Microsoft accepte dêtre cloné pour mieux pouvoir nous identifier
“Dans environ 18 mois, 60% des PC de la planète devraient disposer de logiciels CardSpace“, l’interface de gestion des identités et accès de Microsoft. Le propos, émanant de Kim Cameron, “architecte de l’identité” de Microsoft, a de quoi étonner, cette technologie étant largement ignorée du grand public : le moteur de recherche Live Search de Microsoft ne recense ainsi que 241 mentions de CardSpace en français. Mais il se pourrait fort que la prédiction de Cameron se réalise bel et bien.
Le 14 juin dernier, il a exposé sa vision du futur de l’identité numérique, en petit comité, à Paris (cf le compte-rendu qu’en a fait Daniel Kaplan). D’entrée, il a tenu à précisé comment il en était arrivé à s’intéresser à la question : “j’ai commencé ma vie professionnelle en construisant un “metadirectory” dont la fonction était notamment de rassembler des identités en un seul point. Puis je me suis rendu compte que cela causait des problèmes, et je suis passé de l’autre côté” (”de la force”, sous-entendu).
En 2004, il publie sur son blog ses désormais célèbres 7 lois de l’identité (en VF). Elles font aujourd’hui d’autant plus autorité en matière d’identification des internautes qu’elles ont été rédigées, ou corrigées, en fonction des réactions suscitées dans la blogosphère et auprès de nombreux autres spécialistes de l’identité numérique.
Il y est question de :
- 1. Consentement et contrôle de l’utilisateur, qui doit pouvoir décider quelles informations divulguer à qui.
- 2. Divulgation a minima et usage restreint des données : les systèmes d’identité ne divulguent pas plus d’informations que nécessaire, en fonction du contexte donné.
- 3. Parties légitimes : les informations ne peuvent être divulguées qu’aux parties ayant un motif nécessaire et légitime à y accéder, dans un temps donné.
- 4. Identité dirigée : on ne doit pas utiliser des identifiants publics (tels que le n° de sécurité sociale) pour tout et tout le monde, les systèmes d’identité doivent donc prendre en charge des identifiants “omnidirectionnels” (par ex. des URL) lors des transactions publiques, et “unidirectionnels” pour ce qui doit rester privé, afin d’éviter les fuites.
- 5. Pluralisme d’opérateurs et de technologies : il ne peut y avoir de système d’identité unique quel que soit le contexte; par conséquent il faut plusieurs opérateurs, et plusieurs technologies, qui permettent de préserver la séparation de contextes, et qui répondent aux différents cas d’usage.
- 6. Intégration des humains : toute solution d’identité numérique doit permettre à ses utilisateurs d’effectuer des choix compréhensibles et corrects en leur propre nom. Comme le résume Cameron, “La sécurité de la connexion technique peut être parfaite, mais celle de la connexion entre la machine et son utilisateur ne l’est, du coup, pas du tout ! Nous avons oublié d’inclure l’utilisateur comme l’un des acteurs des transactions à sécuriser ; nous savons parler à la fréquence des machines, mais pas à celle des utilisateurs”.
- 7. Une expérience homogène quel que soit le contexte : “il s’agit de “réifier” l’identité numérique, comme nous y sommes parvenus, par exemple, pour les concepts de fichier et de dossier. L’identité numérique ne doit plus être virtuelle, elle est tout à fait réelle“, et doit donc présenter une interface facile à comprendre pour l’utilisateur et cohérente quelle que soit la technologie sous-jacente ou le fournisseur d’identité impliqué.
/http%3A%2F%2Fwww.internetactu.net%2Fwp-content%2Fuploads%2F2007%2F07%2Fcardspace_c1.jpg)
Cameron parle aujourd’hui de “métasystème d’identités” pour répondre au fait que nous ayons successivement, ou alternativement, besoin de décliner notre identité, ou bien l’un de nos pseudonymes, de prouver que l’on réside en France, voire que l’on est Français, que l’on a plus, ou moins, de 18 ans, d’être identifié comme l’auteur de tel blog, salarié de telle société ou membre de tels réseaux, etc.
Pour lui, “une identité numérique ne signifie par ‘un identifiant’”, mais “un ensemble de claims (ou assertions sujettes à caution) faites par un sujet à propos d’un autre sujet“. Ces “claims” peuvent concerner sa propre identité, des relations (groupes, rôles…), etc. Il peut y avoir aussi des “claims” dérivées se fondant sur une information indirecte et limitée (comment savoir que quelqu’un est adulte, est bien un étudiant etc. ?), mais aussi des “claims” d’autorisation (sans identification) ou de délégation…
Concrètement, les fournisseurs d’identités apparaissent sous forme de cartes, que l’internaute choisit lorsqu’il doit s’identifier, en fonction des services utilisés. Et c’est toute la différence avec Passport : au lieu de mettre en place une base de données centralisées (qui plus est aux mains du seul “ogre” Microsoft), “nous avons tenté de faire en sorte que ce système puisse être adopté partout, par tout le monde, de manière pérenne“, explique Cameron.
Et comme les lois de l’identité, qui ont présidé à la conception du système, ont été pensées, revues et corrigées, de concert avec nombre d’experts, et de la blogosphère, il n’y aura pas un, mais de très nombreux “fournisseurs d’identités“, ainsi que de très nombreuses applications permettant d’y accéder. En septembre dernier, Microsoft a en effet lâché 35 de ses brevets et placé son projet sous licence Open Specification Promise (OSP) afin de permettre à quiconque de s’en inspirer pour créer des logiciels interopérables.
Le projet a inspiré la communauté du logiciel libre, qui propose aujourd’hui des plug-ins pour Firefox, des plateformes java et php et des clones de CardSpace, tels Higgins ou Bandit, soutenus par IBM et Novell.
Ce qui fait qu’effectivement, il est possible que d’ici quelques mois “60% des PC de la planète” disposent de logiciels CardSpace, qu’il s’agisse de celui de Microsoft, ou de ses clones. Ou comment, pour permettre aux internautes de mieux pouvoir s’identifier, il a fallu que Microsoft accepte d’être cloné…