les identités numériques

Bon, OK, j’ai trois mois de retard. En fait, j’attendais bêtement un certain document pour écrire ce billet : le document étant en retard, le billet s’est vu décalé petit à petit.

Qu’est-ce qui a causé ce retard ? Ma carte d’étudiant : auparavant, je n’étais pas officiellement inscrit en thèse de doctorat, même si j’avais commencé à travailler en ce sens avec ma directrice de thèse, Fabienne Martin-Juchat. Donc maintenant, je suis membre du GRESEC, avec tout ce que ça implique : la filiation à un courant de recherche (l’usage prime sur le déterminisme), la collaboration avec une équipe, une rigueur de travail, et l’accès aux ressources et événements (centre de doc, bureau, connection, séminaires, réseaux).

Je suis d’ailleurs convoqué à une journée doctorale sous peu, avec comme objectif de présenter l’avancée de mes travaux. Je remets donc ici le bilan commandé.

Sujet : pratiques, usages et enjeux sociopolitiques de l’identité numérique.

Résumé

• « L’identité numérique » est un terme issu de la vulgate, à définir au regard des SIC.
• Il s’agit plus précisément d’étudier le traitement de l’identité et des données personnelles par les dispositifs électroniques et numériques (vidéo surveillance, biométrie, géolocalisation, inscription dans des bases de données mais aussi traces et présences sur le web, stratégies de contenus et de réseaux, distinguer en quoi l’identité est définie par l’individu ou la technique)
• Quels sont les enjeux sociopolitiques de la technicisation – ou numérisation – de l’identité ?
• Il faut alors prendre en considération les logiques de tous les acteurs : État (logique de registre + prétexte sécuritaire, rationnalisation / standardisation des données personnelles), constructeurs et fournisseurs (logique de marché, stratégie de diffusion/adoption des innovations, action de lobbying, cf. GIXEL), internautes et citoyens (logique autobiographique, stratégie de faces, de présence, pression sociale), associations de surveillance et de préservation des libertés fondamentales (CNIL, LDH).
• Ainsi, plusieurs modèles de société semblent apparaitre : système de contrôle social et de surveillance globale, société panoptique (BENTHAM ; cf. BigBrother), marchandisation des données personnelles, hyper-narcissisme et marketing de soi (personal branding ; évaluation et publication de la réputation) contre néo-luddisme ou culture de hackers (évitement), anonymat, P2P, philosophie du libre (STALMAN, LESSIG), culture informationnelle (sociabilité numérique ; BOYD, DONATH, TURKLE), management des organisations (participatif/collaboratif, adhocratie de Mintzberg), constitution d’un habeas corpus du numérique, etc..

Ancrage théorique

• Goffman et sémiopragmatique, microsociologie
• sociologie des usages (MIEGE, JOUET, PERRIAULT, PROULX)
• privacy studies (MERZEAU, CARDON en France) ou surveillance studies (MATTELART)
• fondamentaux des SIC : WIENER et la cybernétique, WATZLAWICK, BOURDIEU, performatif d’AUSTIN, médiologie, HABERMAS, McLUHAN, constructivisme, systémique, WOLTON, BRETON, CASTELLS
• apports extérieurs (LIPOVETSKY, LEVY, FOUCAULT)

Avancement

• recherche de financement (éligible CIFRE : recherche en cours = OrangeLabs, FING, Yahoo, Digimind + conférences). Le projet d’une thèse financée en donationware n’a pas fonctionné !
• lectures, veille, carnet de recherche en ligne.
• réseautage, prise de contacts avec les acteurs .

Difficultés

• Activité professionnelle parallèle (enseignement technique supérieur)
• 10 ans loin des SIC, bagage théorique et terminologie à se réapproprier
• Domaines d’application et champs théoriques très vastes : besoin d’élaguer le sujet/terrain (jeux vidéo, communautés en ligne, réseaux sociaux, usages des données personnelles chez les adolescents, les salariés d’entreprise, usages du mobile associé à la géolocalisation, zones de vidéosurveillance, etc..) = observation +/- participante, ethnométhodologie, analyse sémantique
• méthodologie/terrain : prématuré, pas de visibilité sur le financement, ni sur la réduction du sujet.

