Microsoft accepte d’être cloné pour mieux pouvoir nous identifier

« Dans environ 18 mois, 60 % des PC de la planète devraient disposer de logiciels CardSpace« , l’interface de gestion des identités et accès de Microsoft. Le propos, émanant de Kim Cameron, « architecte de l’identité » de Microsoft, a de quoi étonner, cette technologie étant largement ignorée du grand public : le moteur de recherche Live Search de Microsoft ne recense ainsi que 241 mentions de CardSpace en français. Mais il se pourrait fort que la prédiction de Cameron se réalise bel et bien.

Le 14 juin dernier, il a exposé sa vision du futur de l’identité numérique, en petit comité, à Paris (cf le compte-rendu qu’en a fait Daniel Kaplan). D’entrée, il a tenu à précisé comment il en était arrivé à s’intéresser à la question : « j’ai commencé ma vie professionnelle en construisant un « metadirectory » dont la fonction était notamment de rassembler des identités en un seul point. Puis je me suis rendu compte que cela causait des problèmes, et je suis passé de l’autre côté » (« de la force », sous-entendu).

En 2004, il publie sur son blog ses désormais célèbres 7 lois de l’identité (en VF). Elles font aujourd’hui d’autant plus autorité en matière d’identification des internautes qu’elles ont été rédigées, ou corrigées, en fonction des réactions suscitées dans la blogosphère et auprès de nombreux autres spécialistes de l’identité numérique.

Il y est question de :

  • 1. Consentement et contrôle de l’utilisateur, qui doit pouvoir décider quelles informations divulguer à qui.
  • 2. Divulgation a minima et usage restreint des données : les systèmes d’identité ne divulguent pas plus d’informations que nécessaire, en fonction du contexte donné.
  • 3. Parties légitimes : les informations ne peuvent être divulguées qu’aux parties ayant un motif nécessaire et légitime à y accéder, dans un temps donné.
  • 4. Identité dirigée  : on ne doit pas utiliser des identifiants publics (tels que le n° de sécurité sociale) pour tout et tout le monde, les systèmes d’identité doivent donc prendre en charge des identifiants « omnidirectionnels » (par ex. des URL) lors des transactions publiques, et « unidirectionnels » pour ce qui doit rester privé, afin d’éviter les fuites.
  • 5. Pluralisme d’opérateurs et de technologies : il ne peut y avoir de système d’identité unique quel que soit le contexte ; par conséquent il faut plusieurs opérateurs, et plusieurs technologies, qui permettent de préserver la séparation de contextes, et qui répondent aux différents cas d’usage.
  • 6. Intégration des humains : toute solution d’identité numérique doit permettre à ses utilisateurs d’effectuer des choix compréhensibles et corrects en leur propre nom. Comme le résume Cameron, « La sécurité de la connexion technique peut être parfaite, mais celle de la connexion entre la machine et son utilisateur ne l’est, du coup, pas du tout ! Nous avons oublié d’inclure l’utilisateur comme l’un des acteurs des transactions à sécuriser ; nous savons parler à la fréquence des machines, mais pas à celle des utilisateurs ».
  • 7. Une expérience homogène quel que soit le contexte  : « il s’agit de « réifier » l’identité numérique, comme nous y sommes parvenus, par exemple, pour les concepts de fichier et de dossier. L’identité numérique ne doit plus être virtuelle, elle est tout à fait réelle« , et doit donc présenter une interface facile à comprendre pour l’utilisateur et cohérente quelle que soit la technologie sous-jacente ou le fournisseur d’identité impliqué.

Cardspace

Cameron parle aujourd’hui de « métasystème d’identités » pour répondre au fait que nous ayons successivement, ou alternativement, besoin de décliner notre identité, ou bien l’un de nos pseudonymes, de prouver que l’on réside en France, voire que l’on est Français, que l’on a plus, ou moins, de 18 ans, d’être identifié comme l’auteur de tel blog, salarié de telle société ou membre de tels réseaux, etc.

