Particuliers comme entreprises sont de plus en plus confrontés au problème des identifications multiples sur le Web. Fédération des identités et authentification unique sont depuis quelques années déjà au coeur de multiples débats, en entreprise, au sein des gouvernements, et parmi les acteurs majeurs du Web. Par François Jan, Architecte IAM et Sécurité, ARISMORE.

Les lacunes qui persistent sur l'identité numérique, la fédération d'identité ou les protocoles d'échanges sont des freins à la mise en oeuvre de synergies des services en ligne, alors qu'il est possible d'offrir à l'internaute une expérience Web plus optimisée.

Tour d'horizon de la problématique de fédération d'identité, par François Jan, architecte et expert en gestion des accès et des identités chez Arismore.

Parmi les moteurs du développement de solutions de fédération des identités, il en est deux qui sortent du lot. Le Cloud Computing d'abord, et notamment l'externalisation de certains services. L'éclatement des frontières de l'entreprise ensuite : la décentralisation des services, le développement du télétravail, la mobilité, la porosité de l’espace privé et de l’espace professionnel, ... Ces évolutions rendent les solutions de Web SSO (Single Sign-On) insuffisantes.

Par ailleurs, il est nécessaire de prendre en compte les besoins émergents, particulièrement en termes d'usage des réseaux sociaux. C’est une histoire à tiroirs, et même si on peut se contenter des derniers épisodes, il peut être intéressant de remonter à l’origine…

Nous sommes en 1999. Microsoft est l'un des fournisseurs d’identité majeurs en tant que Fournisseur de messagerie avec Hotmail et MSN. Pour diffuser ses produits et son framework de développement .Net, Microsoft propose à la fin des années 1990 son système Microsoft Passport qui permet de fournir le SSO aux clients. Au-delà de l’écosystème Microsoft, quelques sites de services répondent présent, comme eBay et Expedia ; mais ce système ne rencontre pas le succès escompté. Les raisons en sont multiples mais la prédominance du stack LAMP (Linux Apache MySQL PHP/Python) incompatible avec Passport, de surcroît considéré cher, et la pauvreté du service, limité au SSO, semblent les causes principales.

En 2002 Sun lance le projet Liberty Alliance avec un consortium d’environ 30 sociétés dont France Télécom, American Express, AOL Time Warner, HP, RSA et Sony, rapidement rejoints par Schlumberger, Verisign, PriceWaterhouseCoopers, et quelques autres. L’objectif est aussi de permettre le Web SSO sur internet mais en définissant un standard fonctionnant entre pairs, en opposition à la solution propriétaire de Microsoft qui définissait un centre (Microsoft) et des satellites. Le résultat : ID-FF, fondu depuis dans SAML 2.0..

Finalement, avec l’arrivée des blogs, sites de news et des commentaires associés, des fonctionnalités d’identification sont mises en oeuvre pour permettre aux commentateurs de s’identifier. Chaque site a mis en oeuvre sa propre authentification et son référentiel d’identités et cela a contraint les blogueurs qui commentaient les autres sites à se créer un profil sur chaque site. Ce contexte a donné naissance à des protocoles de fédération légers comme OpenID, puis OAuth, quand les acteurs principaux, dont Facebook, ont commencé à accumuler des informations personnelles suffisamment intéressantes pour générer un écosystème autour d’eux et les transformer en référentiels d’identité au sein de cet écosystème.

La fédération apporte sécurité et confort à l’utilisateur aussi bien dans sa vie privée que dans sa vie professionnelle, tout en renforçant l'attractivité de ce type de médias :

- Le confort de ne pas avoir à s’authentifier ou ressaisir des informations personnelles à chaque nouveau service

- L’efficacité des salariés qui n’ont plus à s’authentifier à chaque accès à une application

- La maîtrise des coûts d’administration, en ne gérant plus les populations externes. Pour vous donner une idée, un grand acteur industriel constate aujourd’hui qu’il gère une population où la part des employés est de moins en moins importante jusqu’à représenter moins de 40%.

- La fédération permet de donner accès au service immédiatement dans le cas d’une intégration légère et le mot de passe unique limite fortement les appels au helpdesk

- Enfin, elle simplifie l'architecture en évitant la duplication d’informations d’identité dans le SI au strict nécessaire.

Parmi les initiatives gouvernementales, le sénat a adopté le 31 mai dernier la proposition de loi relative à l'identité. Destinée à lutter contre la fraude et l'usurpation d'identité, cette loi est le prolongement du projet INES qui a, depuis presque 10 ans, étudié la possibilité de déployer une carte nationale d’identité électronique (CNIe). Cette dernière devrait intégrer 2 puces : l'une avec des données d’identification, dont les empreintes digitales du porteur, et l'autre dite « de vie quotidienne », qui permettra de s’authentifier sur internet et de signer des documents. Une comparaison avec ce qui se passe de l’autre côté de l’Atlantique montre que les Etats-Unis ne sont pas forcément plus rapides à déployer de nouveaux services mais ils sont plus pragmatiques, s’appuyant sur des solutions existantes, comme OpenID pour les services exigeant peu de sécurité (Level of Assurance 1 sur une échelle de 1 à 4) et prévoyant des protocoles comme SAML pour des exigences plus fortes quand la France s’en tient aux cartes à puces.

Finalement, si l’on regarde le paysage aujourd’hui en essayant de prévoir les développements à venir, côté entreprise, SAML est clairement là pour durer. Google parle SAML, Salesforce parle SAML, de nombreuses entreprises françaises ont choisi SAML pour leurs projets. Ce standard bénéficie d’une communauté vivante et est par ailleurs supporté par de nombreux éditeurs. Il existe également des solutions open source et des offres SaaS.

Côté Microsoft, il y a un fort investissement dans Azure et il est probable que des entreprises s’appuyant fortement sur l’AD et souhaitant utiliser des services déployés sur Azure iront vers WS-Federation, le protocole de Microsoft, équivalent fonctionnellement à SAML 2.0, mais qui n’offre pas le même niveau d’interopérabilité. L’émergence de solutions reposant sur la PKI est également à constater.

Sur les réseaux sociaux, Facebook est installé mais ne répond pas à toutes les problématiques. Votre réputation eBay n’est pas utilisable en dehors d’eBay, vos livres préférés reste chez Amazon on ne voit pas, pour l’instant, se dessiner d’alternative crédible pour permettre à l’utilisateur de maîtriser le partage de l’information. Toutefois, certains signes comme la baisse d’usage dans certains pays occidentaux, les exigences des Etats de mieux contrôler certains débordements et les atteintes évidentes à la vie privée peuvent limiter la généralisation de Facebook.

Côté standards, OAuth et OpenID se portent bien quand InfoCard n’a pas réussi à percer. Pour optimiser ces usages, il est nécessaire de développer un standard permettant de développer des services et gérer le partage d’information inter-sites par l’utilisateur. La question sur le business model persiste : qui va payer ?... comme le faisait déjà remarquer Dick Haardt, analyste reconnu, il y a plus de 6 ans.

Côté gouvernement, le label IDéNum vient d’être relancé par Eric Besson, qui assure que le label est complémentaire de la CNIe. Un projet de préfiguration va s’attacher à évaluer là aussi le modèle économique.