les identités numériques

Bon, OK, j’ai trois mois de retard. En fait, j’attendais bêtement un certain document pour écrire ce billet : le document étant en retard, le billet s’est vu décalé petit à petit.

Qu’est-ce qui a causé ce retard ? Ma carte d’étudiant : auparavant, je n’étais pas officiellement inscrit en thèse de doctorat, même si j’avais commencé à travailler en ce sens avec ma directrice de thèse, Fabienne Martin-Juchat. Donc maintenant, je suis membre du GRESEC, avec tout ce que ça implique : la filiation à un courant de recherche (l’usage prime sur le déterminisme), la collaboration avec une équipe, une rigueur de travail, et l’accès aux ressources et événements (centre de doc, bureau, connection, séminaires, réseaux).

Je suis d’ailleurs convoqué à une journée doctorale sous peu, avec comme objectif de présenter l’avancée de mes travaux. Je remets donc ici le bilan commandé.

Sujet : pratiques, usages et enjeux sociopolitiques de l’identité numérique.

Résumé

• « L’identité numérique » est un terme issu de la vulgate, à définir au regard des SIC.
• Il s’agit plus précisément d’étudier le traitement de l’identité et des données personnelles par les dispositifs électroniques et numériques (vidéo surveillance, biométrie, géolocalisation, inscription dans des bases de données mais aussi traces et présences sur le web, stratégies de contenus et de réseaux, distinguer en quoi l’identité est définie par l’individu ou la technique)
• Quels sont les enjeux sociopolitiques de la technicisation – ou numérisation – de l’identité ?
• Il faut alors prendre en considération les logiques de tous les acteurs : État (logique de registre + prétexte sécuritaire, rationnalisation / standardisation des données personnelles), constructeurs et fournisseurs (logique de marché, stratégie de diffusion/adoption des innovations, action de lobbying, cf. GIXEL), internautes et citoyens (logique autobiographique, stratégie de faces, de présence, pression sociale), associations de surveillance et de préservation des libertés fondamentales (CNIL, LDH).
• Ainsi, plusieurs modèles de société semblent apparaitre : système de contrôle social et de surveillance globale, société panoptique (BENTHAM ; cf. BigBrother), marchandisation des données personnelles, hyper-narcissisme et marketing de soi (personal branding ; évaluation et publication de la réputation) contre néo-luddisme ou culture de hackers (évitement), anonymat, P2P, philosophie du libre (STALMAN, LESSIG), culture informationnelle (sociabilité numérique ; BOYD, DONATH, TURKLE), management des organisations (participatif/collaboratif, adhocratie de Mintzberg), constitution d’un habeas corpus du numérique, etc..

Ancrage théorique

• Goffman et sémiopragmatique, microsociologie
• sociologie des usages (MIEGE, JOUET, PERRIAULT, PROULX)
• privacy studies (MERZEAU, CARDON en France) ou surveillance studies (MATTELART)
• fondamentaux des SIC : WIENER et la cybernétique, WATZLAWICK, BOURDIEU, performatif d’AUSTIN, médiologie, HABERMAS, McLUHAN, constructivisme, systémique, WOLTON, BRETON, CASTELLS
• apports extérieurs (LIPOVETSKY, LEVY, FOUCAULT)

Avancement

• recherche de financement (éligible CIFRE : recherche en cours = OrangeLabs, FING, Yahoo, Digimind + conférences). Le projet d’une thèse financée en donationware n’a pas fonctionné !
• lectures, veille, carnet de recherche en ligne.
• réseautage, prise de contacts avec les acteurs .

Difficultés

• Activité professionnelle parallèle (enseignement technique supérieur)
• 10 ans loin des SIC, bagage théorique et terminologie à se réapproprier
• Domaines d’application et champs théoriques très vastes : besoin d’élaguer le sujet/terrain (jeux vidéo, communautés en ligne, réseaux sociaux, usages des données personnelles chez les adolescents, les salariés d’entreprise, usages du mobile associé à la géolocalisation, zones de vidéosurveillance, etc..) = observation +/- participante, ethnométhodologie, analyse sémantique
• méthodologie/terrain : prématuré, pas de visibilité sur le financement, ni sur la réduction du sujet.