Dans l’immédiat

• Lecture de Goffman, Surveiller et punir de Foucault, La globalisation de la surveillance de Mattelart.
• Liste des dispositifs électroniques et numériques
• = billets à venir (mode brouillon pour l’instant)

En dehors de la thèse

• participation à l’ebook « Cultivez votre identité numérique »
• participation au Barcamp eReputation,
• participation au forum Réinventer la démocratie : Internet, nouvel espace démocratique ?

A propos du site

• 185 articles pour 154 commentaires
• près de 11500 visiteurs en 9 mois
• 1 ‘communauté’ qui s’accroit, online ou offline : MyBlogLog, Identi.ca et Twitter, Diigo

Article initialement prévu pour l’ebook « Cultivez votre identité numérique », mais trop long

Petit billet sans prétention technique qui vise uniquement à vulgariser et clarifier les questions d’identification et authentification sur Internet. Certains puristes pourraient avoir les cheveux qui se dressent sur la  tête à la lecture de ce qui va suivre : qu’ils ne m’en tiennent pas rigueur, cet article ne leur est pas destiné ;-)

Pourquoi s’identifier ?

Sur le web, je mène des transactions très variées : j’achète et je vends sur des sites marchands, je consulte mes comptes bancaires, je télé déclare mon statut auprès de l’administration (impôts, pôle emploi). Au travail, je m’identifie pour ouvrir une session et avoir accès aux applications et aux bases de données. Le reste du temps, il faut encore que je m’identifie pour les mails, les forums, les commentaires et tous les services web que j’utilise (YouTube, Facebook, etc..).

De l’autre côté, j’ai parfois besoin d’avoir une garantie sur l’identité de mon interlocuteur : ce vendeur est-il un escroc, un marchand professionnel ? Qui est ce lecteur qui m’a laissé des commentaires ? Est-ce bien cet homme politique ou cette star de la chanson dont je suis en train de lire la page perso ? S’agit-il d’un fake (faux profil) ou d’un robot ?

Les risques

Préserver son identité, c’est se prémunir contre l’usurpation. Si quelqu’un dispose des informations nécessaires pour se connecter à vos outils, il peut avoir accès à votre boite mail, votre compte en banque, il peut faire de fausses déclarations au fisc, insulter n’importe qui dans des forums ou sur des blogs, et tout ça en votre nom. Il peut vous dépouiller de votre identité, de vos finances et de votre réputation. La sécurisation de l’identification est donc vitale dans une société où de plus en plus d’interactions ou transactions se font par Internet.

Nous allons voir qu’il existe finalement plusieurs façons de se connecter à une application web, avec pour chacune des avantages et des inconvénients. Mais d’abord, un peu de définition…

• Identification : je dis qui je suis
• Authentification : je prouve être celui que je prétends
• Certification : un tiers prouve qui je prétends être
• Autorisation : si l’authentification ou la certification sont valides, je dispose des droits pour pénétrer le système et en exploiter les ressources

Commet s’identifier ?

La façon la plus fréquente de s’identifier sur un site web (authentification simple) est encore de saisir le couple identifiant / mot de passe. Le premier m’identifie, le second m’authentifie : je prouve être le propriétaire de l’identifiant. Je suis moi !

• Evitez les dates de naissance, surnom ou diminutifs ainsi que toute donnée personnelle pour construire vos mots de passe. Au contraire, choisissez un ensemble de lettres, caractères spéciaux et chiffres sans signification. Testez-le ici par exemple !

One password to rule them all

Ensuite la question est de savoir si ce couple sera le même sur tous les sites web auxquels on se connecte.

• Si vous avez la certitude que votre mot de passe est suffisamment complexe, pourquoi pas. Mais gardez à l’esprit que vous mettez tous vos œufs dans le même panier (dans le jargon, on dit ‘donner les clefs du château’). Il existe aujourd’hui des outils en ligne (passpack.com ou clipperz.com) et des logiciels (KeePass) qui vous aident à mémoriser vos mots de passe. Ils sont d’autant plus utiles si vous êtes nomade et que vous vous connectés depuis différents ordinateurs.
• Si ce sont des ordinateurs à accès public (plusieurs personnes peuvent l’utiliser : cybercafé, entreprise, réseau familial), n’oubliez pas d’effacer vos  traces après votre session de navigation (pour que le petit dernier n’aille pas jouer en bourse à votre place, ou que votre collègue n’aille pas draguer vos copines sur MSN).
• Si vous utilisez un seul ordinateur, les navigateurs peuvent mémoriser tous vos mots de passe, avec l’aide d’extension par exemple (Sxipper). Ca n’évite pas de saisir à répétition les identifiants requis par chaque site web que vous visitez.

