Protéger sa réputation sur Internet avec OpenID

Sur Internet, chacun sait qu’il est possible de se faire pirater sa carte bancaire. Mais il est encore plus simple d’envoyer un email sous une fausse identite. Par exemple, si le mail contient des propos racistes et sont envoyes sous le nom d’un quelconque employe, le doute s’installe, meme si l’auteur n’y est pour rien! Et le risque est réel: le virus Sober.H, un troyen envoie des spams contenant des propos nazis en allemand à tout le carnet d’adresses de Windows.

Les réseaux sociaux attirent toujours plus d’adeptes, et du fait du caractère déclaratif des informations fournies au site, comment être sûr que l’on envoie bien un email à la personne que l’on pense? (par exemple, il existe plusieurs dizaines de Steve Jobs, le patron d’Apple).
D’un autre côté, la peur du Big Brother pousse à donner de fausses informations pour se protéger des publicités de Google, des mails de publicités. Quel dilemme!

Entre les deux extremes, le besoin de créer une identite verifiable qui permet à ses correspondants de vérifier que l’auteur des messages sur les blogs, sites, reseaux sociaux… est bien celui a qui ils pensent. C’est sur ce point qu’Open ID apporte une solution. Plus standard dès l’origine que Microsoft Cardspace, car construit sur des technologies multi-plateformes et éprouvées (HTTPS, SSL, URI…), il est proposé par plusieurs éditeurs, relié notamment à des identifiants existants: AOL, Orange, WordPress… ou pour créer des identifiants totalement nouveaux: MyID.net, Verisign, MyOpenID.

OpenID permet-il le tracage de l’internaute?

Le choix est vaste, mais l’enjeu est également d’importance: en effet, grâce à OpenID, le site pourrait connaitre encore plus le comportement d’un internaute! Pourquoi, comment? Il suffit de voir comment fonctionne l’authentification avec OpenID:

• L’utilisateur désire poster un message sur un forum. Si l’administrateur a decide que seuls les utilisateurs enregistres ont le droit de laisser un mot: il faut créer un compte sur le site. Aujourd’hui, il faut quelques dizaines de secondes pour laisser ses noms, prénoms, adresse email… et choisir un login et mot de passe. Naturellement, il faut se souvenir des informations données (elles seront nécessaires pour retrouver le mot de passe).
• Avec OpenID, toutes ces informations sont centralisées sur un site référent, par exemple, celui de mon site chez WordPress.
  Il me suffit donc de donner l’adresse web (URL) pour que les deux sites web communiquent et se partagent les informations nécessaires (en principe, n’importe quelle information: email, Avatar, date de naissance, loisirs…).
• L’intéret d’OpenID est que l’utilisateur a tout de meme sont mot a dire: en effet le site référent demande a l’utilisateur de valider l’envoi des informations au site demandeur, cela implique que l’utilisateur consent à donner ces informations au site les demandant. OpenID apporte donc une certaine transparence.Note: Une procedure de fonctionnement illustrée existe ici

Mais il n’existe (autant que je sache), aucune raison que le fournisseur d’OpenID n’enregistre le site auquel vous voulez acceder, la frequence de vos acces… Un site comme Yahoo, Google… peut donc en apprendre encore plus sur vous. Mais est-ce vraiment un mal?, il me semble interessant d’avoir un moyen de dire, voire certifier au monde que oui, j’ai dit telle ou telle chose ou laissé tel message, commentaire… J’ai le courage de mes opinions mais je ne souhaite pas que quelqu’un d’autre me fasse dire des choses que je ne pense pas (tel le virus Sober.H). Le site http://myid.is/ propose justement de se créer une page de référence qui listera tous mes écrits sur le Net (Note: le site n’est pas encore ouvert, le prix de ce certificat devrait être de cinq euros, valable à vie).

Au final, on peut dire qu’OpenID permet de centraliser le classique tandem login/mot de passe sur un seul site et de ne pas le dupliquer sur de multiples sites. Le choix d’un fournisseur d’OpenID ne devient donc pas innocent, car ce site devient un pilier central de son existence sur la toile, et il faut lui faire une confiance aveugle par-rapport a la sécurisation des donnees. Idéalement, on choisira un niveau de securité plus fort sur le site référent où notre profil est enregistré (en utilisant par exemple des certificats ou en ne permettant le login qu’a partir de certaines adresses IP). Le niveau global de securité sera par ailleurs plus haut car le mot de passe du profil ne devrait pas circuler sur la toile en clair (puisque le site referent l’envoie au site demandeur).

Mais OpenID ne peut rien contre la technique du phishing qui consiste à recréer la charte graphique d’un site (par exemple de banque) pour soutirer des informations aux utilisateurs. En effet, si l’utilisateur ouvre une page contrefaite et donne l’adresse de son OpenID, le site dispose deja des informations pour recreer un site aux couleurs du site referent (par exemple Yahoo). Les solutions actuelles ne sont donc pas parfaites.

Pour être complet

• rien n’empèche qu’un OpenID soit le support de multiples identités: une pour les sites professionnels, une pour les sites a caractere privé.
• Le concept de MyVidoop est intéressant: utiliser des images pour les mots de passe.

Pour aller plus loin

Si vous desirez voir ce qu’on peut faire avec un OpenID, il me semble que le site MyOpenID est un bon choix. Pour les plus pressés, choisir un OpenID anonyme.

Littérature:

• Spread OpenID
• OpenID Directory
• Une présentation sur la securite d’OpenID Note: Ce document est sous license Creative-Common by-nc-sa

Mots-clefs : Articles, OpenID, Internet