365idees
blog.accessoweb.info
La voix du savoir
Original signal
chouingmedia.com
Wiki web2.0
descary.com
nioumedia.com
lostinbrittany.org
rezo7.info
simpleentrepreneur.com
tapahont.info
webdeux.info
wmaker.net
OpenID : nouveau standard d’identification sur Internet, comment ça marche ?
par Frédéric COZIC le 8 mars 2007 à 19:11 - 12 commentaires
L’OpenID est un concept dont on entend de plus en plus parler ces derniers mois et qui risque de se révéler être une des évolutions majeures en matière d’identification sur Internet dans les années à venir.
Le principe
Le principe est simple : au lieu de créer un nouveau compte sur chaque nouveau site que vous visitez, vous vous créer un identifiant unique (un OpenID) chez un fournisseur d’adresse OpenID, vous entrez vos informations personnelles une seule fois et lorsque vous devrez vous identifier sur un nouveau site vous pourrez vous connecter directement avec votre OpenID et sans passer par la phase d’inscription.
Concrètement, comment cela se passe ?
Il faut tout d’abord choisir son fournisseur d’OpenID par exemple MyOpenID.com et y créer un compte où vous préciserez l’adresse que vous souhaitez avoir comme identifiant (de la forme http://VOTRE_PSEUDO.myopenid.com). Cette adresse aura dès lors un double rôle : celle de servir d’identifiant unique à fournir aux sites Internet supportant l’OpenID mais aussi celle d’afficher votre profil avec tous les renseignements que vous aurez précisé.
Une fois ce compte validé, dès que vous voudrez vous identifier sur un site supportant l’OpenID, vous fournirez votre adresse unique. Le site vous redirigera alors vers votre fournisseur d’OpenID où vous préciserez votre mot de passe et, une fois identifié, votre fournisseur vous redirigera à son tour vers le site initial avec une connexion sécurisée mais aussi toutes vos informations que vous souhaitez comme votre email de contact, votre nom, etc.
Mais si la procédure paraît complexe et fastidieuse, elle se révèle simple et aussi rapide dans la réalité. En voici une preuve en vidéo :
A part compliquer les choses, quel en est l’intérêt véritable ?
L’OpenID possède beaucoup d’avantages. Il vous permet de gérer une seule identité numérique plutôt qu’une nouvelle pour chaque nouveau site. Microsoft Vista et le très prochain Firefox3 sont annoncés comme compatible avec ce standard ce qui permettra de s’identifier non plus que sur Internet mais sur des plateformes logicielles. Votre profil n’est pas stocké dans la base de données de chaque site mais à un seul endroit ce qui permet un meilleur contrôle de votre identité numérique.
Quels sites supportent déjà ce nouveau standard ?
De plus en plus de grosses pointures du Web se rajoutent à la liste des sites supportant l’OpenID : SixAppart, Digg.com, LiveJournal, etc. Cependant l’implantation du protocole de connexion via le standard OpenID peut se faire très facilement grâce à la disponibilité de librairies Open Source.
En conclusion, est-ce que OpenID s’imposera ou s’oubliera ?
Je crois beaucoup en ce nouveau standard pour plusieurs raisons. Tout d’abord la possibilité de maîtriser toujours de manière plus précise son identité numérique est, à mes yeux, un des enjeux majeurs des années à venir sur Internet. Les internautes multiplient par dizaines (centaines ?) leur différent profil sur Internet, éparpillant autant de fois leur pseudo, leur mot de passe (soit disant) crypté, leurs informations, leurs emails… Pouvoir rassembler cette identité numérique en un seul et unique endroit sera je pense pour beaucoup une réelle avancé. Ensuite, le standard est en pleine évolution : la première norme 1.1 est actuellement en vigueur mais tout la communauté travaille dors et déjà à la version 2.0. Le fait que ce concept soit assez récent et déjà suivi par de gros sites comme Digg.com laisse présager un intérêt grandissant sur Internet. Enfin, beaucoup de projets ne percent que s’ils obtiennent une forme de suprématie sur leurs concurrents, que si une grosse communauté a accroché au concept. Pour OpenID, ce n’est pas le cas : on peut utiliser l’OpenID même si seulement 2sites que l’on fréquente le supportent. Si il y a en 3 tant mieux et ce nombre peut continuer de grandir. OpenID n’aura pas besoin de trouver l’aval des grands manitous comme Google, Yahoo ou Microsoft. Je pense qu’il pourra se développer petit à petit, étape par étape et devenir pour les internautes une habitude bien profitable.