Pour lui, « une identité numérique ne signifie par ‘un identifiant' », mais « un ensemble de claims (ou assertions sujettes à caution) faites par un sujet à propos d’un autre sujet« . Ces « claims » peuvent concerner sa propre identité, des relations (groupes, rôles…), etc. Il peut y avoir aussi des « claims » dérivées se fondant sur une information indirecte et limitée (comment savoir que quelqu’un est adulte, est bien un étudiant etc. ?), mais aussi des « claims » d’autorisation (sans identification) ou de délégation…

Concrètement, les fournisseurs d’identités apparaissent sous forme de cartes, que l’internaute choisit lorsqu’il doit s’identifier, en fonction des services utilisés. Et c’est toute la différence avec Passport : au lieu de mettre en place une base de données centralisées (qui plus est aux mains du seul « ogre » Microsoft), « nous avons tenté de faire en sorte que ce système puisse être adopté partout, par tout le monde, de manière pérenne« , explique Cameron.

Et comme les lois de l’identité, qui ont présidé à la conception du système, ont été pensées, revues et corrigées, de concert avec nombre d’experts, et de la blogosphère, il n’y aura pas un, mais de très nombreux « fournisseurs d’identités« , ainsi que de très nombreuses applications permettant d’y accéder. En septembre dernier, Microsoft a en effet lâché 35 de ses brevets et placé son projet sous licence Open Specification Promise (OSP) afin de permettre à quiconque de s’en inspirer pour créer des logiciels interopérables.

Le projet a inspiré la communauté du logiciel libre, qui propose aujourd’hui des plug-ins pour Firefox, des plateformes java et php et des clones de CardSpace, tels Higgins ou Bandit, soutenus par IBM et Novell.

Ce qui fait qu’effectivement, il est possible que d’ici quelques mois « 60 % des PC de la planète » disposent de logiciels CardSpace, qu’il s’agisse de celui de Microsoft, ou de ses clones. Ou comment, pour permettre aux internautes de mieux pouvoir s’identifier, il a fallu que Microsoft accepte d’être cloné…

À lire aussi sur internetactu.net

3 commentaires

  1. Kim cameron Cameron ne se mouille pas beaucoup en annoncant ces chiffres à propos de Cardspace.
    Il compte surtout sur le fait que Vista (et donc CardSpace) soit pré-installé sur la plupart des nouveaux PC.
    Quoiqu’il en soit « 60% des PC équipé » ne signifie pas que Cardspace sera massivement utilisé.
    Seule l’acceptation de cette technologie par les gros fournisseur de service pourra la faire décoller dans le grand public.

  2. Tiens comme c’est marrant. Daniel Kaplan a l’honneur d’être informé en exclusivité de présentation d’innovation en france grâce à la FING et de donner un avis sur leur viabilité. Dés que l’on parle d’identité, on oublie de parler du petit gars, maladroit au possible, qui présente « La Pseudonomination » dont on devine ici les aboutissants. Peu importe, le temps fera son chemin. Je n’ai ni baissé les bras ni perdu confiance. N’importe quel inventeur sait au combien il y a tellement de projets « nons valides » qui, comme par enchantement, sont inventé par ceux qui les ont critiqués. Combien de « projets invalides » ont conduit à ses glorieuses conclusions. On connait la rengaine : « pot de terre contre pot de Fer ». Et bien vous savez quoi ? J’assume ! Mais il est hors de question de discuter trop en détail d’un projet économique confidentiel de façon publique. Messieurs les journalistes, le sujet mérite peut-être que vous vous y interressiez, avec indépendance et liberté de jugement s’il vous plait. (Les avocats aussi car il s’agit tout de même d’un projet de société qui concerne la vie privée de chaque citoyen n’est-il pas ?).
    Pour finir, à ma demande (disparue bien entendu) de Google à apparaitre en tête de son Googling pour des raisons que vous ne pouvez pas connaitre puisque personne ne s’y est pas interressé (projet économique confidentiel), Flam696 n’apparaitra pas. D’autres n’auront pas cette inconvénient dés la création du googling au début des années 2005.
    Peut-être que finalement, « ça dérange » un internaute illuminé qui a anticipé les évolutions du WEB2 et 3 et qui les a introduit dans un vaste projet d’identité numérique universel. Au point de faire dire à un intervenant : « Comment voulez que ce soit un particulier qui ait imaginé tout celà ? ».
    Mais qui est ce particulier ? Le connait-on ? De quoi parle t’il ?
    Ba oui..je savais bien que le WEB2 allait devenir « collaboratif » et « libre d’expression » un jour ou l’autre.
    Maintenant, il est temps qu’une personne cherche à comprendre ce petit moment de révolte qui ne s’abandonne pas au silence…

    Le comble dans tout celà ? C’est que l’on est bien éloigné de « LA » solution ! Comment, vous croyez toujours qu’elle n’existe pas ?
    C’est bien dommage… 😉

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *