les identités numériques

Article ini­tia­le­ment prévu pour l’ebook « Cultivez votre iden­tité numé­rique » , mais trop long

Petit billet sans pré­ten­tion tech­nique qui vise uni­que­ment à vul­ga­ri­ser et cla­ri­fier les ques­tions d’iden­ti­fi­ca­tion et authen­ti­fi­ca­tion sur Internet. Certains puristes pour­raient avoir les che­veux qui se dressent sur la tête à la lec­ture de ce qui va suivre : qu’ils né m’en tiennent pas rigueur, cet article né leur est pas destiné ;-)

Pourquoi s’identifier ?

Sur le web, je mèné des tran­sac­tions très variées : j’achète et je vends sur des sites mar­chands, je consulte mes comptes ban­caires, je télé déclare mon sta­tut auprès de l’admi­nis­tra­tion (impôts, pôle emploi). Au tra­vail, je m’identifie pour ouvrir une ses­sion et avoir accès aux appli­ca­tions et aux bases de don­nées. Le reste du temps, il faut encore que je m’identifie pour les mails, les forums, les com­men­taires et tous les ser­vices web que j’utilise (YouTube, Facebook, etc..).

De l’autre côté, j’ai par­fois besoin d’avoir une garan­tie sur l’identité de mon inter­lo­cu­teur : ce ven­deur est-​il un escroc, un mar­chand pro­fes­sion­nel ? Qui est ce lec­teur qui m’a laissé des com­men­taires ? Est-​ce bien cet homme poli­tique ou cette star de la chan­son dont je suis en train de lire la page perso ? S’agit-il d’un fake (faux pro­fil) ou d’un robot ?

Les risques

Préser­ver son iden­tité, c’est se pré­mu­nir contre l’usurpation. Si quelqu’un dis­pose des infor­ma­tions néces­saires pour se connec­ter à vos outils, il peut avoir accès à votre boîte mail, votre compte en banque, il peut faire de fausses décla­ra­tions au fisc, insul­ter n’importe qui dans des forums ou sur des blogs, et tout ça en votre nom. Il peut vous dépouiller de votre iden­tité, de vos finances et de votre répu­ta­tion. La sécu­ri­sa­tion de l’iden­ti­fi­ca­tion est donc vitale dans une société où de plus en plus d’interactions ou tran­sac­tions se font par Internet.

Nous allons voir qu’il existe fina­le­ment plu­sieurs façons de se connec­ter à une appli­ca­tion web, avec pour cha­cune des avan­tages et des incon­vé­nients. Mais d’abord, un peu de définition…

• Identification : je dis qui je suis
• Authentification : je prouve être celui que je prétends
• Certification : un tiers prouve qui je pré­tends être
• Autorisation : si l’authen­ti­fi­ca­tion ou la cer­ti­fi­ca­tion sont valides, je dis­pose des droits pour péné­trer le sys­tème et en exploi­ter les ressources

Commet s’identifier ?

La façon la plus fré­quente de s’identifier sur un site web (authen­ti­fi­ca­tion simple) est encore de sai­sir le couple iden­ti­fiant /​mot de passé. Le pre­mier m’identifie, le second m’authentifie : je prouve être le pro­prié­taire de l’iden­ti­fiant. Je suis moi !

• Evitez les dates de nais­sance, sur­nom ou dimi­nu­tifs ainsi que toute don­née per­son­nelle pour construire vos mots de passé. Au contraire, choi­sis­sez un ensemble de lettres, carac­tères spé­ciaux et chiffres sans signi­fi­ca­tion. Testez-​le ici par exemple !

One pass­word to rule them all

Ensuite la ques­tion est de savoir si ce couple sera le même sur tous les sites web aux­quels on se connecte.

