Plan d’action du Groupe de travail : lire

kldfmhksdùfmh


Accès aux présentations


Atelier 1– Les technologies de gestion de l’identité 

Ce premier atelier ouvre une série de quatre ateliers sur les thèmes structurants du domaine de la gestion des identités, qui se tiendront jusqu’au mois de juin 2009.

L’objectif du Groupe de travail pour l’année 2009 sera en particulier, outre le nécessaire état de l’art en la matière, d’identifier les besoins, et de faire des recommandations pour la mise en œuvre de solutions de gestion de l’identité dans le cadre des différents services et usages adressés à l’utilisateur (en tant qu’individu, client, citoyen ou même professionnel). Le Groupe de travail permettra également de faciliter les rencontres entre les acteurs intéressés par le sujet.

Introduction : Ludovic Francesconi, Groupement des Cartes Bancaires, co-rapporteur du Groupe de travail

Rappel de la démarche et du plan de travail, ordre du jour.

Lien vers présentation

InfoCard : Paul Trevithick, Parity, Président de la Fondation InfoCard, responsable du projet Higgins

Le concept d’InfoCard (ou I-Card ou Information Card)  est centré sur l’utilisateur, et basé sur l’utilisation d’un client sélecteur d’identité téléchargeable. Il utilise des protocoles standardisés par l’OASIS, il s’agit d’une solution libre (open source) et interopérable.

Pour l’authentification, tout type de moyen peut être utilisé, y compris une carte à puce. La gestion de la vie privée est assurée par le client, l’absence de client pose donc problème.

Les InfoCards vont se développer rapidement selon Paul Trevithick. Il annonce que l’une des plus grandes banques et l’un des plus importants commerçants aux Etats-Unis vont bientôt utiliser des InfoCards.

Acceptabilité

Aucune étude n’a été faite pour savoir si les utilisateurs comprennent ce système (« est-ce du plastique ? ») et sont prêts à l’utiliser. Paul Trevithick reconnaît que la sécurité est un domaine qui a vécu de nombreux échecs commerciaux en raison de l’absence de prise en compte de l’utilisabilité pratique. De plus il est nécessaire d’installer le sélecteur (client de 15 Mo).

Accès aux données

Qui peut avoir accès aux données ?

Elles sont soit stockées localement sur la machine, soit – dans le cas d’une carte managée – sur un serveur de données. Dans ce cas, l’InfoCard qui se matérialise sur l’écran n’est qu’un pointeur vers la donnée, qui est toujours à jour.

Lien vers la présentation

Liberty Alliance : Fulup AR FOLL, Sun

Liberty Alliance (LA) a été mis en œuvre il y a 5 ans à l’initiative des banques et systèmes de paiement aux Etats-Unis, en réponse à Microsoft Passport. LA est constitué d’un ensemble de protocoles standardisés intégrant la gestion de la vie privée et le contexte d’authentification, dont le plus connu est SAML 2. Les standards sont ensuite maintenus sur le long terme par des organismes tels que OASIS, l’ISO ou l’ITU. Liberty Alliance collecte des cas d’usage et valide leur éligibilité.

Le modèle LA est distribué : l’utilisateur va directement à l’application, et ne passe pas par le site de son fournisseur d’identités. Le fournisseur de service reste maître chez lui, et l’utilisateur ne voit pas la complexité.

LA vs. les autres solutions de gestion d’identité

Selon Fulup Ar Foll, le terme « user centric » est une plaisanterie : on est forcément représenté par quelqu’un sur le réseau. Selon lui, Open ID a un problème d’utilisabilité : personne ne veut éduquer les utilisateurs car tout le monde veut utiliser l’identité dont il dispose (ex. Google, Orange, etc). En ce qui concerne les sélecteurs d’identité (ex. Cardspace), il considère que le système de cartes pose problème dans le sens où l’utilisateur choisit l’identité qu’il veut fournir. Par ailleurs, lors de la relâche d’attributs, il affirme qu’on ne peut pas sélectionner ce qu’on envoie (on envoie toute la carte), ce qui est contesté par Microsoft.

