Identification sur le Net: Vos papiers, s.v.p.!
Transcription
Identification sur le Net: Vos papiers, s.v.p.!
Identification sur le Net: Vos papiers, s.v.p.! L’évolution commerciale d’Internet est en partie freinée par divers problèmes, dont l’identification non ambiguë des intervenants (fournisseur et client) et de leurs intentions n’est pas le moindre. Le fait que des données sensibles soient obligatoirement transmises lors d’une transaction commerciale pose également problème. En outre, le fait de devoir mémoriser un nombre croissant de mots de passe et identificateurs de tous genres est à la fois inconfortable et dangereux. Un important marché existe donc: celui des systèmes automatisés d’authentification et de sécurisation des transactions réalisées via Internet. A mon avis, l’évolution des procédés d’authentification liés à l’usage du Web suscite toutefois encore de nombreuses questions en attente de réponses. Thomas Vauthier [email protected] Actuellement, deux approches sont proposées pour faciliter l’identification sur la Toile: Primo, une automatisation limitée, entièrement basée sur le stockage des données sur la machine de l’utilisateur. Ceci permet de conserver des identificateurs complexes, car leur entrée est automatique. En revanche, cela ne permet pas de sécuriser la transmission elle-même, puisque les éléments nécessaires restent transmis via Internet. Une automatisation basée sur l’une ou l’autre forme de stockage centralisé des données utiles, seul un «pointeur» vers ces données étant transmis si nécessaire. La deuxième méthode se fonde sur le stockage des données sur un serveur central. Elle présente d’énormes avantages, puisqu’elle court-circuite complètement les éventuels indésirables aux aguets. En effet les données transitant encore par Internet ne présentent pratiquement plus aucun intérêt pour des personnes mal intentionnées. En revanche, elle est techniquement plus lourde, et requiert de la part de l’intermédiaire «sécurisateur» la mise en place de garanties sérieuses quant à l’utilisation faite des données ainsi centralisées. Approche Microsoft Microsoft propose sa propre approche du problème dans ce sens. Sa réponse se nomme «Passport» et constitue une parcel- www.com//.htp:/net@com:http.com.www//@netscape.eps//[email protected]//.htp:/net@com:http.com.www//@netscape.eps//[email protected]//.htp:/net@com:http.com.www//@netscape.eps//[email protected]//.htp:/net@com:http.com.om//.htp:/net@ Progrès réel ou oreiller de paresse dangereux? www.com//.htp:/net@com:http.com.www//@netscape.eps//[email protected]//.htp:/net@com:http.com.www//@netscape.eps//[email protected]//.htp:/net@com:http.com. www.com//.htp:/net@com:http.com.www//@netscape.eps//[email protected]//.htp:/net@com:http.com.www//@netscape.eps//[email protected]//.htp:/net@com:http.com.www//@netscape.eps//[email protected]//.htp:/net@com:http.com.www//@netscape.eps//[email protected]//.htp:/net@com:http.com.www//@netscape.eps//[email protected]//.htp:/net@com:http.com.www//@ le de l’initiative «.net» («dot net») qui fournira des thèmes de discussion pour encore un bon moment. Pour résumer, «Passport» propose de centraliser sur des serveurs sécurisés, gérés actuellement par Microsoft, un ensemble de données librement déterminées par l’utilisateur. Leur protection est liée à un couple identificateur/mot de passe unique, que l’utilisateur entre une seule fois au lancement de «Passport». Dès ce moment, les informations utiles seront, si nécessaire, transmises de façon 100% sûre entre le serveur de stockage et le destinataire des données. Solution de «Single Sign in» Du point de vue l’utilisateur, le scénario se déroule ainsi: lors de sa première venue sur un site membre du service Passport, l’internaute se voit proposer de créer son compte. Une adresse email, un mot de passe et le pays de résidence doivent être précisés. Les sites peuvent également demander d’autres informations pour préciser le profil (sexe, date de naissance, «questions secrètes» pour ajouter un niveau d’authentification, etc.) mais elles ne sont pas nécessaires pour activer le compte. Une fois ce dernier créé, l’utilisateur s’identifie en saisissant son identifiant et son mot de passe. Jusque là, rien d’extraordinaire. Les choses sérieuses commencent quand cet internaute quitte ce premier site pour aller visiter un autre site membre du service Passport. Dans ce cas, il n’a pas à renouveler son identification. Passport assure l’authentification auprès de tous les sites visités et équipés du système. En quelque sorte, Passport crée une session utilisateur virtuelle d’un site membre à l’autre. L’utilisateur y gagne de la souplesse: plus besoin de multiplier les mots de passe pour chaque site et de s’identifier systématiquement. Quelques inquiétudes assez légitimes ... C’est bien entendu la centralisation des données relatives à l’utilisateur qui inquiète les associations de défense des libertés individuelles. Plusieurs questions très légitimes se posent: comment Microsoft compte-t-il capitaliser sur ces profils? Quel est le niveau de sécurité de la base centrale Passport? Sur le papier, MS affiche des engagements très stricts: la base ne conserve pas d’autres informations que celles fournies par l’utilisateur; l’historique des logs est purgé tous les deux jours, et l’éditeur s’interdit de céder des informations de cette base à des sites, qu’ils soient ou non membres de Passport. Logique, un tel système mutualisé ne fonctionne qu’avec des membres placés sur un pied d’égalité. Bref, MS assure qu’il ne compte pas tirer de revenus de ses profils. Si vous utilisez de tels modes de communication, n’automatisez pas complètement la transmission de vos informations financières. Le plus simple est de toujours remplir vous-même la date de validité de votre carte de crédit. Imprimez sans hésiter toutes les pages significatives qui précèdent vos transactions. Ainsi vous disposerez d’un dossier en béton en cas de contestation! A suivre ...