Aujourd’hui, beaucoup d’organismes (entreprises, associations) proposent ce qu’on appelle l’authentification unique. Avec un couple unique, et saisi qu’une seule fois (Single Sign-On, SSO), vous avez accès à tous services web, sans avoir à vous connecter sur chaque d’entre eux.

• Fédération d’ID centralisée et localisée : Microsoft utilise et installe CardSpace dans Windows Vista. Vous saisissez votre Windows Live ID (adresse mail + mot de passe). Celle-ci est ensuite conservée sur votre ordinateur. A chaque sollicitation de la part d’un service web, CardSpace crypte votre identifiant et vous ouvre les portes du service. Mais peu de sites web ont adopté CardSpace (eBay l’a même abandonné). En guise de réponse, Microsoft va lancer Geneva, qui reposera sur OpenID.
• Fédération d’ID décentralisée : OpenID. Il n’y a plus une entreprise seule qui vous authentifie (comme Microsoft) en lisant un fichier sur votre ordi, mais plusieurs qui partagent (plus ou moins) les informations que vous avez saisies sur leurs sites web.
  • Vous utilisez un couple de connexion (identifiant/mot de passe) sur un fournisseur d’identité (OpenID provider : orange.fr, claimID, MyOpenID).
  • Vous obtenez alors une URI, une adresse web (moi.openid.net).
  • Après, chez un fournisseur de service, un site web reconnaissant OpenID, vous tapez comme identifiant cette URI.
  • Vous êtes redirigé vers le fournisseur d’identité qui vous authentifie auprès du site web, le fournisseur de service.
  • Vous pouvez désormais surfez librement.

• OpenID est de plus en plus reconnu par les grands acteurs du web d’aujourd’hui (IBM, Verisign, Google, Yahoo!, Microsoft, MySpace, Facebook, DailyMotion, etc..). Mais cette acceptation d’OpenID n’est pas suivie de contrepartie.Prenons un exemple avec Yahoo! (mais ça marche aussi avec les autres) :
  • vous pouvez créer un compte Yahoo! qui vous servira d’OpenID chez d’autres fournisseurs de service (principalement ceux de la galaxie Y!), mais vous ne serez pas autorisé à vous connecter avec une OpenID qui ne provient pas de chez Yahoo!
  • En échange, chaque grand acteur déploie sa plateforme d’authentification propriétaire, avec notamment le match entre Google Friend Connect et Facebook Connect (et MyBlogLog de Yahoo! en outsider). Ca veut dire que l’identité d’un commentateur est certifiée par Facebook, par exemple. Ca aide aussi à construire une communauté ‘certifiée’ et plus dynamique. Mais ça reste très compliqué techniquement, et encore un peu jeune…
  • Notez aussi qu’avec un peu de technique, et un serveur web, vous pouvez devenir votre propre fournisseur d’identité ! Et ça, ça élimine au moins plusieurs risques.

Les nouveaux risques

• La confiance dans le tiers qui certifie votre identité : ce n’est pas parce qu’une identité est certifiée par un organisme dont j’ignore tout que cette identité est réelle. Le fournisseur doit donc adopter des méthodes de certification de mon identité réelle (par Carte bleue comme MyID.is ou en face à face comme Certinomis). De plus, il faut s’interroger sur l’utilisation de données personnelles par une entreprise commerciale, et sur leur devenir en cas de faillite.
• Le phishing consiste à vous présenter la copie identique d’une page web à laquelle vous avez l’habitude de vous connecter. Quand vous saisissez vos identifiants, ils sont enregistrés dans la base de données pirate. Il n’y a plus qu’à les réutiliser sur le vrai site web pour avoir accès à votre compte en banque, etc..
• Des keyloggers (installés par des virus ou des chevaux de Troie) peuvent enregistrer vos identifiants au moment où vous les saisissez au clavier. Ils sont transmis ensuite au pirate qui s’en servira allègrement.