Relations entre acteurs

Dans LA, les relations reposent uniquement sur des contrats bilatéraux entre fournisseurs d’identité (autorités) et fournisseurs de services. C’est un engagement fort, qui permet d’éviter de poser des questions sans cesse à l’utilisateur. En revanche, l’interopérabilité des services est très limitée.

Les contrats découlent d’une question de confiance. Il existe un lien de confiance entre l’utilisateur et l’autorité, c’est pourquoi les banques sont intéressées à être des autorités. D’autres acteurs sont légitimes, ex. Microsoft ou Nokia, mais il y aura relativement peu de classes d’autorités (100 en France au maximum).

Il y aura certainement des autorités intermédiaires pour assurer l’interopérabilité. Ex. dans le secteur bancaire, cela pourrait être un groupement de banques, qui permettrait à une banque qui n’a pas de contrat avec le fournisseur de service de fournir des identités via une banque partenaire du site en question.

Lien vers la présentation

Point de vue d’un intégrateur de solution Liberty Alliance : Christophe BOUTET, Entr’ouvert

Entr’Ouvert a débuté ses travaux sur l’identité en 2003. L’un des premiers projets concernait une carte de vie quotidienne (CVQ) pour l’Administration. En France, comme partout ailleurs, l’Administration a fait le choix de Liberty Alliance (LA).

Dans le monde LA, il y a eu des velléités d’interopérabilité au niveau mondial, qui se sont matérialisées dans le projet Concordia.

Au niveau français, Entr’Ouvert est partie prenante du projet FC² dont l’objectif est de faire communiquer tout le monde, c’est-à-dire faire interagir OpenID, Cardspace et Liberty Alliance au sein de différents cas d’usage (publics et privés).

Concernant la CNIE, l’enjeu sera de surmonter l’acceptation d’un lecteur de cartes (notamment au niveau du coût ; capacité ou non à opérer des services marchands). Le croisement entre le régalien et le BtoC est intéressant notamment pour récupérer certaines données en l’absence de registre national de la population (ex. adresse postale).

Concernant l’authentification, on constate que le couple identifiant – mot de passe est utilisé à 99,9 % aujourd’hui. Les différentes solutions de gestion des identités n’ont pas de méthode d’authentification a priori. L’authentification par carte a été tentée en Belgique (avec la CNIE belge), mais les freins – achat + installation du lecteur quand il n’est pas intégré – sont difficiles à surmonter. L’utilisation du GSM pourrait être un bon moyen, car il est sécurisant et peu complexe à utiliser.

Du point de vue de la collecte d’informations, on devrait collecter uniquement ce qui est nécessaire. Cela résout le problème de l’archivage. Le mécanisme de partage d’attributs en temps réel semble être la bonne solution, ID-WSF semble pertinent pour cela.

En conclusion, on ne situera certainement pas sur une technologie unique, mais plutôt un mix entre plusieurs technologies qui seront capables d’inter opérer.

OpenID et solutions Orange : Sébastien BRAULT, Karim SBATA, Orange Labs

OpenID :

Selon Orange, il s’agit de l’une des offres d’identité les plus matures du marché, avec aujourd’hui plusieurs milliers de sites acceptant OpenID. La première version était basée sur la connaissance par l’utilisateur de son URL, symbolisant son identité. Ceci avait l’avantage d’offrir certains scénarios transactionnels intéressants, mais n’était pas adapté pour le grand public (qui ne retient pas facilement une URL). Aujourd’hui OpenID v2 permet l’accès au plus grand nombre au Single Sign On.

OpenID et l’authentification Liberty peuvent se positionner sur plusieurs points sensiblement de la même manière. Il semble que SAML soit plus utilisé dans les administrations, les back-offices (notamment mon-servicepublic.fr, des services de réservation aérienne, etc.).

