses et est « transparent » ; en tant qu'utilisateur, tout ce que vous voyez, c'est qu'il vous reste une étape à effectuer. Ce partage de jetons est parfois appelé identité fédérée.

Sous le capot, SSO fonctionne de différentes manières. Il est proposé en tant que service par d'autres sociétés, comme Auth0 par Okta, vous pouvez donc le configurer rapidement sans avoir à vous occuper de trop de technologie. Alternativement, si quelqu'un dans une organisation est suffisamment averti, SSO peut être configuré via des protocoles comme Kerberos ou SAML (qui alimente Auth0 et des services similaires).

Qui utilise le SSO ?

D'une certaine manière, tout le monde utilise le SSO sous une forme ou une autre, y compris vous. Toutes les grandes entreprises technologiques l'utilisent pour s'assurer que les clients peuvent accéder à tous leurs différents services sans problème, sans avoir à saisir constamment leurs mots de passe. Google, Microsoft, Atlassian, la liste est longue. Si vous travaillez dans une grande entreprise, il y a de fortes chances que vous utilisiez également le SSO, car de nombreuses entreprises aiment utiliser le SSO sur les réseaux internes pour s'assurer que le personnel peut passer facilement d'une application à l'autre.

Le SSO présente-t-il des inconvénients ?

À première vue, l'utilisation du SSO ne présente pas beaucoup d'inconvénients. Après tout, qui n'aime pas passer d'une application à une autre en toute transparence ? Cependant, en utilisant le SSO, vous réduisez votre sécurité à un seul point de défaillance : là où il y avait de nombreux mots de passe différents qu'un attaquant devait déchiffrer, il n'y en a désormais qu'un seul.

Pire encore, une fois qu’un attaquant a le contrôle de ce compte et de ses jetons associés, vous perdre contrôle sur chacun d'eux. Après tout, le jeton est le seul moyen d'accéder à ces comptes. Il n'y a aucun moyen de réinitialiser vos comptes, comme si votre gestionnaire de mots de passe était piraté. C'est aussi pourquoi vous ne devriez jamais demander à Google et à d'autres entreprises de vous connecter à votre place.

Le SSO est-il sûr ?

Bien que l'authentification unique soit sans aucun doute extrêmement pratique, nous recommandons généralement de ne pas l'utiliser à moins que cela ne soit inévitable. Il est tout à fait logique de regrouper tous les services Google ou Microsoft sous un même toit, mais nous ne tokeniserions pas l'intégralité de notre réseau de sécurité pour des raisons de commodité. Si quelqu'un devait pirater votre mot de passe Google, chacun de vos comptes liés serait vulnérable.

Nous vous recommandons plutôt d'utiliser l'un des meilleurs gestionnaires de mots de passe. Ils vous offriront la même expérience transparente que l'authentification unique et pour davantage de sites, mais offriront une sécurité bien supérieure.