Il est donc nécessaire de déployer de nouvelles règles d’authentification, ce qu’on appelle l’authentification forte. Il s’agit en fait de rajouter un moyen de certifier l’identité.

• Ce que je sais: un mot de passe, la réponse à une question secrète; ou ce que je sais faire: lire un texte (captcha), une série de geste (ma signature), etc..
• Ce que je suis(biométrie): photo, fréquence de la voix, lecture de l’iris, empreinte digitale ou palmaire, ADN
• Ce que j’ai: une clé, un objet (un token) qui peut aussi me délivrer un mot de passe renouvelé toutes les heures, ou un mot de passe à usage unique One Time Password), une carte à puce (avec code PIN comme la carte bleue; Match on Card, qui dit oui un non sans envoyer d’autre information), un mobile sur lequel je reçois le mot en passe via SMS, etc..

C’est pourquoi, bientôt, peut-être, on se connectera avec des lecteurs de carte à puces, ou après s’être fait scanné les empreintes digitales. Une fois que nous serons authentifiés, le système nous laissera entrer sur le Web et nous pourrons surfer en toute liberté. Savoir si cette liberté sera effective, si ce scénario se réalisera ou si d’autres techniques d’usurpation apparaitront sont autant de questions intéressantes sur lesquelles il faudra débattre ailleurs ;-)

Message rédigé dans le train de retour.
J’ai participé hier au barcamp eReputation, qui se déroulait à la Cantine sous les bons offices de Nicolas Bermond, Christophe Ducamp, Jean Mariotte et Emilie Ogez.

• D’abord, je signale l’excellente organisation, le très bon état d’esprit et les excellents petits plats qui nous ont accompagné toute cette journée.
• Ensuite, liste largement non exhaustive des participants.

• Fadhila Brahimi, avec qui j’ai eu l’occasion d’échanger pendant l’after
• Charles Nouyrit, de MyID.is, qui a initié et démarré l’atelier « Enjeux de la certification numérique »
• Jacques Froissant d’Altaïde
• Maureen Dumans d’Identinet et Camille de CaddE-reputation, tout deux en master Intelligence économique
• Les Geemiks de l’ESC Lille, instigatrices de YouOnTheWeb, qu’elles ont synthétisé dans un atelier « Retour d’expérience », animé par Isabelle Brisset, Claire Leblond et France du Prey.
• Les étudiants et lauréats de YouOnTheWeb, dont Jérémy Viault et Jérémie Juraver
  
• Marc Tirel, apôtre des opencurrency ainsi que Glenn Roland
• Noël Cambessédès, des Comptoirs du Multimédia, excellent animateur du dernier atelier sur les « Nouveaux comportements, identité numérique et libertés individuelles »
• Thibault Brousse
• Ludovic Simon, fondateur de DoYouBuzz
• Sandrine Joseph, qui souffre (comme moi) d’une homonymie et d’un prénom comme nom.
• Lionel Kaplan, qui a initié uune table ronde autour des moteurs de recherche de personne.
• Et certainement encore plein d’autres qui ont participés aux tables rondes

Bref, ensemble, nous avons un peu refait le monde de demain, autour de la question de l’avenir de l’identité dans une société numérique. Dingue comme ça ressemble à mon sujet de thèse !
Une petite synthèse ici des grands axes abordés, et maintenant celle des ateliers auxquels j’ai participé :

1. éthique des acteurs du numérique
2. nouvel apprentissage
3. nouveaux comportements
4. open currency

Éthique des acteurs du numérique

Face au Google Masterplan, à son crédo « Don’t be evil » ; face à l’incurie des contrôleurs financiers mondiaux ; face au lobbyisme que dénoncent les BigBrothers Awards, qui avaient lieu le soir même, il est nécessaire que les entreprises adoptent une éthique.
La question a notamment été soulevée autour de la certification numérique et des tiers de confiance. Pour savoir avec qui je discute sur Internet (Fadhila en sait quelque chose), l’identité de l’internaute a besoin d’être certifiée. Par un tiers : l’État, les banques (qui disposent de cette certitude car elles connaissent de visu leurs clients) ou une entreprise comme MyID.is. Or, le problème est de savoir si l’on peut avoir confiance en ce tiers.
Le proverbe « Qui gardera les gardiens ? » s’applique tout autant à la finance mondiale qu’à ces tiers de confiance.

