Article initialement prévu pour l’ebook « Cultivez votre identité numérique », mais trop long 
Petit billet sans prétention technique qui vise uniquement à vulgariser et clarifier les questions d’identification et authentification sur Internet. Certains puristes pourraient avoir les cheveux qui se dressent sur la tête à la lecture de ce qui va suivre : qu’ils ne m’en tiennent pas rigueur, cet article ne leur est pas destiné ;-)
Pourquoi s’identifier ?
Sur le web, je mène des transactions très variées : j’achète et je vends sur des sites marchands, je consulte mes comptes bancaires, je télé déclare mon statut auprès de l’administration (impôts, pôle emploi). Au travail, je m’identifie pour ouvrir une session et avoir accès aux applications et aux bases de données. Le reste du temps, il faut encore que je m’identifie pour les mails, les forums, les commentaires et tous les services web que j’utilise (YouTube, Facebook, etc..).
De l’autre côté, j’ai parfois besoin d’avoir une garantie sur l’identité de mon interlocuteur : ce vendeur est-il un escroc, un marchand professionnel ? Qui est ce lecteur qui m’a laissé des commentaires ? Est-ce bien cet homme politique ou cette star de la chanson dont je suis en train de lire la page perso ? S’agit-il d’un fake (faux profil) ou d’un robot ?
Les risques
Préserver son identité, c’est se prémunir contre l’usurpation. Si quelqu’un dispose des informations nécessaires pour se connecter à vos outils, il peut avoir accès à votre boite mail, votre compte en banque, il peut faire de fausses déclarations au fisc, insulter n’importe qui dans des forums ou sur des blogs, et tout ça en votre nom. Il peut vous dépouiller de votre identité, de vos finances et de votre réputation. La sécurisation de l’identification est donc vitale dans une société où de plus en plus d’interactions ou transactions se font par Internet.
Nous allons voir qu’il existe finalement plusieurs façons de se connecter à une application web, avec pour chacune des avantages et des inconvénients. Mais d’abord, un peu de définition…
- Identification : je dis qui je suis
- Authentification : je prouve être celui que je prétends
- Certification : un tiers prouve qui je prétends être
- Autorisation : si l’authentification ou la certification sont valides, je dispose des droits pour pénétrer le système et en exploiter les ressources
Commet s’identifier ?
La façon la plus fréquente de s’identifier sur un site web (authentification simple) est encore de saisir le couple identifiant / mot de passe. Le premier m’identifie, le second m’authentifie : je prouve être le propriétaire de l’identifiant. Je suis moi !
- Evitez les dates de naissance, surnom ou diminutifs ainsi que toute donnée personnelle pour construire vos mots de passe. Au contraire, choisissez un ensemble de lettres, caractères spéciaux et chiffres sans signification. Testez-le ici par exemple !
One password to rule them all
Ensuite la question est de savoir si ce couple sera le même sur tous les sites web auxquels on se connecte.
- Si vous avez la certitude que votre mot de passe est suffisamment complexe, pourquoi pas. Mais gardez à l’esprit que vous mettez tous vos œufs dans le même panier (dans le jargon, on dit ‘donner les clefs du château’). Il existe aujourd’hui des outils en ligne (passpack.com ou clipperz.com) et des logiciels (KeePass) qui vous aident à mémoriser vos mots de passe. Ils sont d’autant plus utiles si vous êtes nomade et que vous vous connectés depuis différents ordinateurs.
- Si ce sont des ordinateurs à accès public (plusieurs personnes peuvent l’utiliser : cybercafé, entreprise, réseau familial), n’oubliez pas d’effacer vos traces après votre session de navigation (pour que le petit dernier n’aille pas jouer en bourse à votre place, ou que votre collègue n’aille pas draguer vos copines sur MSN).
- Si vous utilisez un seul ordinateur, les navigateurs peuvent mémoriser tous vos mots de passe, avec l’aide d’extension par exemple (Sxipper). Ca n’évite pas de saisir à répétition les identifiants requis par chaque site web que vous visitez.
Aujourd’hui, beaucoup d’organismes (entreprises, associations) proposent ce qu’on appelle l’authentification unique. Avec un couple unique, et saisi qu’une seule fois (Single Sign-On, SSO), vous avez accès à tous services web, sans avoir à vous connecter sur chaque d’entre eux.
- Fédération d’ID centralisée et localisée : Microsoft utilise et installe CardSpace dans Windows Vista. Vous saisissez votre Windows Live ID (adresse mail + mot de passe). Celle-ci est ensuite conservée sur votre ordinateur. A chaque sollicitation de la part d’un service web, CardSpace crypte votre identifiant et vous ouvre les portes du service. Mais peu de sites web ont adopté CardSpace (eBay l’a même abandonné). En guise de réponse, Microsoft va lancer Geneva, qui reposera sur OpenID.
