Parmi les moteurs du développement de solutions de fédération des identités, il en est deux qui sortent du
lot. Le Cloud Computing d’abord, et notamment l’externalisation de certains services. L’éclatement des
frontières de l’entreprise ensuite : la décentralisation des services, le développement du télétravail, la
mobilité, la porosité de l’espace privé et de l’espace professionnel, ... Ces évolutions rendent les solutions de
Web SSO (Single Sign-On) insuffisantes.

Par ailleurs, il est nécessaire de prendre en compte les besoins émergents, particulièrement en termes
d’usage des réseaux sociaux. C’est une histoire à tiroirs, et même si on peut se contenter des derniers
épisodes, il peut être intéressant de remonter à l’origine…

Nous sommes en 1999. Microsoft est l’un des fournisseurs d’identité majeurs en tant que fournisseur de
messagerie avec Hotmail et MSN. Pour diffuser ses produits et son framework de développement .Net,
Microsoft propose à la fin des années 1990 son système Microsoft Passport qui permet de fournir le SSO
aux clients. Au-delà de l’écosystème Microsoft, quelques sites de services répondent présent, comme eBay
et Expedia ; mais ce système ne rencontre pas le succès escompté. Les raisons en sont multiples mais la
prédominance du stack LAMP (Linux Apache MySQL PHP/Python) incompatible avec Passport, de surcroît
considéré cher, et la pauvreté du service, limité au SSO, semblent les causes principales.

En 2002 Sun lance le projet Liberty Alliance avec un consortium d’environ 30 sociétés dont France Télécom,
American Express, AOL Time Warner, HP, RSA et Sony, rapidement rejoints par Schlumberger, Verisign,
PriceWaterhouseCoopers, et quelques autres. L’objectif est aussi de permettre le Web SSO sur internet
mais en définissant un standard fonctionnant entre pairs, en opposition à la solution propriétaire de Microsoft
qui définissait un centre (Microsoft) et des satellites. Le résultat : ID-FF, fondu depuis dans SAML 2.0..

Finalement, avec l’arrivée des blogs, sites de news et des commentaires associés, des fonctionnalités
d’identification sont mises en oeuvre pour permettre aux commentateurs de s’identifier. Chaque site a mis en
oeuvre sa propre authentification et son référentiel d’identités et cela a contraint les blogueurs qui
commentaient les autres sites à se créer un profil sur chaque site. Ce contexte a donné naissance à des
protocoles de fédération légers comme OpenID, puis OAuth, quand les acteurs principaux, dont Facebook,
ont commencé à accumuler des informations personnelles suffisamment intéressantes pour générer un
écosystème autour d’eux et les transformer en référentiels d’identité au sein de cet écosystème.

La fédération apporte sécurité et confort à l’utilisateur aussi bien dans sa vie privée que dans sa vie
professionnelle, tout en renforçant l’attractivité de ce type de médias :
– Le confort de ne pas avoir à s’authentifier ou ressaisir des informations personnelles à chaque
nouveau service
– L’efficacité des salariés qui n’ont plus à s’authentifier à chaque accès à une application
– La maîtrise des coûts d’administration, en ne gérant plus les populations externes. Pour vous donner
une idée, un grand acteur industriel constate aujourd’hui qu’il gère une population où la part des
employés est de moins en moins importante jusqu’à représenter moins de 40%.
– La fédération permet de donner accès au service immédiatement dans le cas d’une intégration
légère et le mot de passe unique limite fortement les appels au helpdesk
– Enfin, elle simplifie l’architecture en évitant la duplication d’informations d’identité dans le SI au strict
nécessaire.

Parmi les initiatives gouvernementales, le sénat a adopté le 31 mai dernier la proposition de loi relative à
l’identité. Destinée à lutter contre la fraude et l’usurpation d’identité, cette loi est le prolongement du projet
INES qui a, depuis presque 10 ans, étudié la possibilité de déployer une carte nationale d’identité
électronique (CNIe). Cette dernière devrait intégrer 2 puces : l’une avec des données d’identification, dont
les empreintes digitales du porteur, et l’autre dite « de vie quotidienne », qui permettra de s’authentifier sur
internet et de signer des documents. Une comparaison avec ce qui se passe de l’autre côté de l’Atlantique
montre que les Etats-Unis ne sont pas forcément plus rapides à déployer de nouveaux services mais ils sont
plus pragmatiques, s’appuyant sur des solutions existantes, comme OpenID pour les services exigeant peu
de sécurité (Level of Assurance 1 sur une échelle de 1 à 4) et prévoyant des protocoles comme SAML pour
des exigences plus fortes quand la France s’en tient aux cartes à puces.

Finalement, si l’on regarde le paysage aujourd’hui en essayant de prévoir les développements à venir, côté
entreprise, SAML est clairement là pour durer. Google parle SAML, Salesforce parle SAML, de nombreuses
entreprises françaises ont choisi SAML pour leurs projets. Ce standard bénéficie d’une communauté vivante
et est par ailleurs supporté par de nombreux éditeurs. Il existe également des solutions open source et des
offres SaaS.

Côté Microsoft, il y a un fort investissement dans Azure et il est probable que des entreprises s’appuyant
fortement sur l’AD et souhaitant utiliser des services déployés sur Azure iront vers WS-Federation, le
protocole de Microsoft, équivalent fonctionnellement à SAML 2.0, mais qui n’offre pas le même niveau
d’interopérabilité. L’émergence de solutions reposant sur la PKI est également à constater.

Sur les réseaux sociaux, Facebook est installé mais ne répond pas à toutes les problématiques. Votre
réputation eBay n’est pas utilisable en dehors d’eBay, vos livres préférés reste chez Amazon on ne voit pas,
pour l’instant, se dessiner d’alternative crédible pour permettre à l’utilisateur de maîtriser le partage de
l’information. Toutefois, certains signes comme la baisse d’usage dans certains pays occidentaux, les
exigences des Etats de mieux contrôler certains débordements et les atteintes évidentes à la vie privée
peuvent limiter la généralisation de Facebook.

Côté standards, OAuth et OpenID se portent bien quand InfoCard n’a pas réussi à percer. Pour optimiser
ces usages, il est nécessaire de développer un standard permettant de développer des services et gérer le
partage d’information inter-sites par l’utilisateur. La question sur le business model persiste : qui va payer ?...
comme le faisait déjà remarquer Dick Haardt, analyste reconnu, il y a plus de 6 ans.

Côté gouvernement, le label IDéNum vient d’être relancé par Eric Besson, qui assure que le label est
complémentaire de la CNIe. Un projet de préfiguration va s’attacher à évaluer là aussi le modèle
économique.