• Si vous avez la cer­ti­tude que votre mot de passé est suf­fi­sam­ment com­plexe, pour­quoi pas. Mais gar­dez à l’esprit que vous met­tez tous vos œufs dans le même panier (dans le jar­gon, on dit “don­ner les clefs du châ­teau”). Il existe aujourd’hui des outils en ligne (pass​pack​.com ou clip​perz​.com) et des logi­ciels (KeePass) qui vous aident à mémo­ri­ser vos mots de passé. Ils sont d’autant plus utiles si vous êtes nomade et que vous vous connec­tés depuis dif­fé­rents ordinateurs.
• Si ce sont des ordi­na­teurs à accès public (plu­sieurs per­sonnes peuvent l’utiliser : cyber­café, entre­prise, réseau fami­lial), n’oubliez pas d’effacer vos traces après votre ses­sion de navi­ga­tion (pour que le petit der­nier n’aille pas jouer en bourse à votre place, ou que votre col­lègue n’aille pas dra­guer vos copines sur MSN).
• Si vous uti­li­sez un seul ordi­na­teur, les navi­ga­teurs peuvent mémo­ri­ser tous vos mots de passé, avec l’aide d’exten­sion par exemple (Sxipper). Ca n’évite pas de sai­sir à répé­ti­tion les iden­ti­fiants requis par chaque site web que vous visitez.

Aujourd’hui, beau­coup d’organismes (entre­prises, asso­cia­tions) pro­posent ce qu’on appelle l’authen­ti­fi­ca­tion unique. Avec un couple unique, et saisi qu’une seule fois (Single Sign-​On, SSO), vous avez accès à tous ser­vices web, sans avoir à vous connec­ter sur chaque d’entre eux.

• Fédération d’ID cen­tra­li­sée et loca­li­sée : Microsoft uti­lise et ins­talle CardSpace dans Windows Vista. Vous sai­sis­sez votre Windows Live ID (adresse mail + mot de passé). Celle-​ci est ensuite conser­vée sur votre ordi­na­teur. A chaque sol­li­ci­ta­tion de la part d’un ser­vice web, CardSpace crypte votre iden­ti­fiant et vous ouvre les portes du ser­vice. Mais peu de sites web ont adopté CardSpace (eBay l’a même aban­donné). En guise de réponse, Microsoft va lan­cer Geneva, qui repo­sera sur OpenID.
• Fédération d’ID décen­tra­li­sée : OpenID. Il n’y a plus une entre­prise seule qui vous authen­ti­fie (comme Microsoft) en lisant un fichier sur votre ordi, mais plu­sieurs qui par­tagent (plus ou moins) les infor­ma­tions que vous avez sai­sies sur leurs sites web.
  • Vous uti­li­sez un couple de connexion (iden­ti­fiant/​mot de passé) sur un four­nis­seur d’identité (OpenID pro­vi­der : orange​.fr, clai­mID, MyOpenID).
  • Vous obte­nez alors une URI, une adresse web (moi.ope­nid.net).
  • Après, chez un four­nis­seur de ser­vice, un site web recon­nais­sant OpenID, vous tapez comme iden­ti­fiant cette URI.
  • Vous êtes redi­rigé vers le four­nis­seur d’identité qui vous authen­ti­fie auprès du site web, le four­nis­seur de service.
  • Vous pou­vez désor­mais sur­fez librement.

• OpenID est de plus en plus reconnu par les grands acteurs du web d’aujourd’hui (IBM, Verisign, Google, Yahoo!, Microsoft, MySpace, Facebook, DailyMotion, etc..). Mais cette accep­ta­tion d’OpenID n’est pas sui­vie de contrepartie.Prenons un exemple avec Yahoo! (mais ça marche aussi avec les autres) :
  • vous pou­vez créer un compte Yahoo! qui vous ser­vira d’OpenID chez d’autres four­nis­seurs de ser­vice (prin­ci­pa­le­ment ceux de la galaxie Y!), mais vous né serez pas auto­risé à vous connec­ter avec une OpenID qui né pro­vient pas de chez Yahoo!
  • En échange, chaque grand acteur déploie sa pla­te­forme d’authen­ti­fi­ca­tion pro­prié­taire, avec notam­ment le match entre Google Friend Connect et Facebook Connect (et MyBlogLog de Yahoo! en out­si­der). Ca veut dire que l’identité d’un com­men­ta­teur est cer­ti­fiée par Facebook, par exemple. Ca aide aussi à construire une com­mu­nauté “cer­ti­fiée” et plus dyna­mique. Mais ça reste très com­pli­qué tech­ni­que­ment, et encore un peu jeune…
  • Notez aussi qu’avec un peu de tech­nique, et un ser­veur web, vous pou­vez deve­nir votre propre four­nis­seur d’identité ! Et ça, ça élimine au moins plu­sieurs risques.

