OpenID : Révolution (enfin) en marche ?

30 octobre 2008 | Pas de commentaire| Philippe

Yahoo! était le premier sur l’affaire. Windows Live a décidé récemment de se lancer dans l’aventure. C’est désormais au tour de Google de se déclarer fournisseur OpenID par l’intermédiaire de ses comptes Gmail. L’adoption, tout comme l’utilisation de ce système d’authentification unique étaient encore loin d’être clairs, mais il semblerait que cette nouvelle risque de changer la donne. En effet peu de sites Web permettent à l’heure actuelle de s’authentifier via OpenID (et en France c’est le moins que l’on puisse en dire…)
Désormais, les 3 géants du Web que sont Google, Microsoft et Yahoo! se positionnent en tant que OpenID provider, au même titre que des sociétés comme Verisign (et son Personal Identity Portal) ou bien Sun.
Mais OpenID, qu’est ce donc ? C’est très simple (du moins dans la finalité du système !) : Cela permet aux internautes de s’authentifier avec le même identifiant/mot de passe sur tous les sites supportant cette “technologie”. Ce couple (le login et le password) étant fourni par un OpenID provider, de manière sécurisée, du moins en théorie. Par exemple sur le site NetCV.fr, vous pouvez vous identifier par la méthode standard, c’est à dire avec un compte crée sur le site, mais aussi avec OpenID :

Identité numérique et confiance …

L’utilité de l’openID n’est pas en soit discutable, puisqu’il permet de s’affranchir de gaver votre cerveau de tous ces agaçants logins et mots de passe (comment ça vous n’avez qu’un seul compte sur Multimania?). Par contre ce qui pose un gros souci à mon goût, c’est l’aspect “identité numérique et confiance” … car sur Internet, personne ne sait si vous êtes un chien et je m’explique :
Se faire voler son identité pour des sites qui ne contiennent pas de données (trop) sensibles vous concernant, cela passe encore… (et encore psychologiquement, on vit mal ce genre de choses). Mais avec OpenID, plus de limites, votre identité pourra être utilisée sur tous les sites l’acceptant (y compris des sites de e-commerce, de paiement, etc…) Et en cas de vol, la situation deviendrait explosive ! Peut-on faire confiance à la sécurité fournit par un simple OpenID provider ?
Car la problématique est certainement plus d’ordre moral que technique ! A quel fournisseur accorderez-vous votre confiance ? En ce qui me concerne, je pense que le domaine de compétence dans lequel œuvre le provider est un élément fort (voire indissociable) de confiance (et je parle uniquement de confiance). Par exemple, Verisign est un acteur majeur de la sécurité (au sens large) sur Internet. J’aurais plus tendance à le choisir comme mon fournisseur OpenID. Et techniquement peut-être à tord, car qui dit que Google ne fournit pas un système plus sécurisé que celui de Verisign ? Ce qui est sûr, c’est que le nombre de comptes utilisateurs plaide largement en la faveur des Web giants… Gmail, c’est 400 millions de comptes ! Oui, grosse force de frappe.
Une alternative intéressante serait d’ajouter un deuxième élément d’identification forte. Par exemple l’envoi d’un code sur un téléphone mobile ou fixe (identité de l’utilisateur réelement confirmée). D’ailleurs les banques ont recours à cette méthode.
Il reste encore du chemin à parcourir pour que l’openID devienne un véritable standard… Mais maintenant, Google est de la partie…