Le paysage de l’identité numérique sur internet

Un des problèmes d’internet aujourd’hui est qu’il n’y a pas d’identité entend-on.

Au-delà de l’introduction de communicant, certains éléments viennent étayer cette affirmation :

  • Les incessantes inscriptions demandées par chaque site, chacun ayant son propre système d’identité.
  • L’absence de mécanisme d’identité dans les protocoles d’internet (html, http, CSS,…)
  • Les difficultés de mutualisation et de portabilité de l’identité dans les réseaux sociaux.

L’identité (universelle), dont internet s’est si longtemps passé, aurait donc une utilité.

 

A quoi sert l’identité ?

D’abord il n’y a pas une identité mais plutôt trois niveaux d’identité :

  • L’authentification qui identifie un utilisateur unique particulier (le « visiteur unique » tracké par les sites web)
  • L’identification qui fait correspondre à ce visiteur unique des informations certifiées ( « credentials ») qui diffèrent en fonction du service considéré (un service de santé fera correspondre le numéro de sécurité sociale et une banque le numéro de compte bancaire) et le caractérisent de manière unique.
  • Le profil qui rassemble un ensemble d’éléments d’information (description, préférences, comportement,…) rattachées à un individu particulier. 

L’authentification sert essentiellement aux sites web afin :

  • De réaliser le suivi d’audience,
  • De constituer des historiques des visites et comportement des utilisateurs à des fins d’analyse et d’optimisation marketing
  • De conserver des informations réutilisables sur l’internaute (par exemple dernière page vue ou thématiques explorées dans le site)

Des mécanismes tels que les cookies ou le suivi des adresses IP ou des combinaisons de plusieurs de ces mécanismes remplissent ce rôle. Cela permet de reconnaître l’utilisateur sans le solliciter activement pour s’identifier. Les sites à caractères érotiques (où il est rare que l’on laisse son identité) mettent ainsi en œuvre des fonctions de personnalisation avancées sans identification.

 

L’identification est à la base de la capacité à réaliser des transactions sur internet qui mettent en oeuvre des notions de responsabilité, de cohérence des données, et de criticité des implications (eCommerce, transactions financières, accès à des informations personnelles ou confidentielles,…).

L’identification possède une double face :

  • Pour le service tiers : avoir la certitude que l’utilisateur réalisant des transactions est bien celui qu’il affirme être .
  • Pour l’utilisateur final : avoir la certitude que son identité n’est pas utilisée à son insu que cela soit dans un service qu’il utilise ou bien dans un service dont il n’a pas connaissance.

L’importance de cette dernière problématique apparaît bien avec les sites sociaux, où l’identité est peu contrôlée (voir les nombreux « Nicolas Sarkozy » ou « Ségolène Royal » qui les peuplent) et où les échanges commencent à devenir sensibles et porteur d’enjeux (recrutement, mise en relation d’affaires, échanges d’informations professionnelles,…). Le projet Todeka de Charles Nouÿrit adresse par exemple ce besoin éprouvé notamment par les blogueurs.

 

Le profil est lié à l’ensemble des éléments explicite et implicite qui sont collectés, stockés et rendus exploitables sur internet (qui sont déjà importants et ne feront que croître). Cette problématique est certe liée à l’identité mais elle va au-delà avec d’autres notions comme le contrôle de la confidentialité, le droit d’accès et de rectification, la maîtrise de la diffusion / propagation des éléments de profil. Le sujet nécessite une analyse à part et fera l’objet d’un prochain billet.

 

Qui sont les acteurs du domaine de l’identité ?

Aujourd’hui, la plupart des sites ont des systèmes d’identité avec login ou pseudo et mot de passe. Cette multiplication des systèmes d’identité n’est pas viable à terme car elle génère un grand nombre de problèmes à commencer par la « confusion des mots de passe » des utilisateurs (tous les sites n’acceptant pas les mêmes règles pour la création des logins / mots de passe).

Se démarquent néanmoins dans ce paysage :

  • Les systèmes d’identité propriétaires et centralisés des grands services internet
  • Les systèmes d’identité fédérés.

Les systèmes d’identité propriétaires et centralisés des grands services internet se comparent avant tout en terme de base utilisateurs qui fonde leur potentiel d’utilité. Microsoft/MSN et Yahoo font la course en tête sur ce point du fait du nombre de membres de leurs services de mails et de messagerie instantanée (Live Hotmail et Live Messenger et Yahoo!Mail et Yahoo!Messenger respectivement). Ces identités permettent ensuite d’accéder avec un login unique à l’ensemble des sites et services de leurs galaxies respectives notamment les services de partages sociaux (photos, blogs,…) comme Live Spaces pour Microsoft et Flickr et Yahoo! 360° pour Yahoo.

AOL, Google et les grands opérateurs telecom comme Orange viennent à la suite en terme de base clients et ont développé de semblables systèmes d’identité à leurs échelles respectives.

