Né en juillet 2011, le projet expérimental Open Source BrowserID avait pour but de rendre inutile la création et la gestion de noms d'utilisateur et de mots de passe individuels pour différents sites web. Persona est le résultat de ce projet. Le système permet d'authentifier les utilisateurs sur les sites web affiliés uniquement à partir de leurs adresses e-mail existantes. Les utilisateurs doivent d'abord créer un compte sur le site persona.org de Mozilla, définir un mot de passe et ajouter une ou plusieurs adresses e-mail à leurs comptes. La propriété de chaque adresse e-mail est vérifiée en cliquant sur un lien reçu sur chaque adresse enregistrée. Après quoi, lorsque l'utilisateur se connecte à un site web qui prend en charge le système d'authentification Persona, il peut y accéder rapidement. Si l'utilisateur ne s'est pas préalablement connecté à persona.org, il devra saisir son e-mail et son mot de passe Persona pour ouvrir une session, mais s'il s'est déjà authentifié, il aura juste à choisir quelle adresse mail vérifiée il veut utiliser.

En terme de conception, Persona ressemble à d'autres systèmes d'authentification comme OpenID qui permet également aux utilisateurs de s'authentifier sur des sites différents en utilisant des identités vérifiées. Mais Persona se fie à des opérations de cryptographie à clé publique effectuées au niveau du navigateur sans avoir besoin du fournisseur d'identité - dans le cas présent, le fournisseur de messagerie - par contre nécessaire dans le processus d'authentification mis en oeuvre par OpenID. Cela signifie que Persona fournit un plus grand niveau de confidentialité, puisque le système ne trace pas l'activité de ses utilisateurs à travers le web. « Cela crée un mur entre l'utilisateur connecté et ce qu'il fait une fois qu'il est authentifié. L'historique des sites qu'il visite est stocké uniquement sur son ordinateur », comme l'explique Mozilla sur le site persona.org.

Quelques inconvénients

Il y a tout de même quelques inconvénients. Si Persona élimine le besoin de renseigner un identifiant et un mot de passe pour chaque site web, il repose entièrement sur la fiabilité d'une clef unique, le mot de passe enregistré sur persona.org. Comme l'a confirmé Ben Adida, chef du projet Persona chez Mozilla, « dans le cas où le mot de passe Persona d'un utilisateur est volé, il peut être utilisé pour usurper son identité. Et il n'y a aucun moyen de contourner ce problème ». À cet égard, Persona n'est pas très différent des applications de gestion de mots de passe qui comptent sur un mot de passe principal pour tenir à l'abri toutes les identités d'un utilisateur. Cependant, Mozilla prévoit de mettre en oeuvre des mécanismes de protection supplémentaires pour résoudre ce problème. « Pour augmenter la protection, nous travaillons sur une authentification à deux facteurs dans les versions bêta à venir », a déclaré Ben Adida. L'authentification à deux facteurs repose à la fois sur le mot de passe utilisateur, et peut en plus vérifier le matériel depuis lequel il se conecte, un ordinateur ou un smartphone. Sans ces deux éléments, un attaquant ne peut pas accéder à son compte.

Mozilla a également mis en place un mécanisme de protection par session afin de limiter les risques qui peuvent survenir si l'ordinateur portable d'un utilisateur est volé alors qu'il est toujours connecté à persona.org ou si un utilisateur oublie de se déconnecter de persona.org après avoir utilisé un ordinateur public. « Les utilisateurs peuvent changer leur mot de passe depuis n'importe quel autre ordinateur, et toutes les sessions Persona existantes sont verrouillées et ne peuvent plus être utilisées pour authentifier l'utilisateur », a déclaré le chef du projet Persona. « Quand un utilisateur entre son mot de passe Persona sur un ordinateur qu'il n'a jamais utilisé auparavant, la séance initiale est limitée à 5 minutes. Pour prolonger la session, il devra retaper son mot de passe, et l'utilisateur est invité à dire si l'ordinateur depuis lequel il se connecte est public ou s'il s'agit de son propre matériel ».

Un appel aux développeurs

Persona a encore un long chemin à faire avant de devenir une alternative d'authentification pratique. Tout d'abord, Mozilla a besoin de convaincre les développeurs de sites web et les fournisseurs de services web importants d'adopter son système et de le proposer en option dans leurs sites. Afin de faciliter ce processus, Mozilla a lancé en août dernier une nouvelle API Persona plus facile à utiliser. « Si vous êtes développeur, il est temps de participer au projet Open Source Persona. Nous accueillons avec plaisir les contributions et les collaborations de l'ensemble de la communauté via notre liste de diffusion ou notre canal IRC », a déclaré l'équipe Identity de Mozilla dans un blog.