Identification sur le Net: Vos papiers, s.v.p.!

Identification sur le Net:
Vos papiers, s.v.p.!
L’évolution commerciale d’Internet est en partie freinée par divers
problèmes, dont l’identification non ambiguë des intervenants (fournisseur et client) et de leurs intentions n’est pas le moindre. Le fait
que des données sensibles soient obligatoirement transmises lors
d’une transaction commerciale pose également problème. En outre, le
fait de devoir mémoriser un nombre croissant de mots de passe et
identificateurs de tous genres est à la fois inconfortable et dangereux.
Un important marché existe donc: celui des systèmes automatisés
d’authentification et de sécurisation des transactions réalisées via
Internet. A mon avis, l’évolution des procédés d’authentification liés
à l’usage du Web suscite toutefois encore de nombreuses questions en
attente de réponses.
Thomas Vauthier
[email protected]
Actuellement, deux approches sont proposées pour faciliter l’identification sur la Toile:
Primo, une automatisation limitée, entièrement basée
sur le stockage des données sur la machine de l’utilisateur. Ceci permet de conserver des identificateurs
complexes, car leur entrée est automatique. En revanche, cela ne permet pas de sécuriser la transmission
elle-même, puisque les éléments nécessaires restent transmis via Internet. Une automatisation basée sur l’une ou l’autre
forme de stockage centralisé des données utiles, seul un «pointeur» vers ces données étant transmis si nécessaire.
La deuxième méthode se fonde sur le stockage des données sur
un serveur central. Elle présente d’énormes avantages, puisqu’elle court-circuite complètement les éventuels indésirables
aux aguets. En effet les données transitant encore par Internet
ne présentent pratiquement plus aucun intérêt pour des personnes mal intentionnées. En revanche, elle est techniquement
plus lourde, et requiert de la part de l’intermédiaire «sécurisateur» la mise en place de garanties sérieuses quant à l’utilisation
faite des données ainsi centralisées.
Approche Microsoft
Microsoft propose sa propre approche du problème dans ce
sens. Sa réponse se nomme «Passport» et constitue une parcel-
www.com//.htp:/net@com:http.com.www//@netscape.eps//[email protected]//.htp:/net@com:http.com.www//@netscape.eps//[email protected]//.htp:/net@com:http.com.www//@netscape.eps//[email protected]//.htp:/net@com:http.com.om//.htp:/net@
Progrès réel ou oreiller de paresse dangereux?
www.com//.htp:/net@com:http.com.www//@netscape.eps//[email protected]//.htp:/net@com:http.com.www//@netscape.eps//[email protected]//.htp:/net@com:http.com.
www.com//.htp:/net@com:http.com.www//@netscape.eps//[email protected]//.htp:/net@com:http.com.www//@netscape.eps//[email protected]//.htp:/net@com:http.com.www//@netscape.eps//[email protected]//.htp:/net@com:http.com.www//@netscape.eps//[email protected]//.htp:/net@com:http.com.www//@netscape.eps//[email protected]//.htp:/net@com:http.com.www//@
le de l’initiative «.net» («dot net») qui fournira des thèmes de
discussion pour encore un bon moment.
Pour résumer, «Passport» propose de centraliser sur des serveurs sécurisés, gérés actuellement par Microsoft, un ensemble
de données librement déterminées par l’utilisateur. Leur protection est liée à un couple identificateur/mot de passe unique, que
l’utilisateur entre une seule fois au lancement de «Passport».
Dès ce moment, les informations utiles seront, si nécessaire,
transmises de façon 100% sûre entre le serveur de stockage et le
destinataire des données.
Solution de «Single Sign in»
Du point de vue l’utilisateur, le scénario se déroule ainsi: lors de
sa première venue sur un site membre du service Passport, l’internaute se voit proposer de créer son compte. Une adresse email, un mot de passe et le pays de résidence doivent être précisés. Les sites peuvent également demander d’autres informations pour préciser le profil (sexe, date de naissance, «questions
secrètes» pour ajouter un niveau d’authentification, etc.) mais
elles ne sont pas nécessaires pour activer le compte. Une fois
ce dernier créé, l’utilisateur s’identifie en saisissant son
identifiant et son mot de passe. Jusque là, rien d’extraordinaire.
Les choses sérieuses commencent quand cet internaute quitte ce premier site pour aller visiter un autre
site membre du service Passport. Dans ce cas, il n’a
pas à renouveler son identification. Passport assure
l’authentification auprès de tous les sites visités et équipés
du système. En quelque sorte, Passport crée une session utilisateur virtuelle d’un site membre à l’autre. L’utilisateur y gagne de
la souplesse: plus besoin de multiplier les mots de passe pour
chaque site et de s’identifier systématiquement.
Quelques inquiétudes assez légitimes ...
C’est bien entendu la centralisation des données relatives à
l’utilisateur qui inquiète les associations de défense des libertés
individuelles. Plusieurs questions très légitimes se posent: comment Microsoft compte-t-il capitaliser sur ces profils? Quel est
le niveau de sécurité de la base centrale Passport? Sur le papier,
MS affiche des engagements très stricts: la base ne conserve pas
d’autres informations que celles fournies par l’utilisateur; l’historique des logs est purgé tous les deux jours, et l’éditeur s’interdit de céder des informations de cette base à des sites, qu’ils
soient ou non membres de Passport. Logique, un tel système
mutualisé ne fonctionne qu’avec des membres placés sur un
pied d’égalité. Bref, MS assure qu’il ne compte pas tirer de revenus de ses profils.
Si vous utilisez de tels modes de communication, n’automatisez
pas complètement la transmission de vos informations financières. Le plus simple est de toujours remplir vous-même la date de validité de votre carte de crédit. Imprimez sans hésiter
toutes les pages significatives qui précèdent vos transactions.
Ainsi vous disposerez d’un dossier en béton en cas de contestation!
A suivre ...