Glossaire relatif à la confidentialité

OIDC

A B C D E F G H I J K L M N O P Q R S T U V W X Y Z

Qu’est-ce que l’OIDC ?

OIDC (OpenID Connect) est un protocole d’authentification alternative où le service ou l’application utilise un service tiers pour authentifier l’utilisateur. L’OIDC est également utilisé pour les applications d’authentification unique (SSO) qui permettent à un utilisateur de se connecter une fois pour accéder à plusieurs applications connexes. Pour l’utilisateur, l’OIDC peut offrir une meilleure sécurité tout en simplifiant le processus de connexion. Il peut également soutenir les services et applications offrant l’OIDC aux utilisateurs en déléguant une partie de la responsabilité en matière de sécurité et des efforts de codage à l’authentificateur tiers.

L’OIDC peut améliorer la sécurité en ligne d’un individu en réduisant le nombre de connexions nécessaires. Avoir moins de critères de connexion peut conduire à de meilleures habitudes en matière de mot de passe et à des informations de connexion stockées sur moins de bases de données, ce qui peut ainsi réduire les risques associés aux violations de données. Avoir moins de connexions à gérer peut également améliorer l’expérience en ligne globale.

Les entreprises offrent souvent des connexions via des services tiers comme incitation à créer un compte ; utiliser une connexion existante pour créer un compte est plus facile que de choisir un nouvel identifiant utilisateur et un mot de passe, ce qui incite un utilisateur à créer un nouveau compte. Les connexions via des services tiers peuvent également réduire les pertes commerciales causées par les utilisateurs qui oublient leur mot de passe et abandonnent un panier plein. Les applications d’authentification unique sont généralement perçues comme aidant à la fois les utilisateurs et les entreprises ; le SSO peut réduire la frustration et la répétition liées à l’utilisation de plusieurs flux de connexion différents.

À quoi ressemble l’OIDC?

Un cas d’utilisation commun de l’OIDC est lorsque vous avez la possibilité de vous connecter à un service particulier (comme un site d’Actualités) en utilisant les identifiants d’une autre source (comme Facebook ou Google). Un autre usage courant, appelé authentification unique ou SSO, est lorsqu’une seule connexion donne à un utilisateur accès à plusieurs services. Par exemple, si vous êtes connecté à Gmail dans votre navigateur, vous n’avez pas besoin de vous connecter séparément à YouTube. Google reconnaît que vous avez été authentifié via Gmail et ne vous demande pas de prouver à nouveau votre identité. Le SSO est souvent utilisé dans les environnements de travail. Un employeur peut contracter avec un fournisseur tiers pour établir un système de connexion permettant à un employé de se connecter une fois et d’accéder à plusieurs applications, comme la suite Microsoft, Zoom et une interface de paie.

Comment fonctionne l’OIDC ?

L’OIDC est un cadre large avec différents processus selon la situation. En général, l’OIDC est conçu pour simplifier les connexions, que ce soit pour utiliser une connexion pour accéder à un autre service ou pour utiliser une connexion unique pour accéder simultanément à plusieurs applications. Voici un exemple général d’un flux OIDC utilisant Google pour se connecter à Spotify.

Les parties impliquées

  • Utilisateur: L’individu qui souhaite se connecter à un service.
  • Partie de confiance: Le service principal (comme une application web) auquel l’utilisateur accède. Une partie de confiance offre à l’utilisateur la possibilité d’utiliser une connexion tierce. (Dans notre exemple, Spotify est la partie de confiance.)
  • Fournisseur d’identité: Le tiers qui traitera la connexion de l’utilisateur et authentifiera l’utilisateur. (Dans notre exemple, c’est Google.)

