OpenID en quête d'identité
par mail
l'article
Les faits
Le 7 février dernier, Microsoft, IBM, Google, Yahoo et Verisign rejoignaient le conseil d'administration d'OpenID. Une annonce d'importance pour une technologie issue du monde libre encore peu connue.
L'analyse
On ne compte plus aujourd'hui le nombre de login et de mots de passe indispensables pour pouvoir se connecter à chacun de nos sites favoris. Adresses électroniques, sites marchands, banque, assurance… Il faut à chacune de ces connexions s'identifier après avoir, la première fois, renseigner toute une série de champs. Une tâche fastidieuse que l'on rêve d'éradiquer. C'est ce qu'OpenID propose. Avec un concept assez simple : il suffit de créer un compte chez un hébergeur comme Open-ID France. On y saisira les informations personnelles – nom, prénom, date de naissance, et adresse e-mail. L'hébergeur délivre alors un identifiant agréé qui sert à se faire connaître auprès des sites compatibles avec ladite technologie.
Le choix de la simplicité
La solution est très facile à mettre en œuvre. “ Trouver les bonnes bibliothèques et faire les tests m'a pris à peine une demi-journée ”, confie Gilles Becavin, directeur informatique de Netassur.fr. Pour Guillaume Plouin, responsable de la veille IT chez SQLI, c'est une des clés de son succès : “ OpenID est à la fédération d'identité, ce qu'a pu être Rest aux services web : le choix de la solution la plus simple. ” OpenID repose sur le protocole SAML (Security Assertion Markup Language) du consortium Liberty Alliance. Séduisante dans sa conception, cette solution avait jusque-là remporté un faible succès car jugée trop complexe à implémenter. Vient ensuite la question cruciale de la légitimité. Microsoft Passport, qui partait de la même idée, n'avait pas convaincu : “ Nous avons compris trop tard qu'un utilisateur pouvait à raison trouver gênant qu'un gros acteur tel que nous soit au milieu d'une transaction avec sa banque ”, reconnaît Bernard Ourghanlian, responsable gamme produits sécurité chez Microsoft.
Authentificateur en chef
C'est de là que naît le paradoxe d'OpenID : on retrouve derrière cette offre des acteurs comme Google, Yahoo, Orange, sans vraiment savoir qui fait quoi. Les quatre grands noms de la messagerie internet proposent d'héberger un compte OpenID, mais sont par essence prestataire d'un service nécessitant une authentification. On imagine donc que grâce à Open ID, il est possible de se connecter à sa messagerie Hotmail en utilisant un compte créé sur Yahoo. Mais non ! OpenID est passé entre les mains de ceux qui veulent s'approprier le rôle “ d'authentificateur en chef ” et posséder ainsi une immense base de données utilisateurs. D'un point de vue déontologique, voire juridique, les conditions d'utilisations de ce compte sont trop fragiles. Les hébergeurs s'engagent à ne pas utiliser les logs, mais rien ne prouve que cela sera bien le cas. Surtout qu'aucun contexte légal ne peut s'y opposer pour l'instant.
Microsoft joue les trouble-fête
C'est sur cette vague d'incertitudes que Microsoft vient surfer avec sa solution Cardspace. Bien que fonctionnant différemment, l'objectif est toujours le même : simplifier les tâches d'identification sur internet. La solution ne s'articule pas autour d'un tiers de confiance, mais s'appuie sur un porte-cartes installé en local chez l'utilisateur réunissant tous ses identifiants. “ C'est la solution la plus sécurisée et, surtout, qui respecte le plus la notion de confidentialité ”, estime Frédéric Chouvat, directeur technique chez CDiscount. Le site marchand propose depuis peu à ses clients la possibilité d'utiliser Card-space pour se connecter sur son site ou pour créer un compte client. Mais Card-space ne tourne que sur IE 7 et ne concerne que les utilisateurs de Vista… Microsoft n'est pas le seul à œuvrer dans ce sens. Higgins, projet open source de la fondation Eclipse qui propose une solution à base de i-Card, a été rejoint par Oracle, Novell, IBM et… Google. La vraie question se pose quant à la légitimité d'un acteur commercial à faire office de préfet délivrant des papiers et des visas de circulation. L'identité internet cherche un support, mais aussi son mandataire.
Deux méthodes pour un même objectif
Dans le cas d'une connexion via le tiers de confiance, l'utilisateur se connecte sur le site cible qui le réoriente chez l'hébergeur OpenID qui prend en charge la phase d'identification. Cette opération peut être réalisée depuis n'importe quel poste. Dans le cas du porte-cartes, l'utilisateur pourra transporter ses identifiants sur une clé USB.
2 questions à… : Snorri Giorgetti, fondateur président de OpenID Europe
Que penser de l'arrivée des gros acteurs d'Internet dans OpenID ?
“ Depuis l'échec de Passport, il était nécessaire de mettre à disposition une solution pour jouer le rôle de fédérateur. L'arrivée au conseil d'administration des Microsoft et autres Yahoo va renforcer la crédibilité de la solution. ”
Peut-il y avoir des effets secondaires ?
“ La structure OpenID Europe a, comme Mozilla, une structure juridique indépendante. Nous sommes détachés des Etats-Unis. Beaucoup en Europe demandaient à ce que les comptes ne soient pas hébergés aux USA. Concernant les éventuelles dérives, la communauté a une charte de bonne conduite qui incite à l'intéropérabilité et surtout à la non-utilisation commerciale d'éventuelles logs de connexions. Mais, bien sûr, cela repose pour l'instant uniquement sur la confiance. Le code est ouvert donc modifiable à souhait, il nous est impossible d'interdire à un hébergeur de verrouiller la notion d'interopérabilité. Je reconnais avoir reçu un certain nombre de requêtes pour utiliser OpenID à titre exclusif, c'est-à-dire en supprimant cette interopérabilité. ”
