Kim Cameron : "L'identité numérique n'est plus virtuelle : elle est tout à fait réelle"

Publié le par internet actu

0707
"Architecte de l'identité et de l'accès" chez Microsoft, Kim Cameron est un acteur majeur du domaine de l'identité numérique.

Au sein de Microsoft, Kim Cameron est responsable de projets tels que l'Active Directory, les services de fédération et d'intégration d'identité, CardSpace. Au-delà, Kim Cameron est surtout connu pour son blog www.identityblog.com et pour avoir proposé les "7 lois de l'identité", une réflexion de référence sur le sens de notre identité en ligne.
InternetActu.net : Vous êtes l'auteur des 7 lois de l'identité. Pourquoi l'identité numérique avait-elle besoin de lois ?

Kim Cameron : En Europe, vous êtes en avance sur les questions de protection de la vie privée, parce que vous êtes sensible à ce sujet et plus actifs en matière de régulation. Mon travail consiste, pour partie, à exprimer les principes que vous connaissez bien sous formes de "lois", afin qu'elles puissent être librement et volontairement adoptées par les entreprises, notamment américaines.
Chez Microsoft, tous les lundis matin, on me fait un point des dernières attaques enregistrées sur l'internet. Et c'est plutôt effrayant. Comme l'internet n'a pas été construit en intégrant la sécurité, tout le monde compense en inventant son propre système, ce qui crée un "patchwork" de solutions et beaucoup de confusion chez les utilisateurs. Les criminels professionnels s'en sont également aperçu et en profitent.

Il faut créer une architecture plus unifiée, que les gens puissent plus facilement appréhender. Aujourd'hui, on trouve des morceaux de solutions, comme  des barres d'outils intégrées sur certains navigateurs - mais c'est un pansement sur une plaie ouverte. Ce que je tente de faire, c'est d'inviter les grandes entreprises du secteur à regarder ensemble le problème sous l'angle de l'architecture.
Bien sûr, les questions sont multiples : depuis protéger un système d'information jusqu'à combattre le spam. Mais peut-on tenter de rapprocher les réponses ?

Passport de Microsoft remplissait une partie de ces critères. Il offrait une solution homogène pour l'utilisateur, mais l'inconvénient était que tout le système était centralisé chez Microsoft. Certes, ce n'est pas un échec : Passport réalise 1 milliard d'authentifications par jour - mais ça ne marche vraiment que dans l'univers des services Microsoft.

Pour dépasser cela, il fallait construire une théorie. Nous avons tenté de comprendre pourquoi des systèmes tels que Passport, mais aussi les infrastructures à clé publique (PKI), avaient si vite rencontré leurs limites, voire carrément échoué. Les PKI fonctionnent pour identifier des sites web (dans SSL), on les rencontre dans beaucoup d'appareils électroniques, etc. - mais elles ne servent pour l'instant pas à identifier des personnes.

InternetActu.net : Quelles sont ces sept lois et leurs implications ?
Kim Cameron : J'ai voulu identifier ce qu'il fallait faire pour construire une architecture qui fonctionnerait de manière globale. D'où les "7 lois de l'identité", qui sont vraiment des lois au sens où pour réussir un système d'identité, il faut vraiment les suivre :