Dans l’immédiat

• Lecture de Goffman, Surveiller et punir de Foucault, La globalisation de la surveillance de Mattelart.
• Liste des dispositifs électroniques et numériques
• = billets à venir (mode brouillon pour l’instant)

En dehors de la thèse

• participation à l’ebook « Cultivez votre identité numérique »
• participation au Barcamp eReputation,
• participation au forum Réinventer la démocratie : Internet, nouvel espace démocratique ?

A propos du site

• 185 articles pour 154 commentaires
• près de 11500 visiteurs en 9 mois
• 1 ‘communauté’ qui s’accroit, online ou offline : MyBlogLog, Identi.ca et Twitter, Diigo

Article initialement prévu pour l’ebook « Cultivez votre identité numérique », mais trop long

Petit billet sans prétention technique qui vise uniquement à vulgariser et clarifier les questions d’identification et authentification sur Internet. Certains puristes pourraient avoir les cheveux qui se dressent sur la  tête à la lecture de ce qui va suivre : qu’ils ne m’en tiennent pas rigueur, cet article ne leur est pas destiné ;-)

Pourquoi s’identifier ?

Sur le web, je mène des transactions très variées : j’achète et je vends sur des sites marchands, je consulte mes comptes bancaires, je télé déclare mon statut auprès de l’administration (impôts, pôle emploi). Au travail, je m’identifie pour ouvrir une session et avoir accès aux applications et aux bases de données. Le reste du temps, il faut encore que je m’identifie pour les mails, les forums, les commentaires et tous les services web que j’utilise (YouTube, Facebook, etc..).

De l’autre côté, j’ai parfois besoin d’avoir une garantie sur l’identité de mon interlocuteur : ce vendeur est-il un escroc, un marchand professionnel ? Qui est ce lecteur qui m’a laissé des commentaires ? Est-ce bien cet homme politique ou cette star de la chanson dont je suis en train de lire la page perso ? S’agit-il d’un fake (faux profil) ou d’un robot ?

Les risques

Préserver son identité, c’est se prémunir contre l’usurpation. Si quelqu’un dispose des informations nécessaires pour se connecter à vos outils, il peut avoir accès à votre boite mail, votre compte en banque, il peut faire de fausses déclarations au fisc, insulter n’importe qui dans des forums ou sur des blogs, et tout ça en votre nom. Il peut vous dépouiller de votre identité, de vos finances et de votre réputation. La sécurisation de l’identification est donc vitale dans une société où de plus en plus d’interactions ou transactions se font par Internet.

Nous allons voir qu’il existe finalement plusieurs façons de se connecter à une application web, avec pour chacune des avantages et des inconvénients. Mais d’abord, un peu de définition…

• Identification : je dis qui je suis
• Authentification : je prouve être celui que je prétends
• Certification : un tiers prouve qui je prétends être
• Autorisation : si l’authentification ou la certification sont valides, je dispose des droits pour pénétrer le système et en exploiter les ressources

Commet s’identifier ?

La façon la plus fréquente de s’identifier sur un site web (authentification simple) est encore de saisir le couple identifiant / mot de passe. Le premier m’identifie, le second m’authentifie : je prouve être le propriétaire de l’identifiant. Je suis moi !

• Evitez les dates de naissance, surnom ou diminutifs ainsi que toute donnée personnelle pour construire vos mots de passe. Au contraire, choisissez un ensemble de lettres, caractères spéciaux et chiffres sans signification. Testez-le ici par exemple !

One password to rule them all

Ensuite la question est de savoir si ce couple sera le même sur tous les sites web auxquels on se connecte.

• Si vous avez la certitude que votre mot de passe est suffisamment complexe, pourquoi pas. Mais gardez à l’esprit que vous mettez tous vos œufs dans le même panier (dans le jargon, on dit ‘donner les clefs du château’). Il existe aujourd’hui des outils en ligne (passpack.com ou clipperz.com) et des logiciels (KeePass) qui vous aident à mémoriser vos mots de passe. Ils sont d’autant plus utiles si vous êtes nomade et que vous vous connectés depuis différents ordinateurs.
• Si ce sont des ordinateurs à accès public (plusieurs personnes peuvent l’utiliser : cybercafé, entreprise, réseau familial), n’oubliez pas d’effacer vos  traces après votre session de navigation (pour que le petit dernier n’aille pas jouer en bourse à votre place, ou que votre collègue n’aille pas draguer vos copines sur MSN).
• Si vous utilisez un seul ordinateur, les navigateurs peuvent mémoriser tous vos mots de passe, avec l’aide d’extension par exemple (Sxipper). Ca n’évite pas de saisir à répétition les identifiants requis par chaque site web que vous visitez.

