S'authentifier avec SQRL, comment ça marche ?

Dans un précédent article (lire ici), j vous ai parlé de mon enthousiasme pour ce tout nouveau système d’authentification en ligne révolutionnaire. Voici comment faire pour vous authentifier sur un site Web à l’aide de votre identité SQRL.

Se connecter avec SQRL

Lorsque l’on se rend sur un site compatible avec SQRL, la fenêtre de connexion propose de se connecter avec ce système, ou bien d’utiliser le traditionnel couple identifiant/mot de passe (ce que l’on ne vas pas faire naturellement 😉). Lorsque l’on clique sur le bouton « Se connecter avec SQRL » (ici en anglais, Sign in with SQRL), l’ordinateur lance l’application SQRL dédiée. On tape le mot de passe protégeant son identité SQRL (oui, il reste encore un mot de passe, mais c’est le seul, promis !) et hop, vous voilà authentifié sur le site.

Un bouton Sign in with SQRL? Cliquez dessus pour lancer l’application du même nom et vous authentifier de manière sécurisée. (cliquez pour agrandir)

 

La fenêtre de validation de connexion de SQRL vous montre toujours le site Web sur lequel vous êtes en train de vous connecter. (cliquez pour agrandir)

 

Authentification anonyme ! Étonnant non ?

À ce stade, le site ne sait pas qui vous êtes. Il ne connaît que votre « identité SQRL », c’est-à-dire celle que vous lui avez fournie via l’application SQRL. C’est un des éléments essentiels du système : non seulement il n’indique pas qui vous êtes, mais en plus l’identité SQRL que vous utilisez pour vous identifier en ligne est différente et unique pour chaque site que vous visitez. Cette identité est représentée par une chaîne de 78 caractères alphanumériques créée de manière aléatoire lors de la première connexion à un site Web. Et le plus fort, c’est que sans savoir qui vous êtes, le site Web sera capable de savoir que c’est vous qui revenez lors de la prochaine connexion : votre identité SQRL est unique mais aussi immuable pour chaque site.

Et si j’ai besoin de donner mon nom à un site Web ?

Garder son anonymat, c’est très bien lorsque le site n’a vraiment pas besoin de savoir qui l’on est, par exemple sur un forum de discussion. L’anonymat est une brique fondamentale de la protection de notre vie privée en ligne. Mais lorsque l’on achète un produit que l’on doit se faire livrer, il faut bien que le site connaisse votre nom et votre adresse ! C’est prévu. Lorsque vous vous identifiez pour la première avec SQRL sur un tel site, il vous propose d’ouvrir un compte nominatif, lié à votre identité SQRL. Même si on vous le propose (comme ici sur le site de démonstration), n’ajoutez pas de mot de passe, il n’est pas nécessaire puisque c’est avec votre identité SQRL que vous vous identifiez. La preuve : lorsque je reviens sur le site de démo après y avoir créé un compte, il me reconnait en tant que Fabrice. On peut donc imaginer qu’un magasin en ligne vous demande de compléter votre profile avec votre adresse postale et votre numéro de téléphone. Et le tour est joué : vous avez un compte sur ce site, mais pas de mot de passe à retenir.

1- Je suis authentifié avec SQRL mais le site ne sait pourtant pas qui je suis. (cliquez pour agrandir)

2- Je peux créer un compte en donnant le nom que je veux. On peut choisir de ne donner son vrai nom et, éventuellement son adresse pour créer un compte sur un site de vente en ligne. Notez que le mot de passe est optionnel et, franchement, inutile avec SQRL. (cliquez pour agrandir)

3- En se reconnectant avec SQRL, le site vous reconnaît, y compris avec votre nom si vous lui avez donné précédemment. (cliquez pour agrandir)

 

S’authentifier grâce à QR code avec son smartphone

Vous avez peut-être remarqué le QR code affiché sur la page de connexion. Il vous permet de vous authentifier avec votre smartphone sur le site que vous visitez depuis votre ordinateur. Pour cela, il vous faut au préalable installer l’application SQRL sur le smartphone et l’équiper de votre identité SQRL (nous verrons comment faire dans un autre article). Ensuite, c’est très simple : vous scandez avec le smartphone le QR code affiché sur la page Web sur l’ordi, vous tapez votre mot de passe sur le smartphone, et vous êtes identifié sur l’ordi. Étonnant non ? Pour assurer la sécurité de votre identification, l’application smartphone vous indique le site Web sur lequel vous êtes sur le point de vous authentifier. Mieux encore, une fois votre identité SQRL validée par votre mot de passe sur votre smartphone, vous pouvez utiliser le capteur d’empreinte digitale ou la reconnaissance faciale (selon votre modèle de smartphone) pour valider l’authentification : simple, rapide et sûr…

Scannez le QR code qui s’affiche sur l’ordi avec votre smartphone (ici un iPhone) pour lancer l’identification SQRL. (cliquez pour agrandir)

Une fois que vous avez validé une fois votre identité SQRL avec votre long mot de passe, la reconnaissance faciale ou l’empreinte digitale suffit pour valider la connexion via SQRL. (cliquez pour agrandir)

L’application SQRL dans sa version Android demandant le mot de passe pour se connecter au site de démo de SQRL. (cliquez pour agrandir)

 

Que pouvez-vous faire pour aider SQRL ?

Vous êtes convaincus comme je le suis ? Alors parlez-en autour de vous ! Contactez les sites Web que vous utilisez pour leur proposer d’adopter SQRL. Surtout à ceux qui ce sont fait pirater leur base de données d’utilisateurs, ils seront probablement les plus motivés. Parlez-en au développer de votre site Web et/ou à la plate-forme que vous utilisez pour héberger le vôtre pour les informer de l’existence de SQRL!

Pour en savoir plus

Le meilleur moyen de tout connaître sur SQRL sans tarder, c’est de vous rendre sur sqrl.grc.com. Ce forum de discussion réunit tous ceux qui suivent les développement de SQRL depuis ses débuts. La page « SQRL Essentials » vous donnera tous les détails. Elle est en anglais, mais un clic sur le drapeau français vous amènera à un traduction en français de toute la documentation (réalisée par votre serviteur, cliquez ici pour le télécharger directement).

Le forum de discussion dédié à SQRL, sur lequel vous trouverez tous les détails du fonctionnement du système. (cliquez pour agrandir)

La page SQRL Essentials pour consulter la documentation complète de SQRL, y compris dans sa version française (traduction réalisée par votre serviteur) en cliquant sur le drapeau français en haut à droite. (cliquez pour agrandir)

 

Essayez SQRL maintenant !

Dans la section « Getting started with SQRL », vous trouverez notamment un lien pour télécharger et installer la version finale de SQRL pour Windows, développée par Steve Gibson lui-même. Et aussi des liens vers les applications Android et iOS. Liens que vous trouverez également dans le document en français. Vous pourrez alors créer votre identité SQRL (article à venir) et la tester en vous rendant sur sqrl.grc.com/demo.

La version Windows de SQRL

La version Android de SQRL (lien vers Google Play)

La version iPhone de SQRL (pour s’inscrire au programme beta)