  1. Consentement et contrôle de la part des utilisateurs : L'utilisateur doit contrôler ses informations et pouvoir décider quelles informations divulguer.
    C'est évidemment la base, y compris pour des systèmes publics. Le monde est plein de systèmes qui n'offrent aucun contrôle aux utilisateurs, et qui finissent par échouer pour ces raisons. Les gens doivent être capables de percevoir leur identité et ce qu'on en fait.
  2. Divulgation minimale d'informations pour des usages précis et limités : Les systèmes d'identité ne doivent pas divulguer ou demander plus d'informations que nécessaire dans un contexte donné, et ils utilisent des identificateurs conçus spécialement pour ce contexte.
  3. "Parties légitimes" : Toutes les parties doivent avoir un motif légitime pour faire partie d'une transaction. Les informations sont divulguées aux seules parties qui en ont réellement besoin dans une transaction donnée.
  4. "Identité directionnelle" : Le système doit supporter à la fois des identifiants "omnidirectionnels" ("phares"), très publics (par exemple une URL) et d'autres unidirectionnels, limitées à une transaction précise entre des parties connues. On ne doit pas utiliser des identifiants publics, par exemple le numéro de sécurité sociale, pour tout et tout le monde. Il est déjà trop facile d'agréger des informations autour d'une même personne, il ne s'agit pas de rendre cela trivial. Une clé publique unique pose le même genre de problème, d'ailleurs ; et cela s'étend à l'identifiant d'appareils très personnels tels qu'un téléphone mobile.
  5. Pluralisme d'opérateurs et de technologies : Aucun système d'identité unique n'est suffisant dans tous les contextes, et aucun fournisseur d'identité unique n'est légitime dans tous les contextes.
    Cela me rappelle une étude européenne où l'on demandait si les citoyens faisaient confiance à leur gouvernement comme fournisseur d'identité - et j'ai été surpris de la faiblesse de cette confiance ! Les individus cloisonnent naturellement leurs contextes relationnels, et nous devons construire des systèmes qui reconnaissent cette séparation des contextes par conséquent il faut plusieurs opérateurs, et même plusieurs technologies, qui permettent de préserver la séparation de contextes, et qui (par ailleurs) répondent chacune à certains cas d'usage mieux qu'à d'autres.
  6. Intégration humaine : Toute solution d'identité numérique doit permettre à ses utilisateurs humains d'effectuer des choix compréhensibles et corrects en leur propre nom. Les derniers mètres entre l'ordinateur et l'utilisateur sont ceux où l'essentiel des problèmes a lieu. Le phishing et les autres attaques de type "social engineering" exploitent l'utilisateur. Un système d'identité stable doit limiter ces menaces.
    Mais il faut reconnaître que l'utilisateur n'est jamais vraiment inclus dans la conception des systèmes de sécurité : la sécurité de la connexion technique peut être parfaite, mais celle de la connexion entre la machine et son utilisateur ne l'est, du coup, pas du tout ! Nous avons oublié d'inclure l'utilisateur comme l'un des acteurs des transactions à sécuriser : nous savons parler à la fréquence des machines, mais pas à celle des utilisateurs.
  7. Une expérience homogène dans des contextes différents. Un système d'identité stable présente une abstraction facile à comprendre à l'utilisateur final, cohérente quelle que soit la technologie sous-jacente ou le fournisseur d'identité impliqué.
    Qu'il y ait plusieurs acteurs, technologies, usages... soit, mais il faut homogénéiser l'expérience de l'utilisateur. Nous sommes parvenus à cela pour des systèmes informatiques, des logiciels de traitements de texte... Il s'agit de "réifier" (faire passer du statut d'abstraction à celui d'une chose) l'identité numérique, comme nous y sommes parvenus, par exemple, pour le concept de fichier et de dossier. L'identité numérique ne doit donc plus être virtuelle, elle est tout à fait réelle.

Microsoft a adopté ces lois - ce dont je suis plutôt fier - ce qui créé une pression et une saine émulation sur le reste de l'industrie.

InternetActu.net : Comment passe-t-on à la mise en oeuvre ? Est-il possible de bâtir un système cohérent ?

Kim Cameron : Pour progresser dans la mise en œuvre de ces lois, nous avons conçu un "Métasystème d'identités" baptisé Windows Cardspace. Pour cela nous avons mis au point une définition opératoire de l'identité :

"Une identité numérique est un ensemble d'affirmations (claims) faites par un sujet à propos d'un autre sujet. L'identité est représentée comme un ensemble signé d'affirmations. Une affirmation est quelque chose que quelqu'un dit vous concernant, ou quelque chose que vous dites sur vous-même. Comme dans le monde réel, vous jugez la véracité d'une affirmation en fonction de la personne qui prononce cette affirmation ou, dans le cas du métasystème, en fonction de la personne qui a signé l'affirmation.