Aujourd’hui, beaucoup d’organismes (entreprises, associations) proposent ce qu’on appelle l’authentification unique. Avec un couple unique, et saisi qu’une seule fois (Single Sign-On, SSO), vous avez accès à tous services web, sans avoir à vous connecter sur chaque d’entre eux.

• Fédération d’ID centralisée et localisée : Microsoft utilise et installe CardSpace dans Windows Vista. Vous saisissez votre Windows Live ID (adresse mail + mot de passe). Celle-ci est ensuite conservée sur votre ordinateur. A chaque sollicitation de la part d’un service web, CardSpace crypte votre identifiant et vous ouvre les portes du service. Mais peu de sites web ont adopté CardSpace (eBay l’a même abandonné). En guise de réponse, Microsoft va lancer Geneva, qui reposera sur OpenID.
• Fédération d’ID décentralisée : OpenID. Il n’y a plus une entreprise seule qui vous authentifie (comme Microsoft) en lisant un fichier sur votre ordi, mais plusieurs qui partagent (plus ou moins) les informations que vous avez saisies sur leurs sites web.
  • Vous utilisez un couple de connexion (identifiant/mot de passe) sur un fournisseur d’identité (OpenID provider : orange.fr, claimID, MyOpenID).
  • Vous obtenez alors une URI, une adresse web (moi.openid.net).
  • Après, chez un fournisseur de service, un site web reconnaissant OpenID, vous tapez comme identifiant cette URI.
  • Vous êtes redirigé vers le fournisseur d’identité qui vous authentifie auprès du site web, le fournisseur de service.
  • Vous pouvez désormais surfez librement.

• OpenID est de plus en plus reconnu par les grands acteurs du web d’aujourd’hui (IBM, Verisign, Google, Yahoo!, Microsoft, MySpace, Facebook, DailyMotion, etc..). Mais cette acceptation d’OpenID n’est pas suivie de contrepartie.Prenons un exemple avec Yahoo! (mais ça marche aussi avec les autres) :
  • vous pouvez créer un compte Yahoo! qui vous servira d’OpenID chez d’autres fournisseurs de service (principalement ceux de la galaxie Y!), mais vous ne serez pas autorisé à vous connecter avec une OpenID qui ne provient pas de chez Yahoo!
  • En échange, chaque grand acteur déploie sa plateforme d’authentification propriétaire, avec notamment le match entre Google Friend Connect et Facebook Connect (et MyBlogLog de Yahoo! en outsider). Ca veut dire que l’identité d’un commentateur est certifiée par Facebook, par exemple. Ca aide aussi à construire une communauté ‘certifiée’ et plus dynamique. Mais ça reste très compliqué techniquement, et encore un peu jeune…
  • Notez aussi qu’avec un peu de technique, et un serveur web, vous pouvez devenir votre propre fournisseur d’identité ! Et ça, ça élimine au moins plusieurs risques.

Les nouveaux risques

• La confiance dans le tiers qui certifie votre identité : ce n’est pas parce qu’une identité est certifiée par un organisme dont j’ignore tout que cette identité est réelle. Le fournisseur doit donc adopter des méthodes de certification de mon identité réelle (par Carte bleue comme MyID.is ou en face à face comme Certinomis). De plus, il faut s’interroger sur l’utilisation de données personnelles par une entreprise commerciale, et sur leur devenir en cas de faillite.
• Le phishing consiste à vous présenter la copie identique d’une page web à laquelle vous avez l’habitude de vous connecter. Quand vous saisissez vos identifiants, ils sont enregistrés dans la base de données pirate. Il n’y a plus qu’à les réutiliser sur le vrai site web pour avoir accès à votre compte en banque, etc..
• Des keyloggers (installés par des virus ou des chevaux de Troie) peuvent enregistrer vos identifiants au moment où vous les saisissez au clavier. Ils sont transmis ensuite au pirate qui s’en servira allègrement.

