Il y a qq jours, j’ai eu un message via le formulaire de contact du blog, message intéressant, incongru, piquant, mais sans signature électronique, je ne peux donc pas répondre !
Que l’individu se reconnaisse et laisse un message sur ce post – nous pourrons alors débattre !
» Bonjour, un point qui me turlupine depuis quelques années (si, si) et pour lequel je ne vois aucun développement concret aboutir. Il y a bien Shibboleth mais seules des centres de recherche sont impliqués et non le vulgum pecum. Or, je considère cela comme fondamental dans le monde électronique actuel et nous pourrons en discuter ensuite : la réappropriation par l’usager de son identité (et de ses authentifiants). Depuis quelques années on assiste à une centralisation forcée des identités et c’est volontairement que les multinationales avancent masquées sur le sujet : l’identité individuelle recèle un gisement important de monétisation. Ben tiens. Qui plus est, avec les attaques que subissent régulièrement les offreurs de service hébergeant des bases d’identité on sera bientôt obligé de changer son mot de passe (80% des gens utilise le même mot de passe pour tous leurs services) toutes les heures. Il y a bien OpenId ou équivalent mais nous sommes toujours dans une optique de centralisation de l’identité. Et ça ce n’est pas tolérable. L’identité ne DOIT PAS être délégable mais offrir malgré tout de la résilience. En fait, l’identité DOIT être un service comme le DNS : distribué, individualisable (j’ai mon propre serveur DNS pour les domaines que je possède) et résistant (j’ai un secondaire qui n’est pas sur le même réseau). Les esprits chagrins objecteront que la sécurité est un sujet trop sérieux pour être laissé au particulier. Je leur répondrai que sans DNS l’Internet n’existerait pas et pourtant celui-ci est dans mon placard chez moi. Mais bon, il est vrai que je ne demande pas à Mme Michu d’héberger michu.com chez elle. Il existe des produits que l’on nomme HSM qui peuvent se matérialiser sous la forme d’une simple carte à puce connectée à un lecteur USB. La carte bancaire, ça, tout le monde connaît non ? On peut donc imaginer un boîtier homologué et certifié (EAL4+) qui assurerait la gestion de ou des identités des personnes qui souhaitent assurer cette gestion en propre. Pour les autres, comme il y a les serveurs DNS des hébergeurs, des registres ou des FAI et bien, il y aurait les fédérateurs d’identité commerciaux (sorte de FAI dédiés à l’identité). D’où la question : pourquoi ne pas commencer à développer une telle solution (coût de l’ordre de la centaine d’euros pour un équipement et donc 200 euros pour le système redondant) ? Votre question : pourquoi votre blog pour cette question ? Le hasard 🙂 db «
Une réponse à “Post = le message d’un inconnu”
Bonsoir,
c’est moi-même qui ai publié ce mémo.
Mon intention était de tenter de lancer le débat mais un débat public via le blog et non un débat privé.
C’est donc chose possible désormais à la suite de la publication de cet article.
Et j’en remercie l’auteur de ce blog.
Dans le civil je travaille dans la SSI (Sécurité du Système d’Information) non pas du côté auditeur mais du côté mise en conformité, politiques, bref SMSI.
J’ai, dans d’autres vies, pratiqué l’audit mais ma tasse de thé penche davantage du côté de la protection que du côté de l’attaque. Je préfère sous-traiter dans ce dernier cas.
Mais je ne fait pas que cela. D’où, de temps à autre, une résurgence sur un aspect précis d’un point plus général que je traite au quotidien mais au niveau d’une entreprise.
Et l’autre soir il s’agissait de la gestion de l’identité au niveau Internet et non plus au niveau de l’entreprise qui m’emploie qui, elle, dispose d’un SSO.
Je me suis alors mis à niveau rapidement en regardant ce qui se faisait en tant que fédération d’identité ouverte tout en m’appesantissant sur les modes de fonctionnement des différents « systèmes » dont on entend parler à savoir OpenID, OAuth, Shibboleth, etc.
J’avais déjà fait ce travail mais cela remonte à 4 ou 5 ans au moins.
Par ailleurs, je trimballe, comme beaucoup d’entre nous, quelques dizaines de mots de passe ** forcément différents ** et il me siérait beaucoup de réduire fortement ce nombre essentiellement pour des raisons de sécurité : j’en oublie facilement (il y a une règle de construction mais elle-même comportant des variations) et suis donc tenté de réduire la distance entre eux.
En parcourant rapidement le panorama de l’offre réelle de service de fédération je me rends compte que les « gros » se sont accaparés le marché tout en prônant l’usage de standards ouverts (dont OAuth notamment).
Par gros j’entends Google, FB, Twitter, Yahoo, etc.
Et là, soudain, un gros gyrophare se met à tournoyer dans le secteur du cerveau réservé aux données à caractère personnel !
Je ne tiens absolument pas à ce qu’un Google, un Twitter et autre FB soit le dépositaire de mon identité.
Mon identité m’appartient et je suis le seul à en être légitimement (et juridiquement) le dépositaire.
Or, justement, l’Internet a été conçu pour éviter que le service IP ne puisse être interrompu afin que les services du « dessus » puissent continuer à faire leur boulot.
D’où les mécanismes de distribution et de résistance du DNS, du courriel, de la synchronisation temporelle, etc.
C’est grâce au DNS que l’on sait que pour expédier du courriel à identitycosmos.com il faut s’adresser aux routeur de courriel suivants :
mx2.ovh.net. et mx1.ovh.net.
Le prioritaire étant mx1.
Même chose pour la VoIP sur SIP.
Il semblerait en effet incongru voire menaçant pour les libertés individuelles qu’une oligarchie de « gros » monopolise l’ensemble du courriel.
Pourquoi n’en est-il donc pas de même pour l’identité ?
Parce que cela arrive trop tard et que les « gros » ont déjà pris le pouvoir ?
OAuth2 n’envisage aucunement d’utiliser les enregistrements de type SRV du DNS.
Est-ce un aveu de faiblesse ?
J’ai posé la question sur la ML du projet.
Pas de réponse pour l’instant.
Et ici a-t-on une explication ?
Cordialement,
db