Les nou­veaux risques

• La confiance dans le tiers qui cer­ti­fie votre iden­tité : ce n’est pas parce qu’une iden­tité est cer­ti­fiée par un orga­nisme dont j’ignore tout que cette iden­tité est réelle. Le four­nis­seur doit donc adop­ter des méthodes de cer­ti­fi­ca­tion de mon iden­tité réelle (par Carte bleue comme MyID​.is ou en face à face comme Certinomis). De plus, il faut s’interroger sur l’utilisation de don­nées per­son­nelles par une entre­prise com­mer­ciale, et sur leur deve­nir en cas de faillite.
• Le phi­shing consiste à vous pré­sen­ter la copie iden­tique d’une page web à laquelle vous avez l’habitude de vous connec­ter. Quand vous sai­sis­sez vos iden­ti­fiants, ils sont enre­gis­trés dans la base de don­nées pirate. Il n’y a plus qu’à les réuti­li­ser sur le vrai site web pour avoir accès à votre compte en banque, etc..
• Des key­log­gers (ins­tal­lés par des virus ou des che­vaux de Troie) peuvent enre­gis­trer vos iden­ti­fiants au moment où vous les sai­sis­sez au cla­vier. Ils sont trans­mis ensuite au pirate qui s’en ser­vira allègrement.

Il est donc néces­saire de déployer de nou­velles règles d’authen­ti­fi­ca­tion, ce qu’on appelle l’authen­ti­fi­ca­tion forte. Il s’agit en fait de rajou­ter un moyen de cer­ti­fier l’identité.

• Ce que je sais: un mot de passé, la réponse à une ques­tion secrète; ou ce que je sais faire: lire un texte (capt­cha), une série de geste (ma signa­ture), etc..
• Ce que je suis(biométrie): photo, fré­quence de la voix, lec­ture de l’iris, empreinte digi­tale ou pal­maire, ADN
• Ce que j’ai: une clé, un objet (un token) qui peut aussi me déli­vrer un mot de passé renou­velé toutes les heures, ou un mot de passé à usage unique One Time Password), une carte à puce (avec code PIN comme la carte bleue; Match on Card, qui dit oui un non sans envoyer d’autre infor­ma­tion), un mobile sur lequel je reçois le mot en passé via SMS, etc..

C’est pour­quoi, bien­tôt, peut-​être, on se connec­tera avec des lec­teurs de carte à puces, ou après s’être fait scanné les empreintes digi­tales. Une fois que nous serons authen­ti­fiés, le sys­tème nous lais­sera entrer sur le Web et nous pour­rons sur­fer en toute liberté. Savoir si cette liberté sera effec­tive, si ce scé­na­rio se réa­li­sera ou si d’autres tech­niques d’usurpation appa­rai­tront sont autant de ques­tions inté­res­santes sur les­quelles il fau­dra débattre ailleurs ;-)

Dans le même genre :

Olivier Iteanu
(Vu sur le web)>23/​11/​2008 + 0 commentaires.
L’avatar
(Vu sur le web)>23/​11/​2008 + 2 commentaires.
La pré­sen­ta­tion de soi, Erving Goffman
(Vu sur le web)>14/​06/​2009 + 2 commentaires.
MATTELART, Armand. La glo­ba­li­sa­tion de la surveillance
(Vu sur le web)>25/​08/​2009 + 3 commentaires.
À la croi­sée des chemins
(Vu sur le web)>03/​12/​2008 + 1 commentaires.