 

Une identité numérique ne signifie par 'un identifiant'."

La confiance, en Anglais au moins (trust), est liée à un acte précis. On fait confiance à quelqu'un à une fin bien précise. La confiance aboutit à une disponibilité à agir - mais alors ceci est très difficile à formaliser et à automatiser. On peut aller dans ce sens, par exemple avec les systèmes de réputation, mais jamais sans limite : ça marche pour un livre à 25 €, mais pas pour une Bentley à 250 000 €.

Des affirmations peuvent concerner sa propre identité, des relations (groupes, rôles...). Il peut y avoir des claims dérivées, qui se fondent sur une information limitée et indirecte (comment savoir que quelqu'un est adulte, est bien un étudiant etc. ?) ; des claims d'autorisation (autorisation sans identification), de délégation...

En termes d'architecture, les affirmations sont traitées par un tiers de confiance (Security Token Service), que l'on contacte avec une affirmation et qui vous en fournit en retour une autre. Par exemple, dans un hôtel, je donne ma carte de crédit et je reçois une clé... Il y a plusieurs types de tiers de confiance : des fournisseurs d'identité, des transformateurs de claims, des points de décision de contrôle d'accès.

Windows Cardspace (anciennement nommé InfoCard) est notre plus récente tentative en vue d'une "réification" des concepts d'identité numérique, qui a pour objectif de les rendre moins abstraits et donc, plus aisément manipulables par les individus. Nous y représentons les fournisseurs d'identité par des "cartes".

Le processus se déroule comme suit :

  • Le client demande à accéder à une ressource
  • La ressource indique sa "politique", c'est-à-dire les éléments d'identité qu'elle requiert, et les retourne au client
  • Le système Cardspace regarde les cartes dont il dispose et identifie les fournisseurs d'identité capables de fournir les informations requises. Autrement dit l'information n'est pas du tout nécessairement stockée sur le PC
  • Le fournisseur d'identité reçoit de l'utilisateur la demande d'émettre un "jeton", ce qu'il fait, ou non s'il y a un doute sur la ressource
  • Le jeton revient vers l'utilisateur, puis vers la ressource
  • L'accès à la ressource est alors ouvert

Dans un tel système les acteurs ont un droit mutuel de véto vis-à-vis de leurs affirmations.

InternetActu.net : Quel est l'objectif de Microsoft en implémentant ce nouveau système ?
Kim Cameron : Plutôt que de construire des systèmes pour répondre bien à des questions précises, nous avons cherché une théorie capable d'appliquer une architecture d'identité sur l'internet tel qu'il est. Nous avons tenté de faire en sorte que ce système puisse être adopté partout, par tout le monde, de manière pérenne. Les lois de l'identité nous ont permis de concevoir un système cohérent.

Mais ceci ne servirait à rien si la technologie était uniquement Microsoft. L'identité sert à entrer en relation avec les autres. Le système doit marcher sur tous les systèmes d'exploitation, sur les mobiles, ... Nous travaillons beaucoup sur l'interopérabilité, notamment via les "Connectathons".

Dans environ 18 mois, voire moins, 60% des PC de la planète devraient disposer de logiciels CardSpace. Nous espérons alors que les fournisseurs de services se seront mobilisés. A ce moment-là nous activerons le dispositif et ferons jouer toute notre puissance. CardSpace sera dans tous nos logiciels et nous pourrons nous en servir pour accéder à notre Windows même à distance. Le but de Microsoft n'est pas d'être en concurrence avec les autres sur la gestion d'identité, mais d'accélérer le déploiement de ces technologies pour le bien général du secteur. La propriété intellectuelle de MS sur ce système a été placée dans un "Open Specification Promise" (OSP, engagement sur une spécification ouverte).

Publicité
Pour être informé des derniers articles, inscrivez vous :
Commenter cet article