L’un des freins d’OpenID provient de la logique d’émission/acceptation du système. Si un grand nombre d’acteurs sont positionnés comme émetteurs d’OpenID, peu sont aujourd’hui accepteurs en particulier parmi les grandes entreprises.

Autres services basés sur l’identité (APIs personnelles Orange) :

Orange propose aujourd’hui une authentification OpenID ainsi qu’une autre méthode basée sur SAML. Cette dernière ouvre aussi l’accès à un ensemble de services liés à l’identité, et permet aux clients Orange d’utiliser leurs services (messages, contacts, calendrier, profil, photo, etc.) directement depuis un site web de tiers. Il s’agit d’une solution propriétaire, mais les standards OAuth (mécanisme d’authentification pour l’accès à une API, ainsi que des travaux à la GSM Association – OneAPI) permettront dans un proche futur à tous les acteurs d’offrir leurs services dans un contexte uniforme et sécurisé.

Ces services personnels sont basés sur une plate-forme de « Privacy », permettant à l’utilisateur un opt-in des règles de partages de services et d’informations, ainsi qu’un contrôle à tout moment des accès par les sites web auxquels il a donné son accord.

Questions :

Y’a-t-il un « Business Model » autour de l’identité ?

Les intervenants répondent qu’il est quasiment impossible de produire aujourd’hui un Business Model bénéficiaire basé uniquement sur des revenus directs de l’identité. En revanche, les gains en terme d’usage, d’écosystème dans son ensemble permettant les interactions entre services sont notamment des éléments à prendre en compte.

Lien vers la présentation

Cardspace et solutions Microsoft : Pierre COUZY et Philippe BERAUD, Microsoft France

Présentation des initiatives Cardspace et « Geneva » (server + framework). Les technologies sont basées sur les standards ouverts WS-trust d’Oasis afin de favoriser l’interopérabilité.

La taille du client du nouveau Carspace Geneva a été réduite à moins de 5 Mo, ce qui devrait faciliter son utilisation, grâce à une meilleure réactivité. L’ergonomie a été améliorée, et le nombre de clics diminué.

Introduction sur la technologie de « Zero Knowledge », baptisée UProve (voir p. 13 de la présentation).

Concernant l’utilisation de cartes à puces pour l’authentification, Microsoft indique que le nouvel OS Windows 7 permettra une expérience « plug and play », sans installation spécifique.

Questions

Est-ce Microsoft travaille avec Apple pour l’implémentation de Cardspace sur Mac ?

Microsoft travaille autant que possible à publier l’ouverture des spécifications et à faciliter les implémentations. Il est possible pour n’importe qui d’implémenter un sélecteur Cardspace sur Mac.

Y’a-t-il une version de Cardspace compatible Windows Mobile?

Il y a eu des versions réservées aux développeurs permettant l’usage de Cardspace sur des OS windows Mobile. Cependant ces versions n’ont pas été étendues aux dernières versions publiées des OS mobiles.

OpenID et Cardspace : avantages de l’un et l’autre ?

Cardspace est une solution côté utilisateur. Elle est potentiellement plus sensible aux attaques que des solutions réseau, mais peut aussi être sécurisée par divers moyens. OpenID est plus sensible aux attaques de type Phishing.

Combien de fournisseurs de services ont implémenté Cardspace ?

Pas de chiffre public. On constate que le nombre de scénarios concrets explorés augmente. Dans le domaine bancaire, en particulier, plusieurs acteurs souhaiteraient utiliser des agents, de même que dans le domaine de la santé.

Lien vers la présentation

Atelier 2 – Services et Usages lire

Ce deuxième atelier du Groupe de travail “gestion des identités” est consacré aux Services et aux usages.

Les usages de la gestion des identités, actuels et anticipés, prennent des formes variées. Leur analyse part forcément de l’étude des bénéfices qu’elle apporte aux différents acteurs, par exemple :

– fournir un confort supplémentaire et plus de simplicité à l’utilisateur pour l’accès répété ou unique à des services en ligne, de manière homogène (ce qui suppose une interopérabilité).