Nouvel apprentissage

Les Geemiks sont partis d’un constat qui démystifie la génération Y. Elle n’est pas si connectée que cela, ou au mieux elle n’a qu’un usage très ludique des applications web typée 2.0 (Youtube, Facebook). Ce que je confirme au vu du comportement de mes propres étudiants. Il est donc nécessaire de faire mûrir les usagers de ces outils, notamment dans une approche professionnalisante.
On retrouve l’idée des nouveaux formats de CV, ou ePortfolio (portefeuille de compétences). Mais aussi la nécessité de faire comprendre d’abord aux candidats le potentiel attractif de leur parcours et leurs expériences, quel qu’elles soient, sans à priori de ce que les recruteurs pourraient attendre, et donc l’effacement d’une forme d’autocensure au profit d’une correspondance entre leur personnalité (avec toutes ses composantes) et leur profil affiché. Les Geemiks revendiquent le droit à l’erreur (sortie de boîte un peu bourré), les profils non lissés (rien de plus inquiétant qu’un individu qui n’aurait rien à cacher), tout autant que la revendication de passions désuètes (le Feng-shui, les fraises Tagada). Il faut tendre vers une porosité entre le personnel et le professionnel. A compétences égales, ce sont ces détails qui feront la différence. Comme je l’explique souvent à mes étudiants, c’est la capacité à parler d’autre chose que boulot autour de la machine à boulot qui motivera votre recrutement ! Même salarié, vous restez des êtres humains. Il faut veiller par contre à ne pas afficher un comportement exclusif (le fêtard, l’engagement politique) à moins de l’assumer et ne pas s’en plaindre (si l’on affiche un engagement politique, il faut accepter l’idée qu’il soit discriminant).
Ensuite, cet accompagnement doit aussi être mené auprès des managers et recruteurs, qui doivent accepter les erreurs de jeunesse, la spécificité des profils, et l’exploit(ation) qu’on peut réaliser avec.

Nouveaux comportements

Qu’il s’agisse d’éthique professionnelle ou de congruence dans l’identité numérique, le web et les technologies électro-numériques induisent des nouveaux comportements, ou en catalysent d’autres déjà ancrés socialement :

• profilage du comportement à des fins commerciales par les traces de consommation (historique d’achat, géolocalisation) mais aussi par l’analyse sémantique (lecture des mails, historique des requêtes). Un individu est inscrit dans des bases de données dont le nombre moyen varie entre 600 et 800.
• rapports parents/enfants : ou comment couper le cordon numérique ? plusieurs anecdotes sur les punitions ou chantage en mode 2.0 : changer le mot de passe du facebook des enfants pendant x semaines, menace de diffusion en ligne de photo compromettantes de l’adolescent (en train de faire pipi sur la plage à 3 ans).
• hésitation/panique dès qu’apparait un APN : où cette photo va-t-elle se retrouver ?
• Schizophrénie numérique : un individu gère plusieurs profils, parfois sur des plateformes identiques (« j’ai plusieurs profils Facebook, un trash, un soft »). Mais en cas de profil unique, celui-ci se lisse. La réputation est une forme de pression sociale, de violence symbolique, encore plus quand elle est couplée avec un dispositif de surveillance (mené par l’Etat, les entreprises ou les parents). Avec le risque d’une dérive vers la radicalisation de comportements extrèmes et offline.

Il est là aussi nécessaire d’évangéliser sur les enjeux sociopolitiques de l’identité numérique (rhoo, ça me rappelle quelque chose).

open currency

Dernier point que j’aimerai aborder. Même si je n’ai pas assisté au dernier atelier dédié à ce sujet, j’ai eu l’occasion d’en parler avec Marc et d’autres au cours du lunch qui a précédé le barcamp. Le sujet est si vaste, complexe, et prometteur que je me garde ça pour un autre jour !