Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique





















Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Bruno Vincent, fondateur d’Atlantis : IDéNum, De bonnes intentions mais aussi des interrogations

février 2010 par Bruno Vincent, fondateur d’Atlantis, cabinet de conseil en SI

Le gouvernement, en la personne de Nathalie Kosciusko-Morizet, a présenté au début du mois le label IDéNum. Celui-ci vise à proposer aux internautes français, un mode d’authentification forte pour accéder à différents services publics et privés en ligne. Outre la sécurité, la secrétaire d’Etat à la Prospective et à l’Economie Numérique, a mis en avant la simplicité d’utilisation pour l’internaute, qui n’aura plus à retenir « 1001 mots de passe ». Ainsi présentée, l’idée - même si elle n’est pas nouvelle - paraît séduisante. Mais en regardant de plus près les premiers éléments de communication fournis, il semble bien que le gouvernement doive apporter un certain nombre d’approfondissements et d’explications sur les choix opérés.

Plus qu’un label, IDéNum est (ou plus exactement « sera ») un service d’authentification forte, basé sur la possession, par l’internaute, d’un certificat stocké sur un support de type clef USB, carte à puce ou bien encore téléphone mobile. Les certificats ne seront pas fournis par l’Etat mais par « des organismes comme les banques, les opérateurs de téléphonie ou La Poste, mais également des institutions sectorielles comme des ordres professionnels », ces organismes devant pouvoir « vérifier en face à face l’identité des demandeurs ».

Le choix d’organismes privés laisse un peu songeur et on est en droit d’espérer que le cahier des charges des vérifications sera effectivement respecté partout. Quant au respect de la vie privée, les premiers éléments ne permettaient pas de comprendre comment cela pouvait fonctionner : « Le nom et le prénom du titulaire du certificat sont les seules données personnelles divulguées » indique la « Foire Aux Questions » du label. Oui mais alors, comment s’assurer de l’identité d’un internaute et éviter les problèmes d’homonymie ? Nathalie Kosciusko-Morizet répond sur son blog à cette question en reconnaissant qu’ « en cas d’homonymie », un « numéro de certificat permet de différencier les identités ». Il y donc une explication, mais du coup absolument aucune assurance quant au fait que fournisseurs de certificats et services privés ou publics ne recoupent des informations sur la base de ce numéro.

Le périmètre de services potentiellement disponibles (et compatibles) part quant à lui d’un bon sentiment, celui de faciliter la vie de l’internaute et de la myriade d’identifiants et de mots de passe qu’il utilise actuellement. Au niveau des services publics et des administrations, on a envie de dire « Chiche ! » et de souhaiter que le projet réussisse vite, même si, pour ce qui relève de la sécurité, une authentification forte ne paraît pas vraiment nécessaire pour un certain nombre de services (ex : inscrire son enfant aux activités périscolaires ou au centre aéré, s’inscrire à la bibliothèque etc.). Pour ces derniers service, avant de penser à de l’authentification forte, il faudrait commencer par les mettre partout en ligne !

Là où la machine s’emballe, c’est sur les services privés, puisque IDéNum semble vouloir se placer, à terme, en mode d’authentification possible pour les réseaux sociaux, les services de webmail, de stockage, d’enchères etc. Dans la pratique, et seulement avec IDéNum, cela paraît assez peu réaliste. Un des problèmes d’IDéNum est qu’il s’agit d’un service (ou d’un label, comme vous voudrez !) totalement franco-français. Or la France a beau être pleine d’atouts économiques, elle ne représente que 2% de la population des internautes dans le monde. Dans ces conditions, pas sûr que les Google, Facebook et autres Amazon mettent IDéNum en tête de leurs priorités, surtout quand eux-mêmes adoptent ou fournissent des technologies différentes. Sur son blog, Nathalie Kosciusko-Morizet tempère et semble dire que les slides ont peut-être été mal comprises : « IDéNum ne cible pas les réseaux sociaux du type Facebook ». Mais « un réseau social comme Viadeo peut être intéressé, car l’utilisation d’IDéNum lui permet d’éviter les usurpations d’identité, très dommageables dans un réseau dédié aux relations professionnelles. » L’argument est tout à fait recevable mais on en revient donc au même point : si demain LinkedIn est le numéro 1 en France (c’est peut-être déjà le cas ?), pas sûr que ce service américain se plie à intégrer le module d’authentification des Français, puis celui des Italiens, des Espagnols etc.

Le modèle économique peut aussi faire tiquer quelques contribuables et citoyens, car il semblerait bien qu’IDéNum soit un service payant : « Chaque organisme émetteur est libre de sa politique commerciale. » précise la FAQ. C’est, il faut bien le dire, un peu difficile à avaler, puisque le premier périmètre est celui des services publics comme la CAF ou le Pôle Emploi ! Nathalie Kosciusko-Morizet explique sur son blog que la « vérification » et la « responsabilité de garantir l’identité » incombant aux fournisseurs, « ont un coût ». Certes, mais pourquoi ce coût n’est-il pas pris en charge par l’Etat dès lors qu’il participe à la modernisation des services et de la fonction publique ?

D’autant que Nathalie Kosciusko-Morizet voit s’abattre sur elle l’inévitable remarque d’une alternative totalement gratuite adoptée par d’aussi petits acteurs du Web que Google, Microsoft, Yahoo !, Verisign ou encore Facebook : OpenID. A celà, Nathalie Kosciusko-Morizet a raison de répondre qu’OpenID ne permet pas, d’assurer la vérification « physique » de l’internaute se trouvant derrière un compte OpenID. Néanmoins, il faut rappeler qu’OpenID ne présume absolument en rien du mode d’authentification utilisé (OpenID fonctionnant aussi bien en mode login/mot de passe qu’avec un certificat ou avec n’importe quel autre mode d’authentification). De part et d’autres des acteurs du débat, il serait donc judicieux de le positionner, non pas comme un concurrent d’IDéNum, mais comme un point d’entrée peu cher et compatible avec les Google et autres Yahoo ! pour des services peu ou moyennement sensibles, permettant par la suite une authentification IDéNum pour des services beaucoup plus sensibles. Aux Etats-Unis, la Maison Blanche a ainsi récemment décidé de suivre de près OpenID allant même jusqu’à lancer un pilote aux NIH (National Institutes of Health), institutions gouvernementales s’occupant de la recherche médicale et biomédicale, dans un premier temps sur un périmètre d’application peu sensibles.

IDéNum n’en est ainsi qu’à ses débuts mais suscite déjà quelques critiques et interrogations. Un prototype sera normalement disponible avant la fin de l’année 2010. Il devra apporter des réponses quant à l’intérêt, l’interopérabilité, le coût et le degré d’adoption potentiel de ce service. Espérons en tout cas que le prototype ne vivra pas le même « couac » que le nom de domaine « idenum.fr ». Celui-ci avait en effet déjà été réservé et le gouvernement a dû rappeler à l’ordre le premier propriétaire en lui indiquant les condamnations qu’il encourait en cas de non restitution. Comme quoi, même pour l’Etat, il n’est pas simple de protéger son identité sur internet.




Voir les articles précédents

    

Voir les articles suivants