OpenID, une révolution ou une régression ?
Le web francophone n’a pas encore beaucoup réagit à la lame de fond OpenID.
OpenID, c’est un “framework”, soit un outil informatique, une caisse à outils.L’objectif d’OpenID est d’offrir un moyen de centraliser les modes d’authentifications. Quand vous surfez sur le web vous utilisez des dizaines de fois l’association login/mot de passe avec OpenID c’est la fin des multiples comptes. Une fois identifié sous OpenID tous les sites partageant le framework vous seront ouverts.
OpenID n’est pas un site internet, il ne dispose ni se propose d’être le futur géant du stockage de données, comme un outil il peut être utiliser par -presque- tout le monde.
Il va donc y avoir une course dans les mois à venir pour devenir fournisseur de comptes OpenID. Parmi les plus motivés on trouve SixApart, Microsoft, Verisign, JanRain, Digg et AOL.
Si le concept est bon, on peut à nouveau se poser la question du respect à la vie privée. Si en démarrant ma session de surf (voire mon Pc, si vista devient compatible) je m’identifie via OpenID, le fournisseur quelqu’il soit disposera de la liste de tous les services que j’utilise, à quel rythme je m’y connecte, le temps que j’y passe, ça fait peur…
L’autre question est la sécurité pure. Que se passe t il si une faille est détectée dans le framework, des millions de comptes se trouvent donc sans protection. Sans faire dans la paranoia aigüe on sait tous que les pirates s’attaquent toujours aux points les plus stratégiques et là s’en est un.
M. O’Reilly (inventeur du terme web2.0 et fin connaisseur) vient de publier une liste à propos d’OpenID.
Je me permet une traduction :
Pour :
- Vous avez surement déjà un OpenID, en étant client AOL ou SixApart
- Vous pouvez ajouter votre site web au système facilement et cela risque de faire venir les bloggueurs
- Vous gagnez du temps quand vous désirez essayer un service ou un site, en plus votre nom/pseudo/domaine est obligatoirement libre
-Le support logiciel arrive normallement bientôt Vista et FireFox 3
- Il est facile de posséder plusieurs comptes, il suffit de changer les URL (car a priori il faut passer par la passerelle de OpenID pour se connecter aux sites/services)
- Le stockage est décentralisé, il n’y a pas 1 seule société qui gère tous les comptes
Contre :
- Pour l’instant peu de sites fonctionnent avec OpenID
- l’identification n’est pas simple, il faut passer par un autre site que celui auquel vous cherchez à vous connecter
- Le fait de se connecter à un autre site rend le service très sensible au fishing
- La perte de l’anonymat, bien que l’on puisse utiliser plusieurs comptes OpenID.
Je sais pas vous mais j’ai un sentiment d’inquiétude en voyant arriver ce service. Rien ne garantit en plus que l’on pourra ne pas l’utiliser à terme, et là c’est un peu la fin de la protection de la vie privée numérique.
Sommes nous prêt ?
Partenaires
Gagnez de l'argent sur tous vos achats (PC, DVD, Mode...) Rejoignez de suite la communauté c'est gratuit !
22 Comments
Publier un commentaire | comments rss [?]Bonne question !
Perso je suis assez réticente à utiliser ce genre de service qui conserve vos liens et mots de passe : tout centraliser en un seul service cela peut être pratique, mais c’est le côté sécurité (tout service informatique peut être faillible à un moment ou à un autre)qui peut pêcher.
Absolument, c’est la question que l’on se pose comme question quand on parle de Google ou Microsoft mais là c’est encore plus énorme. Le futur plus gros provider de cette technologie sera obligatoirement un incontournable du web dans les années à venir. Tout le monde va vouloir jouer donc le service peut connaitre une croissance rapide.
Que faire, si le service qui me plait nécessite ce service ?
Avoir plusieurs comptes pour brouiller les pistes ? Refuser en bloc ?
c’est pas gagné…
Richard,
Tu doutes sur OpenID. Tu as peur d’etre fiché. Je t’invite à ne plus utiliser ta carte bleue pour faire tes achats, de résilier ton abonnement de téléphone portable, de cloturer ton dossier sécurité sociale.
Nous sommes déjà fiché de partout.
Autre point : OpenID révolution ? Microsoft a déja lancé deux technos sur le sujet depuis fort longtemps et le résultat n’est pas au rendez vous. Il s’agit des techno passport et infocard.
Si tout le monde respecte la Netiquette alors la question sur OpenID ne se poserait même pas.
Tu as raison Seb, sans parler des futurs GSM/GPS, des puces RFID (puce qui communique sans fil déjà present dans les pièces d’identité anglaise), du projet Echelon (qui écoute toutes les conversations téléphoniques)…
N’empeche que je suis pas parano, mais que l’idée d’OpenID c’est d’officiellement créer un base de donnée.
Ceci dis, je vais certainement être un des premiers à utiliser le service qui devrait me sauver de l’esclavagisme du login/pass…
Affaire à suivre en tout cas.
