Compte rendu et accès aux présentations

sflq

Ce premier atelier ouvre une série de quatre ateliers sur les thèmes structurants du domaine de la gestion des identités, qui se tiendront jusqu’au mois de juin 2009.

L’objectif du Groupe de travail pour l’année 2009 sera en particulier, outre le nécessaire état de l’art en la matière, d’identifier les besoins, et de faire des recommandations pour la mise en œuvre de solutions de gestion de l’identité dans le cadre des différents services et usages adressés à l’utilisateur (en tant qu’individu, client, citoyen ou même professionnel). Le Groupe de travail permettra également de faciliter les rencontres entre les acteurs intéressés par le sujet.

Introduction : Ludovic Francesconi, Groupement des Cartes Bancaires, co-rapporteur du Groupe de travail

Rappel de la démarche et du plan de travail, ordre du jour.

Lien vers présentation

InfoCard : Paul Trevithick, Parity, Président de la Fondation InfoCard, responsable du projet Higgins

Le concept d’InfoCard (ou I-Card ou Information Card) est centré sur l’utilisateur, et basé sur l’utilisation d’un client sélecteur d’identité téléchargeable. Il utilise des protocoles standardisés par l’OASIS, il s’agit d’une solution libre (open source) et interopérable.

Pour l’authentification, tout type de moyen peut être utilisé, y compris une carte à puce. La gestion de la vie privée est assurée par le client, l’absence de client pose donc problème.

Les InfoCards vont se développer rapidement selon Paul Trevithick. Il annonce que l’une des plus grandes banques et l’un des plus importants commerçants aux Etats-Unis vont bientôt utiliser des InfoCards.

Acceptabilité

Aucune étude n’a été faite pour savoir si les utilisateurs comprennent ce système (« est-ce du plastique ? ») et sont prêts à l’utiliser. Paul Trevithick reconnaît que la sécurité est un domaine qui a vécu de nombreux échecs commerciaux en raison de l’absence de prise en compte de l’utilisabilité pratique. De plus il est nécessaire d’installer le sélecteur (client de 15 Mo).

Accès aux données

Qui peut avoir accès aux données ?

Elles sont soit stockées localement sur la machine, soit – dans le cas d’une carte managée – sur un serveur de données. Dans ce cas, l’InfoCard qui se matérialise sur l’écran n’est qu’un pointeur vers la donnée, qui est toujours à jour.

Lien vers la présentation

Liberty Alliance : Fulup AR FOLL, Sun

Liberty Alliance (LA) a été mis en œuvre il y a 5 ans à l’initiative des banques et systèmes de paiement aux Etats-Unis, en réponse à Microsoft Passport. LA est constitué d’un ensemble de protocoles standardisés intégrant la gestion de la vie privée et le contexte d’authentification, dont le plus connu est SAML 2. Les standards sont ensuite maintenus sur le long terme par des organismes tels que OASIS, l’ISO ou l’ITU. Liberty Alliance collecte des cas d’usage et valide leur éligibilité.

Le modèle LA est distribué : l’utilisateur va directement à l’application, et ne passe pas par le site de son fournisseur d’identités. Le fournisseur de service reste maître chez lui, et l’utilisateur ne voit pas la complexité.

LA vs. les autres solutions de gestion d’identité

Selon Fulup Ar Foll, le terme « user centric » est une plaisanterie : on est forcément représenté par quelqu’un sur le réseau. Selon lui, Open ID a un problème d’utilisabilité : personne ne veut éduquer les utilisateurs car tout le monde veut utiliser l’identité dont il dispose (ex. Google, Orange, etc). En ce qui concerne les sélecteurs d’identité (ex. Cardspace), il considère que le système de cartes pose problème dans le sens où l’utilisateur choisit l’identité qu’il veut fournir. Par ailleurs, lors de la relâche d’attributs, il affirme qu’on ne peut pas sélectionner ce qu’on envoie (on envoie toute la carte), ce qui est contesté par Microsoft.

Relations entre acteurs

Dans LA, les relations reposent uniquement sur des contrats bilatéraux entre fournisseurs d’identité (autorités) et fournisseurs de services. C’est un engagement fort, qui permet d’éviter de poser des questions sans cesse à l’utilisateur. En revanche, l’interopérabilité des services est très limitée.

Les contrats découlent d’une question de confiance. Il existe un lien de confiance entre l’utilisateur et l’autorité, c’est pourquoi les banques sont intéressées à être des autorités. D’autres acteurs sont légitimes, ex. Microsoft ou Nokia, mais il y aura relativement peu de classes d’autorités (100 en France au maximum).

Il y aura certainement des autorités intermédiaires pour assurer l’interopérabilité. Ex. dans le secteur bancaire, cela pourrait être un groupement de banques, qui permettrait à une banque qui n’a pas de contrat avec le fournisseur de service de fournir des identités via une banque partenaire du site en question.

Lien vers la présentation

Point de vue d’un intégrateur de solution Liberty Alliance : Christophe BOUTET, Entr’ouvert

Entr’Ouvert a débuté ses travaux sur l’identité en 2003. L’un des premiers projets concernait une carte de vie quotidienne (CVQ) pour l’Administration. En France, comme partout ailleurs, l’Administration a fait le choix de Liberty Alliance (LA).

Dans le monde LA, il y a eu des velléités d’interopérabilité au niveau mondial, qui se sont matérialisées dans le projet Concordia.

Au niveau français, Entr’Ouvert est partie prenante du projet FC² dont l’objectif est de faire communiquer tout le monde, c’est-à-dire faire interagir OpenID, Cardspace et Liberty Alliance au sein de différents cas d’usage (publics et privés).