Il est donc nécessaire de déployer de nouvelles règles d’authentification, ce qu’on appelle l’authentification forte. Il s’agit en fait de rajouter un moyen de certifier l’identité.

• Ce que je sais: un mot de passe, la réponse à une question secrète; ou ce que je sais faire: lire un texte (captcha), une série de geste (ma signature), etc..
• Ce que je suis(biométrie): photo, fréquence de la voix, lecture de l’iris, empreinte digitale ou palmaire, ADN
• Ce que j’ai: une clé, un objet (un token) qui peut aussi me délivrer un mot de passe renouvelé toutes les heures, ou un mot de passe à usage unique One Time Password), une carte à puce (avec code PIN comme la carte bleue; Match on Card, qui dit oui un non sans envoyer d’autre information), un mobile sur lequel je reçois le mot en passe via SMS, etc..

C’est pourquoi, bientôt, peut-être, on se connectera avec des lecteurs de carte à puces, ou après s’être fait scanné les empreintes digitales. Une fois que nous serons authentifiés, le système nous laissera entrer sur le Web et nous pourrons surfer en toute liberté. Savoir si cette liberté sera effective, si ce scénario se réalisera ou si d’autres techniques d’usurpation apparaitront sont autant de questions intéressantes sur lesquelles il faudra débattre ailleurs ;-)

Article initialement prévu pour l’ebook « Cultivez votre identité numérique », mais trop long

Calendrier du parfait petit jardinier numérique

Mon identité numérique et moi, on ne se quitte plus ! Maintenant, c’est 24/24 ensemble. Il faut juste penser à l’arroser, la bichonner et le mieux c’est encore de le faire tous les jours. Mais à force de soins, mon identité s’est répandue sur tout le Web, et maintenant, il faut que je parcoure la Toile pour voir comment se porte Narcisse. Je dois vérifier comment mon identité apparait aux yeux des autres, ce qu’ils en pensent et aussi lutter contre les vilains chronophages.

Vous trouverez ici quelques conseils et astuces pour gérer votre identité numérique sans perdre votre temps ! Revue de détail de mon emploi du temps.