Les opérateurs savent qui tu es, ou tu es à 200 mètres en ville et un peu plus ailleurs. Le GPS en lui même ne permet de te localiser par la communication n’est pas bidirectionnelle.
ha, voilà un truc auquel je n’avais pas pensé. C’est vrai que le ptit boitier aurait bien du mal à balancer la moindre info dans l’espace…
J’ai trouvé la liste des services qui utilisent OpenID elle est là : https://www.myopenid.com/directory
Maintenant la question c’est qui dois je choisir pour héberger mon compte OpenID ?
La question de l’hébergement de ton OpenID va plus loin.
Qui voudrais tu voir gérer ton identité ? Quels seront les conditions d’utilisation de cet hébergeur ? Comment seras tu sur que cet hébergeur est sûr ? Qu’est ce qui se passera si qq1 usurpe ton identité, utilise tes services ?
Bon, disons que les problèmes que tu évoques sont identifiés, dès lors il faut choisir une position. Soit j’ignore la proposition soit je prend un risque.
Y a pas à dire c’est beau d’avoir le choix.
“- l’identification n’est pas simple, il faut passer par un autre site que celui auquel vous cherchez à vous connecter”
La redirection vers le service d’authentification étant automatique, je ne suis pas sûr que ce point soit pertinent.
“- Le fait de se connecter à un autre site rend le service très sensible au fishing”
On peut aussi y voir un intérêt : il est beaucoup plus simple de sécuriser une unique interface d’authentification (SSL, certificats valides, etc) que 50.
Exact Fred.
Mais cela reste un problème si on se place du côté de l’utilisateur bien qu’il aime la sécurité il n’aime pas s’emmerder avec ce genre de truc.
Il y a un autre gros point pour OpenID a mon sens, c’est qu’il est open source : c’est une très grande avancée en matière de sécurité.
En libre, il y avait aussi le couple CAS (Central Authentication Service) / Shibboleth, surtout utilisé dans le domaine universitaire.
Et voilà le truc qui vas sans doute répondre à toutes vos interrogations :
http://siege.org/projects/phpMyID/
Ben oui il suffit d’avoir son propre fournisseur d’authentification (ou de se le faire fournir par une source de confiance réelle).
En effet Grima, mais rien n’oblige un service à accepter les identifiants OpenID de fournisseurs auxquels il ne fait pas confiance.
Sans compter que rien n’est sûr que ton propre serveur soit plus sécurisé que celui d’un vrai pro qui va y mettre de l’argent et prendre du personnel pour sécuriser l’accès.
Ce qui à l’air de se dégager de ces échanges c’est quand même que l’inquietude domine l’aspect confortable d’un tel service.
Maintenant il n’y a plus qu’à surveiller les géants et les gros sites communautaires pour voir qui utilisera OpenID et comment “les vulgaristeurs” vont le vendre au grand public.
Pour moi ce n’est qu’une question de choix.
Ce qui serait inacceptable, c’est que ce service s’impose comme standard, en plaçant le système actuel (classique?) du username/pwd aux oubliettes.
Ca reste un système de username/pwd classique, dans le sens ou tu peux continuer à te créer un compte par site si tu le souhaites.
oui Fred, mais si un problème de sécurité se produit c’est tous nos comptes qui sont à poils.
Mais bon le problème de sécurité est partout…
Pas nécessairement, puisqu’il existe déjà des dizaines de fournisseurs d’identifiants OpenID (tu peux même monter ton propre serveur OpenID en quelques minutes d’ailleurs). On peut donc facilement se permettre de ne pas avoir tous ses comptes OpenID au même endroit.
ok.
Tes arguments sont bons Fred.
Je me dis que finallement, si je veux profiter de l’interêt d’OpenID je dois faire confiance.
Bon je vais essayer de monter MON OpenID je sais si c’est facile pour un débutant comme moi. A suivre.
Je pense pas qu’on puisse dire que ce soit la fin de la protection de la vie privée numérique.
Au contraire, je vois OpenId comme un premier pas vers une gestion plus fine de sa vie privée numérique. On peut très bien imaginer que lorsqu’on souscrit la première fois à un service via son openid, il soit alors possible d’autoriser très précisément quelles sont les données personnelles que tu souhaites communiquer (voire même distinguer l’utilisation de ces données par le service, leur communication à des tiers, etc). En gros, la phase d’identification peut aussi servir pour une phase de negociation de l’utilisation de tes données personnelles.
Si tu compares à la situation actuelle où tu as le choix entre ne fournir aucune données personnelles (et te priver de bon nombre de services sympas), ou bien fournir tes données personnelles pour les voir partir dans la nature sans aucun contrôle, je pense qu’openid peut permettre une avancée importante.
Autrement, je suis d’accord sur le risque que certains services n’autorise que les openid venant de serveurs connus, ce serait très dommageable pour ceux qui veulent installer leur propre serveur (à ce propos, phpmyid, c’est quelques minutes d’installation, très simple).
Un des but de l’openID est bien (comme son nom l’indique) de créer un identifiant personnel donc effectivement de ne pas être anonyme. Les gens qui voudront être anonyme pourront toujours remplir leur compte openID avec des données erronés. Evidement la suite c’est une carte d’identité couplé avec un openID ou autre système… Je pense que le problème est pris dans le faux sens. Ce n’est pas l’anoymat qui est important, mais bien la protection des données privée. Le net deviens de plus en plus “un monde” et comme dans le monde “réel” il nous faut un système de gestion d’identité.
Post a Comment »
Conseils