Concernant la CNIE, l’enjeu sera de surmonter l’acceptation d’un lecteur de cartes (notamment au niveau du coût ; capacité ou non à opérer des services marchands). Le croisement entre le régalien et le BtoC est intéressant notamment pour récupérer certaines données en l’absence de registre national de la population (ex. adresse postale).

Concernant l’authentification, on constate que le couple identifiant – mot de passe est utilisé à 99,9 % aujourd’hui. Les différentes solutions de gestion des identités n’ont pas de méthode d’authentification a priori. L’authentification par carte a été tentée en Belgique (avec la CNIE belge), mais les freins – achat + installation du lecteur quand il n’est pas intégré – sont difficiles à surmonter. L’utilisation du GSM pourrait être un bon moyen, car il est sécurisant et peu complexe à utiliser.

Du point de vue de la collecte d’informations, on devrait collecter uniquement ce qui est nécessaire. Cela résout le problème de l’archivage. Le mécanisme de partage d’attributs en temps réel semble être la bonne solution, ID-WSF semble pertinent pour cela.

En conclusion, on ne situera certainement pas sur une technologie unique, mais plutôt un mix entre plusieurs technologies qui seront capables d’inter opérer.

OpenID et solutions Orange : Sébastien BRAULT, Karim SBATA, Orange Labs

OpenID :

Selon Orange, il s’agit de l’une des offres d’identité les plus matures du marché, avec aujourd’hui plusieurs milliers de sites acceptant OpenID. La première version était basée sur la connaissance par l’utilisateur de son URL, symbolisant son identité. Ceci avait l’avantage d’offrir certains scénarios transactionnels intéressants, mais n’était pas adapté pour le grand public (qui ne retient pas facilement une URL). Aujourd’hui OpenID v2 permet l’accès au plus grand nombre au Single Sign On.

OpenID et l’authentification Liberty peuvent se positionner sur plusieurs points sensiblement de la même manière. Il semble que SAML soit plus utilisé dans les administrations, les back-offices (notamment mon-servicepublic.fr, des services de réservation aérienne, etc.).

L’un des freins d’OpenID provient de la logique d’émission/acceptation du système. Si un grand nombre d’acteurs sont positionnés comme émetteurs d’OpenID, peu sont aujourd’hui accepteurs en particulier parmi les grandes entreprises.

Autres services basés sur l’identité (APIs personnelles Orange) :

Orange propose aujourd’hui une authentification OpenID ainsi qu’une autre méthode basée sur SAML. Cette dernière ouvre aussi l’accès à un ensemble de services liés à l’identité, et permet aux clients Orange d’utiliser leurs services (messages, contacts, calendrier, profil, photo, etc.) directement depuis un site web de tiers. Il s’agit d’une solution propriétaire, mais les standards OAuth (mécanisme d’authentification pour l’accès à une API, ainsi que des travaux à la GSM Association – OneAPI) permettront dans un proche futur à tous les acteurs d’offrir leurs services dans un contexte uniforme et sécurisé.

Ces services personnels sont basés sur une plate-forme de « Privacy », permettant à l’utilisateur un opt-in des règles de partages de services et d’informations, ainsi qu’un contrôle à tout moment des accès par les sites web auxquels il a donné son accord.

Questions :

Y’a-t-il un « Business Model » autour de l’identité ?

Les intervenants répondent qu’il est quasiment impossible de produire aujourd’hui un Business Model bénéficiaire basé uniquement sur des revenus directs de l’identité. En revanche, les gains en terme d’usage, d’écosystème dans son ensemble permettant les interactions entre services sont notamment des éléments à prendre en compte.

Lien vers la présentation

Cardspace et solutions Microsoft : Pierre COUZY et Philippe BERAUD, Microsoft France

Présentation des initiatives Cardspace et « Geneva » (server + framework). Les technologies sont basées sur les standards ouverts WS-trust d’Oasis afin de favoriser l’interopérabilité.

La taille du client du nouveau Carspace Geneva a été réduite à moins de 5 Mo, ce qui devrait faciliter son utilisation, grâce à une meilleure réactivité. L’ergonomie a été améliorée, et le nombre de clics diminué.

Introduction sur la technologie de « Zero Knowledge », baptisée UProve (voir p. 13 de la présentation).

Concernant l’utilisation de cartes à puces pour l’authentification, Microsoft indique que le nouvel OS Windows 7 permettra une expérience « plug and play », sans installation spécifique.

Questions

Est-ce Microsoft travaille avec Apple pour l’implémentation de Cardspace sur Mac ?

Microsoft travaille autant que possible à publier l’ouverture des spécifications et à faciliter les implémentations. Il est possible pour n’importe qui d’implémenter un sélecteur Cardspace sur Mac.

Y’a-t-il une version de Cardspace compatible Windows Mobile?

Il y a eu des versions réservées aux développeurs permettant l’usage de Cardspace sur des OS windows Mobile. Cependant ces versions n’ont pas été étendues aux dernières versions publiées des OS mobiles.

OpenID et Cardspace : avantages de l’un et l’autre ?

Cardspace est une solution côté utilisateur. Elle est potentiellement plus sensible aux attaques que des solutions réseau, mais peut aussi être sécurisée par divers moyens. OpenID est plus sensible aux attaques de type Phishing.

Combien de fournisseurs de services ont implémenté Cardspace ?

Pas de chiffre public. On constate que le nombre de scénarios concrets explorés augmente. Dans le domaine bancaire, en particulier, plusieurs acteurs souhaiteraient utiliser des agents, de même que dans le domaine de la santé.

Lien vers la présentation

The subject of this paper is pro-academic-writers.com/ my experience with ferrets as pets