Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique





















Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Bruno Vincent, Atlantis : Web, mobile, cloud : Google s’empare des identités numériques

mars 2011 par Bruno Vincent, président fondateur d’Atlantis

Le géant californien veut faire de ses comptes grand public et d’entreprises une base de référence et un point de passage obligé pour accéder aux services du web, du mobile et du cloud. Si Google affronte d’ores et déjà en la matière la concurrence de Facebook dans le secteur du web grand public, elle doit également renforcer la sécurité de ses comptes, pour rassurer les entreprises tentées de passer à ses services cloud et mobile.

Il y a encore quelques années, passer la page de garde d’un site web grand public relevait sinon du casse-tête, au moins d’une étape pénible et rébarbative. Tout d’abord parce que le dit-site exigeait systématiquement la création d’un compte exclusivement dédié à son utilisation, obligeant tout à chacun à fournir pour la nième fois la même batterie d’informations relatives à son identité (nom, prénom, adresse email etc.). Ensuite, parce qu’à force de créer des comptes distincts, l’internaute finissait souvent par en oublier ses identifiants et mots de passe. Enfin, parce que même si ce dernier avait choisi le même identifiant et le même mot de passe sur chacun de ses sites préférés - ce que l’on ne saurait que trop déconseiller ! -, il devait systématiquement s’authentifier sur chacun d’entre eux.

Cette époque n’est pas encore totalement révolue, néanmoins « l’expérience utilisateur » s’est beaucoup améliorée avec ce que le marketing et l’informatique ont convenu d’appeler le Web 2.0. Les Google, Yahoo ! et autres Facebook parmi lesquels chaque internaute possède généralement au moins un compte, ont en effet fourni aux développeurs de sites tiers, des API et mires d’authentification à leurs images et pouvant être intégrées sur des sites distants. Ainsi, un internaute peut écouter sa musique préférée sur Deezer après s’être authentifié avec son compte Facebook, ou bien éditer un document sur Zoho pour peu qu’il dispose d’un compte Google (Gmail par exemple).

Si, pour les utilisateurs, ces nouvelles interfaces sont synonymes de fluidité et de facilité d’accès aux services du Web 2.0, elles représentent aussi pour les géants du Web précédemment cités l’opportunité d’être à la fois les dépositaires officiels des données d’identité des internautes ainsi qu’un point de passage obligé pour accéder aux services proposés par d’autres sites. Dans cette guerre numérique que se livrent Google, Yahoo ! et Facebook pour la centralisation des données d’identité, c’est pour l’heure Google qui à l’échelle de la planète, tire son épingle du jeu. La société JanRain, qui propose aux développeurs une mire d’authentification compatible avec l’ensemble des acteurs du web, indiquait ainsi il y a quelques mois que son produit était d’abord utilisé par les internautes pour une authentification au travers de comptes Google (38%), suivis par Facebook (24%) puis Yahoo ! (14%) et Twitter (5%). Microsoft LiveID arrive seulement en cinquième position, un classement qui laisse songeur quand on se souvient que Microsoft avait été le premier à tenter la centralisation des données d’identité sur le web. C’était il y a dix ans avec Passport et cela avait été un échec retentissant, la principale raison de ce « flop » ayant été l’image d’alors de Microsoft, très teintée « Big Brother » et embarquée dans la tourmente des procès « anti-trust ». Dix ans plus tard, les « Big Brothers » s’appellent Google et Facebook, mais par un curieux pied de nez à l’histoire, ce sont souvent les internautes eux-mêmes qui fournissent à ces sites cent fois plus d’informations privées qu’ils n’en auraient donné à Microsoft à l’époque de Passport.

Le géant Google est donc en tête et fidèle à sa réputation d’innovateur permanent ou de boulimique gargantuesque selon que l’on se trouve parmi ses fans ou ses détracteurs, la firme de Mountain View cherche chaque jour à renforcer cette position pour et au travers de ses services. Pour le grand public d’abord, la possession d’un compte Google est dans la sphère mobile (smartphones et tablettes Android) un point de passage obligé pour acheter des applications sur l’Android Market Store. Même constat du côté des notebooks équipés de Chrome OS, même si ces derniers ont jusqu’ici rencontré un succès mitigé. Enfin, et peut-être surtout, Google cherche à devenir le référentiel des comptes des entreprises passant sur ses services SaaS (Software as a Service). Dans les entreprises ayant basculé leur infrastructure mail, bureautique et collaborative sur Google Apps, tout compte utilisateur permet au travers du protocole OpenID (et ce, de manière totalement masquée pour l’utilisateur final), de naviguer sans ré-authentification sur d’autres services SaaS acquis par l’entreprise, comme par exemple Salesforce, myERP.com ou encore Box.net. La conséquence de ce positionnement est particulièrement marquante pour les TPE et PME faisant le choix du tout SaaS puisque Google Apps n’est alors finalement rien d’autre qu’un super Active Directory du cloud.

Pour convaincre les entreprises, Google devra néanmoins mettre l’accent sur la sécurité. Car avec un tel positionnement, l’entreprise californienne fait de ses comptes grand public et d’entreprises, une donnée ultrasensible dont la compromission peut avoir de très lourdes conséquences, ne se « limitant » d’ailleurs pas à l’accès à des mails et documents confidentiels. Or, en la matière, Google n’a jusqu’ici pas été exempte de tout reproche. Ainsi, encore au moment de la rédaction de ces lignes, l’accès à l’Android Market Store depuis un navigateur internet et via un compte Google usurpé permet à une personne malveillante de forcer le téléchargement d’applications mobiles sur le smartphone de son vrai utilisateur ! Sur ce point, Google plaide d’ailleurs non coupable, préférant naturellement mettre en avant la facilité d’utilisation de ses services plutôt que le risque de sécurité associé.

Par d’autres aspects, Google semble néanmoins plus enclin à prendre conscience de l’enjeu de la sécurité des identités. Ainsi, Google propose depuis peu à ses clients d’entreprises (et depuis quelques jours également à ses clients grand public) un mécanisme d’authentification à deux facteurs nécessitant un mot de passe ainsi qu’un code de vérification envoyé par SMS. Il s’agit d’une première étape, probablement suivie par d’autres dans les mois à venir, d’autant que Google semble vouloir reprendre la main sur la sécurité applicative de ses services. Google a ainsi acquis il y a quelques jours la société allemande Zynamics spécialisée dans le reverse engineering et l’intégration de la sécurité au cœur même du processus de développement. Le prochain round sécurité de Google pourrait aussi avoir lieu dans le domaine de la mobilité, alors que RIM, concurrent de poids dans les entreprises, s’apprête à présenter dans quelques semaines sa tablette Playbook, avec un marketing fortement marqué sur la sécurité.




Voir les articles précédents

    

Voir les articles suivants