La plupart ont ouvert des API sur leur système d’identité pour des services tiers (Microsoft Live ID, Yahoo BBAuth, Google AuthSub, AOL OpenAuth). D’autres services (parfois appartenant aux galaxies de services précédemment décrites) ont aussi ouverts des API d’identité pour s’inscrire dans la dynamique de création d’applications composites (mashup) : Facebook, Flikr, Amazon,…

Tout cela ressemble beaucoup avec ce qu’avait introduit de manière précurseur Microsoft avec……Passport ! La centralisation auprès d’un fournisseur dominant et le manque de customisation avaient limité l’extension de Passport à l’époque. Mêmes causes, mêmes effets, il n’existe pas, à ce jour, d’utilisation des ces systèmes d’identité dans des services de masse indépendants. L’outsourcing d’identité reste limité, pour le moment, au halo des services composites (mashups) entourant les grands fournisseurs de services sur internet (qui se présentent maintenant tous comme des « plateformes »).

Les systèmes d’identité fédérés ont été développés pour surmonter les limitations de ces systèmes centralisés. Dans un système d’identité fédéré, l’utilisateur fait appel à un fournisseur d’identité indépendant du service auquel il s’adresse sur internet. En fonction des besoins d’identification du site, l’utilisateur présente l’identité d’un fournisseur d’identité et le site fait appel (relaie la demande) vers le fournisseur d’identité qui lui fournit les informations d’identité nécessaires avec le niveau de certification qui est le sien.

Le sujet devient rapidement complexe et différentes termes et niveaux doivent ensuite être distinguées dans le domaine de la fédération d’identité :

  • WS Federation, SAML (Security Assertion Markup Language) : normes techniques d’échange de données d’identité
  • Liberty Alliance : spécifications normatives complètes d’un système de fédération d’identité mais dont les implémentations sont limitées et qui ne s’est pas diffusé (hors opérateurs telecom)
  • Open ID : spécifications normatives d’un système de fédération d’identité dont la simplicité d’implémentation a permis une (relative) large diffusion.
  • Cardspace : implémentation d’un mécanisme de gestion et de contrôle de l’identité dans un système d’identité fédéré par une application présente sur l’équipement de l’utilisateur (sélecteur d’identité et « cartes d’identité » numériques) développé par Microsoft et dont l’ensemble des normes sont publiées. Cette technologie n’a rien à voir avec Passport. Elle découle justement des réflexions sur les notions de l’identité numérique conduites par Kim Kameron à la suite de « l’échec » de Passport comme système d’identité universel sur internet.

Ces différentes notions ne sont pas incompatibles les unes des autres et peuvent être combinées. Cardspace par exemple peut être employé en complément d’Open ID pour couvrir des scénarios non assurés par ce dernier.

 

Quels sont les bénéfices de chacun des systèmes respectivement pour l’utilisateur final et pour les sites et services tiers ?

 

Systèmes d’identité propriétaires et centralisés des grands services internet (Live ID, Yahoo, Orange,…)

Bénéfices utilisateur final :

  • Identification unique sur l’ensemble des sites liés,
  • Identification automatique (cookie ou lancement automatique du client pc/mobile local par exemple avec Messenger),
  • Intégration transversale des services (messagerie instantané sur un blog par exemple).

Bénéfice service tiers :

  • A ce jour il n’existe pas de délégation de l’identité dans des services de masse à l’exception de relation de partenariat étroite (et donc non généralisable) comme par exemple entre Orange et Microsoft avec Orange Windows Live Messenger.
  • Permet d’identifier des clients externes aux services tiers déjà identifié par les grands services internet

 

OpenID

Bénéfice utilisateur final :

  • Un seul identifiant pour l’ensemble des sites visités
  • Réutilisation des informations d’identité véhiculées (« credentials »)

Bénéfice service tiers :

  • Facilite la souscription (réutilisation de l’identifiant et des information de profil)
  • Permet d’utiliser plus largement l’identification dans le service (car facile à mettre en œuvre et plus fiable que le cookie)
  • Garantie de continuité du profil utilisateur (marketing, historique comportement)
    • Continuité du profil si le cookie est effacé ou en cas de multi-équipement
    • Non recréation et multiplication des comptes pour un même utilisateur
  • Facilité d’implémentation et intégration avec des solutions tierces d’identité

 

Cardspace

L’ensemble des bénéfices d’OpenID est capitalisé par Cardspace (Cardspace est interopérable avec OpenID).

Benefice utilisateur final :

  • Selecteur d’identité :
    • Compréhension visuelle du mécanisme d’identité
    • Choix d’une identité (par exemple nominale, anonymisée ou certifiée par un tiers)
    • Maîtrise du processus de création ou de délivrance de l’identité (carte numérique crée en propre ou délivrée par un tiers, fournisseur d’identité numérique)
  • Mecanisme de sécurité (token, certificat)
    • Protection anti-piratage / vol identité (phishing dont le risque fort est reproché à Open ID)
    • Garantie de la non usurpation de l’identité : sites sociaux, communautés, réseaux sociaux

Bénéfices service tiers

  • Garantie forte de l’identité de l’utilisateur (mécanisme de vérification) : e-Commerce, transactions financières
  • Garantie et confidentialité des informations de profil mises à disposition : « carte managée » : e-Commerce, transactions financières, santé,…
  • Accessible / déployable sur l’ensemble des clients (Windows Vista, XP,Mac, Firefox et téléphone mobile mais aussi carte USB, carte à puce,…)
  • Facilité d’implémentation et intégration avec des solutions tierces d’identité