Article initialement prévu pour l’ebook « Cultivez votre identité numérique » , mais trop long
Petit billet sans prétention technique qui vise uniquement à vulgariser et clarifier les questions d’identification et authentification sur Internet. Certains puristes pourraient avoir les cheveux qui se dressent sur la tête à la lecture de ce qui va suivre : qu’ils né m’en tiennent pas rigueur, cet article né leur est pas destiné ;-)
Pourquoi s’identifier ?
Sur le web, je mèné des transactions très variées : j’achète et je vends sur des sites marchands, je consulte mes comptes bancaires, je télé déclare mon statut auprès de l’administration (impôts, pôle emploi). Au travail, je m’identifie pour ouvrir une session et avoir accès aux applications et aux bases de données. Le reste du temps, il faut encore que je m’identifie pour les mails, les forums, les commentaires et tous les services web que j’utilise (YouTube, Facebook, etc..).
De l’autre côté, j’ai parfois besoin d’avoir une garantie sur l’identité de mon interlocuteur : ce vendeur est-il un escroc, un marchand professionnel ? Qui est ce lecteur qui m’a laissé des commentaires ? Est-ce bien cet homme politique ou cette star de la chanson dont je suis en train de lire la page perso ? S’agit-il d’un fake (faux profil) ou d’un robot ?
Les risques
Préserver son identité, c’est se prémunir contre l’usurpation. Si quelqu’un dispose des informations nécessaires pour se connecter à vos outils, il peut avoir accès à votre boîte mail, votre compte en banque, il peut faire de fausses déclarations au fisc, insulter n’importe qui dans des forums ou sur des blogs, et tout ça en votre nom. Il peut vous dépouiller de votre identité, de vos finances et de votre réputation. La sécurisation de l’identification est donc vitale dans une société où de plus en plus d’interactions ou transactions se font par Internet.
Nous allons voir qu’il existe finalement plusieurs façons de se connecter à une application web, avec pour chacune des avantages et des inconvénients. Mais d’abord, un peu de définition…
- Identification : je dis qui je suis
- Authentification : je prouve être celui que je prétends
- Certification : un tiers prouve qui je prétends être
- Autorisation : si l’authentification ou la certification sont valides, je dispose des droits pour pénétrer le système et en exploiter les ressources
Commet s’identifier ?
La façon la plus fréquente de s’identifier sur un site web (authentification simple) est encore de saisir le couple identifiant /mot de passé. Le premier m’identifie, le second m’authentifie : je prouve être le propriétaire de l’identifiant. Je suis moi !
- Evitez les dates de naissance, surnom ou diminutifs ainsi que toute donnée personnelle pour construire vos mots de passé. Au contraire, choisissez un ensemble de lettres, caractères spéciaux et chiffres sans signification. Testez-le ici par exemple !
One password to rule them all
Ensuite la question est de savoir si ce couple sera le même sur tous les sites web auxquels on se connecte.
- Si vous avez la certitude que votre mot de passé est suffisamment complexe, pourquoi pas. Mais gardez à l’esprit que vous mettez tous vos œufs dans le même panier (dans le jargon, on dit “donner les clefs du château”). Il existe aujourd’hui des outils en ligne (passpack.com ou clipperz.com) et des logiciels (KeePass) qui vous aident à mémoriser vos mots de passé. Ils sont d’autant plus utiles si vous êtes nomade et que vous vous connectés depuis différents ordinateurs.
- Si ce sont des ordinateurs à accès public (plusieurs personnes peuvent l’utiliser : cybercafé, entreprise, réseau familial), n’oubliez pas d’effacer vos traces après votre session de navigation (pour que le petit dernier n’aille pas jouer en bourse à votre place, ou que votre collègue n’aille pas draguer vos copines sur MSN).
- Si vous utilisez un seul ordinateur, les navigateurs peuvent mémoriser tous vos mots de passé, avec l’aide d’extension par exemple (Sxipper). Ca n’évite pas de saisir à répétition les identifiants requis par chaque site web que vous visitez.
Aujourd’hui, beaucoup d’organismes (entreprises, associations) proposent ce qu’on appelle l’authentification unique. Avec un couple unique, et saisi qu’une seule fois (Single Sign-On, SSO), vous avez accès à tous services web, sans avoir à vous connecter sur chaque d’entre eux.
- Fédération d’ID centralisée et localisée : Microsoft utilise et installe CardSpace dans Windows Vista. Vous saisissez votre Windows Live ID (adresse mail + mot de passé). Celle-ci est ensuite conservée sur votre ordinateur. A chaque sollicitation de la part d’un service web, CardSpace crypte votre identifiant et vous ouvre les portes du service. Mais peu de sites web ont adopté CardSpace (eBay l’a même abandonné). En guise de réponse, Microsoft va lancer Geneva, qui reposera sur OpenID.
- Fédération d’ID décentralisée : OpenID. Il n’y a plus une entreprise seule qui vous authentifie (comme Microsoft) en lisant un fichier sur votre ordi, mais plusieurs qui partagent (plus ou moins) les informations que vous avez saisies sur leurs sites web.
- Vous utilisez un couple de connexion (identifiant/mot de passé) sur un fournisseur d’identité (OpenID provider : orange.fr, claimID, MyOpenID).
- Vous obtenez alors une URI, une adresse web (moi.openid.net).
- Après, chez un fournisseur de service, un site web reconnaissant OpenID, vous tapez comme identifiant cette URI.
- Vous êtes redirigé vers le fournisseur d’identité qui vous authentifie auprès du site web, le fournisseur de service.
- Vous pouvez désormais surfez librement.