• Il est 6h, je me réveille (si si), je mets à jour mon statut (j’en connais que ça intéresse). Le problème, c’est que mes amis à plantes vertes (ceux qui sont aussi matinal que moi) poussent dans des serres toutes différentes : les geeks sur Twitter, les musicos sur MySpace ou Blip.fm, les collègues sur LinkedIn, les graphistes sur Flickr, les copains sur Facebook, etc. Alors, pour ne pas perdre de temps, moi je passe en mode arrosage automatique : j’utilise hellotxt. Ça met à jour les services que j’ai cités + Pownce + Hi5 + Plurk + Tumblr et encore tout un tas d’autres… Je peux non seulement saisir du texte, mais aussi mettre des images et des vidéos en ligne, et le tout en bidirectionnel : je diffuse mon statut et en même temps je suis informé de celui des membres de ma tribu.
• Si vous êtes du genre bavard, à laisser des commentaires partout, préférez plutôt des services comme cocomment (centralisation) ou disq.us (modération). Et si ce sont vos amis qui sont bavards, alors dirigez-vous vers FriendFeed ou MyBlogLog (qui apporte aussi des services communautaires lié à votre site web). Ainsi, que vous soyez bavards ou que ce soit vos amis, vous pourrez suivre toutes les conversations engagées partout sur Internet !
• 10h, au travail. J’emmène aussi mon identité numérique. Mais là, c’est pour ouvrir ma session ou me connecter à des applications professionnelles. Cela dit, j’ai besoin de consulter mes mails (derniers commentaires, sollicitations de réseau social, lifestreaming des uns et des autres, etc..), de gérer mes priorités, mes documents, mes activités, etc… Tout ça aussi, ça appartient à Narcisse, ça fait partie de mon identité ! Pour m’aider, j’ai tout regroupé au sein de GMail : je peux centraliser tous mes comptes mails sur une seule interface, recevoir mes courriers de chez free ou hotmail par exemple, et en envoyer avec ces adresses-là. Idem, avec Firefox et les bonnes extensions, je gère depuis GMail mes taches (service rememberthemilk + extension), mes documents (Google Docs), mes activités (Google Calendar). On s’approche du bureau virtuel. Et si je suis très nomade, j’embarque tout ça sur mon smartphone.
• 18h, de retour du travail. Je n’oublie pas de peaufiner mon identité numérique, des fois qu’elle intéresse un recruteur. Et là, mon identité numérique, je la bichonne : j’en fais un top CV ! J’ai mis mon CV au format PDF en téléchargement depuis mon site web, ainsi que sur une page web, avec plein de microformats à l’intérieur pour améliorer sa lisibilité par tous les navigateurs de demain. Mais attention, si je laisse mes coordonnées (tel, adresse, mail)  accessibles à tous, je risque le spam ou le vol d’identité ! Le mieux, c’est de passer par un site qui me mettra en relation avec les recruteurs, tout en cachant (obfuscation) les données sensibles aux yeux des malotrus. Avec DoYouBuzz par exemple, je peux de manière intuitive mettre en ligne mon parcours de formation et mes expériences professionnelles, le tout relié à LinkedIn ou Viadeo. Ziki mélange un peu les genres : c’est un connecteur de réseaux professionnels mélangé à un agrégateur de profil. Plus j’occupe le terrain, plus j’ai de chance d’être repéré par les recruteurs.
• 20h. Le soir, mon identité numérique et moi, on fait le bilan : outre les commentaires que j’ai lâchés à tout va, tel la Semeuse, j’ai bookmarqué des liens avec del.icio.us ou Diigo, j’ai écouté de la musique sur Blip.fm ou Spotify, j’ai lancé plein de tweets et j’ai mis à jour mon statut avec Facebook. J’ai même eu le temps de poster quelques billets sur mon blog. Bavard, vous disais-je. Une vraie abeille butineuse ! Et j’aimerai que tout ça n’échappe à personne. Alors, pour me simplifier la vie, je regroupe l’ensemble et je le diffuse à un seul endroit : ça s’appelle le lifestreaming. Tout ma vie online et sur une seule page ! Je peux faire ça aussi avec FriendFeed ou Profilactic : ce sont des agrégateurs de profils. SecondBrain est pas mal aussi dans le genre !
• L’intérêt de tous ces outils, c’est aussi qu’ils fournissent des badges et des scripts faciles à installer sur votre blogs, ou des applications à destination de Facebook par exemple. Si bien qu’en quelques clics, vous pouvez installer un bouton d’abonnement pour vos lecteurs, un player pour la musique que vous écoutez, etc..
• Et le mieux pour faire voir son identité numérique, c’est encore de la montrer dans la vraie vie. Genre une photo de Narcisse imprimée sur mon T-shirt : iKodz me permet de faire ça : le site web génère un code 2D (un dessin que reconnaissent les téléphones mobiles et qui contient des infos). Je peux coller ce code 2D sur mon site, et les visiteurs atterriront sur un agrégateur de profils. Le must : je vais imprimer ce code sur un t-shirt, et dans une soirée, dans me métro, on pourra me photographier le code et arriver sur ma page !
• Vu tous les services utilisés pour créer et gérer son identité numérique, je vous laisse imaginer le nombre d’identifiants et mots de passe à retenir.
• Usernamez permet déjà de savoir si mon pseudo (genre Narcisse) est déjà pris sur les sites qui m’intéressent. Si c’est dispo, je m’inscris et j’utilise un mot de passe. Différent à chaque fois ? En guise de réponse,  je vous conseille de lire mon article dans cet ebook « Mon identité est certifiée ».
• Vous avez vu qu’à chaque fois, je vous proposai plusieurs sites partageant le même objectif. C’est à vous de les tester : le design, le feel-n-like, les fonctionnalités ne plaisent pas à tout le monde. Inscrivez-vous de partout, testez-les et faites votre choix. Après, ne supprimez rien, mais investissez-vous à fond dans les sites que vous aurez choisis. C’est comme ça que vous aurez une belle identité numérique !