– apporter une réelle valeur ajoutée pour le fournisseur de service, que ce soit pour l’identification et la connaissance de son client, l’optimisation de ses process ou l’augmentation du taux de transformation sur son site.

– permettre la dématérialisation totale de transactions complexes, impossible actuellement.

Ces bénéfices sont-ils réalistes ? Pour quels types d’usages ?

Les services de gestion des identités sont-ils viables économiquement ? Quel est le niveau de responsabilité acceptable par les différents acteurs ?

Dans quelle mesure les utilisateurs sont-ils prêts à utiliser de tels services ?

Cet atelier se propose de contribuer à répondre à ces questions clés dans la sphère privée, grâce aux témoignages et expériences de marchands, banques, acteurs du web 2.0 et autres fournisseurs de services, mais aussi de gestionnaires d’identités en ligne.

Accès aux présentations

Introduction et cadrage : Jean-Pierre Buthion, Président de la Commission Identités

Restitution de l’atelier technologies : analyse et synthèse sur les solutions de gestion des identités, Olivier Maas, Membre du comité de pilotage du groupe de travail

Studyrama : Expression du besoin pour une gestion de l’identité des utilisateurs pérenne, Thibault Cautherman, Responsable Internet

Contractualisation en ligne ; problématique spécifiques et attentes : Olivier Mass, Atos Wordline

Docapost (groupe La Poste) : Marie-Noëlle Gibon, Directrice Générale

118 712 : Rayane Chawaf, Directeur marketing et partenariat

CBS Interactive : Mustapha Omar, Responsable projet internet

Atelier 3 – Services et usages de gestion des identités dans la sphère publique lire

Ce troisième atelier du Groupe de travail “gestion des identités” est consacré aux Services et usages de gestion des identités dans la sphère publique : rôle des acteurs publics et émergence de nouveaux services numériques pour les usagers

Introduction; Jean-Pierre BUTHION, Groupement des Cartes Bancaires CB – Vice-président de l’Acsel

Vision et enjeux du rôle des acteurs publics dans la gestion d’identité numérique , Marie Hélène MARTINEZ, chef du Service Innovation et développement, CDC , Maud FRANCA, Responsable e-Administration, CDC

Le compte unique administratif des citoyens – Bilan et perspectives du programme
“Mon Service Public.fr”
et de l’expérimentation “Adeline” ,
Christian TRICAUD, Chef du pôle projets fonctionnels, DGME , Maud FRANCA, Responsable e-Administration, CDC , François FOUILLET, DSI, Communauté de Communes de Parthenay

L’identité numérique, au cœur des services numériques développés par les collectivités territoriales : présentation du service d’inscription à la crèche réalisé dans le cadre du consortium FC² pour la ville de Saint-Lô, Jean-Pierre TUAL, Directeur des relations industrielles, Gemalto , Hervé JEAN, Directeur R&D, CEV Group

e-ID Card en France et en Europe, perspectives et enjeux , Jean-Luc AMINOT, Commissaire Divisionnaire

Atelier 4 “Construire un univers de confiance pour l’identité numérique

Prochaine réunion : Restitution de l’enquête CDC/ACSEL auprès du grand public.
le 2 octobre de 9h à 12h30 dans les locaux de Baker&McKenzie au 1, rue Paul Baudry, Paris 8.

Accès comptes rendus et aux documents :

gfsgfs

Atelier 3. « Services et usages publics de l’identité numérique» en partenariat avec la Caisse des Dépôts (CDC Numérique) , 29 juin

Atelier 2. Services et Usages, 13 mai

Atelier 1. Les technologies de la gestion des identités, 12 mars

Réunion de lancement, 28 janvier

In itunes, click on your phone and uncheck the encrypt local besttrackingapps.com/ backup box