- OpenID est de plus en plus reconnu par les grands acteurs du web d’aujourd’hui (IBM, Verisign, Google, Yahoo!, Microsoft, MySpace, Facebook, DailyMotion, etc..). Mais cette acceptation d’OpenID n’est pas suivie de contrepartie.Prenons un exemple avec Yahoo! (mais ça marche aussi avec les autres) :
- vous pouvez créer un compte Yahoo! qui vous servira d’OpenID chez d’autres fournisseurs de service (principalement ceux de la galaxie Y!), mais vous né serez pas autorisé à vous connecter avec une OpenID qui né provient pas de chez Yahoo!
- En échange, chaque grand acteur déploie sa plateforme d’authentification propriétaire, avec notamment le match entre Google Friend Connect et Facebook Connect (et MyBlogLog de Yahoo! en outsider). Ca veut dire que l’identité d’un commentateur est certifiée par Facebook, par exemple. Ca aide aussi à construire une communauté “certifiée” et plus dynamique. Mais ça reste très compliqué techniquement, et encore un peu jeune…
- Notez aussi qu’avec un peu de technique, et un serveur web, vous pouvez devenir votre propre fournisseur d’identité ! Et ça, ça élimine au moins plusieurs risques.
Les nouveaux risques
- La confiance dans le tiers qui certifie votre identité : ce n’est pas parce qu’une identité est certifiée par un organisme dont j’ignore tout que cette identité est réelle. Le fournisseur doit donc adopter des méthodes de certification de mon identité réelle (par Carte bleue comme MyID.is ou en face à face comme Certinomis). De plus, il faut s’interroger sur l’utilisation de données personnelles par une entreprise commerciale, et sur leur devenir en cas de faillite.
- Le phishing consiste à vous présenter la copie identique d’une page web à laquelle vous avez l’habitude de vous connecter. Quand vous saisissez vos identifiants, ils sont enregistrés dans la base de données pirate. Il n’y a plus qu’à les réutiliser sur le vrai site web pour avoir accès à votre compte en banque, etc..
- Des keyloggers (installés par des virus ou des chevaux de Troie) peuvent enregistrer vos identifiants au moment où vous les saisissez au clavier. Ils sont transmis ensuite au pirate qui s’en servira allègrement.
Il est donc nécessaire de déployer de nouvelles règles d’authentification, ce qu’on appelle l’authentification forte. Il s’agit en fait de rajouter un moyen de certifier l’identité.
- Ce que je sais: un mot de passé, la réponse à une question secrète; ou ce que je sais faire: lire un texte (captcha), une série de geste (ma signature), etc..
- Ce que je suis(biométrie): photo, fréquence de la voix, lecture de l’iris, empreinte digitale ou palmaire, ADN
- Ce que j’ai: une clé, un objet (un token) qui peut aussi me délivrer un mot de passé renouvelé toutes les heures, ou un mot de passé à usage unique One Time Password), une carte à puce (avec code PIN comme la carte bleue; Match on Card, qui dit oui un non sans envoyer d’autre information), un mobile sur lequel je reçois le mot en passé via SMS, etc..
C’est pourquoi, bientôt, peut-être, on se connectera avec des lecteurs de carte à puces, ou après s’être fait scanné les empreintes digitales. Une fois que nous serons authentifiés, le système nous laissera entrer sur le Web et nous pourrons surfer en toute liberté. Savoir si cette liberté sera effective, si ce scénario se réalisera ou si d’autres techniques d’usurpation apparaitront sont autant de questions intéressantes sur lesquelles il faudra débattre ailleurs ;-)
Dans le même genre :
- Olivier Iteanu
- (Vu sur le web)>23/11/2008 + 0 commentaires.
- L’avatar
- (Vu sur le web)>23/11/2008 + 2 commentaires.
- La présentation de soi, Erving Goffman
- (Vu sur le web)>14/06/2009 + 2 commentaires.
- MATTELART, Armand. La globalisation de la surveillance
- (Vu sur le web)>25/08/2009 + 3 commentaires.
- À la croisée des chemins
- (Vu sur le web)>03/12/2008 + 1 commentaires.
avril 16th, 2009 at 23:53
Merci pour ce billet. Effectivement l’authentification forte est un bon moyen pour sécuriser son identité numérique. Mais je crois que la route est longue avant que les internautes utilisent un moyen d’authentification forte pour se connecter sur FaceBook.
Mais je suis convaincu que l’authentification forte sera utilisée par monsieur tout le monde. Dans combien de temps ?
J’espère que OpenId est un outils qui aidera l’utilisation de l’authentification forte.
avril 17th, 2009 at 9:25
On commence à voir des portables avec lecteur d’empreinte digitale, des clés USB biométriques, des sites à accès OTP. Ca va se généraliser petit à petit.
Cela nécessite la convergence des constructeurs (c’est leur intérêt évidemment), des éditeurs de site (ça peut le devenir en fonction des services qu’ils proposent), de l’Etat (qui peut l’imposer pour certaines transactions : cf. cas de l’Estonie avec 1 openid par habitant sur la carte d’identité électronique).
avril 23rd, 2009 at 0:03
Oui, c’est juste. Tu es peut être plus optimiste que moi sur la généralisation de l’authentification forte pour les internautes.
Je pense que pour l’instant une infime minorité utilise un moyen d’authentification forte. Mais ça progresse. Peut être moins que 0.1%
Les technologies sont prêtes et utilisées depuis très longtemps pour les entreprises avec une forte maturité en termes de sécurité.
Je met en place depuis plus de 10 ans ces technologies. Mais cela reste pour les banques, les grandes industries, etc.
Soyons encore patient
juin 4th, 2009 at 23:16
[…] Cet article né se veut un article de spécialiste, mais plutôt de vulgarisation pour éclairer les néophites. L’article original : http://www.identites-numeriques.net […]