Les étapes d’un processus de connexion tiers OIDC

  • Vous visitez le site web Spotify (ou ouvrez l’application Spotify) et choisissez de vous connecter en utilisant vos identifiants Google.
    • L’utilisateur visite un site web hébergé par un tiers de confiance qui propose une connexion tierce avec un fournisseur d’identité.
  • Spotify interroge Google et demande à Google de vous authentifier.
    • Le tiers de confiance envoie une demande d’authentification au fournisseur d’identité.
  • Vous vous connectez à Google et acceptez que Google partage des informations basiques d’identification avec Spotify.
    • L’utilisateur se voit présenter un écran de connexion ou autre invite pour se connecter auprès du fournisseur d’identité. La méthode exacte pour authentifier l’utilisateur dépend du fournisseur d’identité ; cela peut être une combinaison d’identifiant et mot de passe, une donnée biométrique comme une empreinte digitale, un mot de passe à usage unique envoyé par SMS, ou toute combinaison de ces méthodes.
  • Google vérifie que c’est bien vous qui vous connectez et crée un jeton contenant certaines informations vous concernant ainsi que des détails sur la connexion. Ce jeton est envoyé à Spotify pour confirmer une connexion réussie.
    • Le fournisseur d’identité valide l’utilisateur et crée un jeton d’identité. Le jeton d’identité contient des informations sur l’utilisateur comme le nom d’utilisateur, le nom réel, et possiblement d’autres données d’identification. Le jeton indique également l’heure de l’authentification et l’expiration de l’authentification.
  • Spotify reçoit le jeton d’identité, confirme que le jeton vient de Google, et vous accorde l’accès au contenu de Spotify.
    • Le tiers de confiance reçoit le jeton d’identité et vérifie que tout est en ordre et que le jeton provient de la bonne source. Si le processus d’authentification est jugé réussi, l’utilisateur se voit accorder l’accès au contenu du tiers de confiance.

OIDC vs. OAuth

Les deux, OIDC et OAuth, sont conçus pour simplifier le processus d’accès en ligne à un site, une application ou un service. Bien qu’OIDC soit construit sur la base du cadre OAuth, OIDC a un objectif différent de celui d’origine d’OAuth. La principale différence entre OIDC et OAuth est l’authentification vs. l’autorisation. OIDC aide une entité à authentifier une personne ; c’est-à-dire, à vérifier qu’une personne est bien celle qu’elle prétend être. Un processus OIDC aboutit à un jeton d’identité qui contient le statut de vérification de l’authentification de l’utilisateur, et éventuellement des informations sur l’utilisateur.

Le principal objectif d’OAuth est de faciliter le transfert des données d’un individu d’une entité à une autre. Un processus OAuth aboutit à un jeton d’accès qui contient des détails sur les données accessibles et les permissions attribuées à la partie qui y accède. Des exemples d’usage de l’OAuth incluent le partage de votre carnet d’adresses Gmail avec LinkedIn pour trouver des connexions ou permettre à une application non liée de publier une mise à jour sur votre page Facebook.

Les risques liés à la sécurité et à la confidentialité avec OIDC et OAuth

OAuth et OIDC offrent tous deux une sécurité améliorée. L’avantage d’utiliser une connexion tierce (c’est-à-dire). OIDC) when it’s available is that it reduces the number of logins you need to keep track of, which in turn can translate to improved security habits (such as using strong, unique passwords). Les protocoles OAuth permettent de ne pas partager les identifiants entre les services et de réduire l’exposition aux violations de données; ils donnent également à l’individu un contrôle plus affiné sur la manière dont les autres utilisent ses données.

Mais comme pour toute avancée en matière de sécurité, les risques évoluent également en réponse. With OIDC, hackers can trick an individual into using a fake third-party login screen in order to collect a user’s ID and password. This is why it’s important to use second factor authentication to detect and prevent these phishing attempts. Du point de vue de la confidentialité, utiliser une connexion tierce permet à Google ou Facebook de collecter davantage de données sur votre activité, car ils peuvent suivre votre utilisation de ces applications et sites web, ainsi que la fréquence à laquelle vous les consultez. (C’est pourquoi Brave a l’autorisation de connexion Google.)

Avec le processus OAuth, les hackers avec des informations d’identification volées peuvent injecter une fausse URL dans le processus. Ils détournent ainsi les jetons d’accès destinés au client vers les sites web des hackers. Les hackers peuvent alors utiliser les jetons détournés pour accéder illégalement aux données d’un utilisateur.

Prêt à braver le nouvel Internet avec Brave ?

Brave a été conçu par une équipe de pionniers du Web axés sur les performances et la confidentialité. Aidez-nous à rendre la navigation meilleure.