- Fédération d’ID décentralisée : OpenID. Il n’y a plus une entreprise seule qui vous authentifie (comme Microsoft) en lisant un fichier sur votre ordi, mais plusieurs qui partagent (plus ou moins) les informations que vous avez saisies sur leurs sites web.
- Vous utilisez un couple de connexion (identifiant/mot de passe) sur un fournisseur d’identité (OpenID provider : orange.fr, claimID, MyOpenID).
- Vous obtenez alors une URI, une adresse web (moi.openid.net).
- Après, chez un fournisseur de service, un site web reconnaissant OpenID, vous tapez comme identifiant cette URI.
- Vous êtes redirigé vers le fournisseur d’identité qui vous authentifie auprès du site web, le fournisseur de service.
- Vous pouvez désormais surfez librement.
- OpenID est de plus en plus reconnu par les grands acteurs du web d’aujourd’hui (IBM, Verisign, Google, Yahoo!, Microsoft, MySpace, Facebook, DailyMotion, etc..). Mais cette acceptation d’OpenID n’est pas suivie de contrepartie.Prenons un exemple avec Yahoo! (mais ça marche aussi avec les autres) :
- vous pouvez créer un compte Yahoo! qui vous servira d’OpenID chez d’autres fournisseurs de service (principalement ceux de la galaxie Y!), mais vous ne serez pas autorisé à vous connecter avec une OpenID qui ne provient pas de chez Yahoo!
- En échange, chaque grand acteur déploie sa plateforme d’authentification propriétaire, avec notamment le match entre Google Friend Connect et Facebook Connect (et MyBlogLog de Yahoo! en outsider). Ca veut dire que l’identité d’un commentateur est certifiée par Facebook, par exemple. Ca aide aussi à construire une communauté ‘certifiée’ et plus dynamique. Mais ça reste très compliqué techniquement, et encore un peu jeune…
- Notez aussi qu’avec un peu de technique, et un serveur web, vous pouvez devenir votre propre fournisseur d’identité ! Et ça, ça élimine au moins plusieurs risques.
Les nouveaux risques
- La confiance dans le tiers qui certifie votre identité : ce n’est pas parce qu’une identité est certifiée par un organisme dont j’ignore tout que cette identité est réelle. Le fournisseur doit donc adopter des méthodes de certification de mon identité réelle (par Carte bleue comme MyID.is ou en face à face comme Certinomis). De plus, il faut s’interroger sur l’utilisation de données personnelles par une entreprise commerciale, et sur leur devenir en cas de faillite.
- Le phishing consiste à vous présenter la copie identique d’une page web à laquelle vous avez l’habitude de vous connecter. Quand vous saisissez vos identifiants, ils sont enregistrés dans la base de données pirate. Il n’y a plus qu’à les réutiliser sur le vrai site web pour avoir accès à votre compte en banque, etc..
- Des keyloggers (installés par des virus ou des chevaux de Troie) peuvent enregistrer vos identifiants au moment où vous les saisissez au clavier. Ils sont transmis ensuite au pirate qui s’en servira allègrement.
Il est donc nécessaire de déployer de nouvelles règles d’authentification, ce qu’on appelle l’authentification forte. Il s’agit en fait de rajouter un moyen de certifier l’identité.
- Ce que je sais: un mot de passe, la réponse à une question secrète; ou ce que je sais faire: lire un texte (captcha), une série de geste (ma signature), etc..
- Ce que je suis(biométrie): photo, fréquence de la voix, lecture de l’iris, empreinte digitale ou palmaire, ADN
- Ce que j’ai: une clé, un objet (un token) qui peut aussi me délivrer un mot de passe renouvelé toutes les heures, ou un mot de passe à usage unique One Time Password), une carte à puce (avec code PIN comme la carte bleue; Match on Card, qui dit oui un non sans envoyer d’autre information), un mobile sur lequel je reçois le mot en passe via SMS, etc..
C’est pourquoi, bientôt, peut-être, on se connectera avec des lecteurs de carte à puces, ou après s’être fait scanné les empreintes digitales. Une fois que nous serons authentifiés, le système nous laissera entrer sur le Web et nous pourrons surfer en toute liberté. Savoir si cette liberté sera effective, si ce scénario se réalisera ou si d’autres techniques d’usurpation apparaitront sont autant de questions intéressantes sur lesquelles il faudra débattre ailleurs ;-)