Quel est votre avis sur l’OpenID : révolution ou … ??
Greg-J
:
kkkkk
:
Damien
:
omar
:
Réflexion sur l'importance que peut avoir son avatar dans la gestion de son identité numérique
C’est à utiliser
Le point à surveiller est bien sur la sécurité et la fiabilité :
Que se passe-t-il si le serveur du fournisseur OpenID tombe? ou si il est hacké?
Avoir plusieurs comptes un peu partout sur le Web consiste à ne pas mettre ses oeufs dans le même panier. Avantage : diversification des risques. Inconvénient : gestion de l’identité numérique difficile comme tu l’as dit.
Je ne sais plus où j’ai lu cette analogie mais OpenID c’est comme mettre son argent à la banque : On en a généralement qu’une seule. On peut retirer n’importe où et chaque banque à son système de sécurité.
L’enjeu est de savoir si on peut avoir confiance dans son fournisseur OpenID comme l’on a confiance dans sa banque (toute proportion gardée bien sur)
Je partage de l’avis de Thomas : il ne faut pas forcément mettre tous les oeufs dans le même panier. Ceci dit, rien n’empêche d’utiliser une autre identité sur un site supportant OpenID. C’est un service à utiliser dès que l’on veut "unifier" son identité sur des sites où l’on est prêt à apparaitre. Car ensuite on peut se faire retrouver dans les moteurs de recherche…
La crainte sécuritaire, outre un serveur hacké, viendrait plutôt d’une opération de phishing maligne.
Tu soulèves un point très intéressant Thomas. Confier à une seule personne/entité la gestion de son identité numérique est une grande preuve de confiance et cette confiance ne doit pas être prêtée à n’importe qui. Le fait que la société VeriSign dont la réputation n’est plus à faire dans la sécurisation d’échange de données sur Internet que cela soit pour l’ E-Commerce ou pour tout forme de cryptage de données, se lance (en béta pour l’instant) dans l’OpenID (pip.verisignlabs.com/) laisse penser que l’OpenID intéresse les plus grands et surtout ceux qui sont prêt à proposer des OpenID de manière sécurisée.
On peut évidemment imaginer que lorsque l’OpenID se démocratisera vraiment est deviendra un protocole à usage massif, bon nombre de fournisseurs d’OpenID verront le jour plus ou moins fiables. En revanche, le standard d’authentification 2.0 est encore au stade de l’ébauche et on peut s’attendre à plus de sécurité et à des normes plus dratiques encore.
Qu’est ce que tu vois comem problème Cédric ? Phising maligne ?
Je trouve que ce système est intéressant mais il faut savoir de quelle manière c’est géré … Est-ce qu’on indique toute notre vie dans un endroit et on choisis qui a le droit de savoir quoi ? ou est-ce qu’une fois qu’on s’est authentifié avec l’OpenID, le site en question voit toute notre vie ?
Pour l’instant j’en met toujours le moins possible, ou parfois certain site je fais pas confiance j’écris n’importe quoi … Comment je reproduis ça avec l’OpenID ?
Parce que s’il me suffit de faire un site qui dit "Autentifie toi avec ton OpenID je t’offre une voiture gratuite" et hop j’ai plein de profil gratos ! C’est un peu louche ( a mon avis ils y ont pensé, mais comment j’en sais rien …)
Bref plutot que de poser 800 questions je vais d’abord aller me renseigner mais le concept a l’air sympa si on trouve une boite a quoi on peut faire confiance (comme dit plus haut mais j’aime bien l’analogie avec la banque … C’est une banque de donnée finalement …)
C’est vrai que le phishing semble facile à réaliser avec OpenId : il suffit que le site où vous vouliez vous identifier vous redirige vers un "fausse’ page qui ressemble trait pour trait à celle de votre fournisseur OpenId réel au lieu de vous rediriger vers celui-ci et il recupère ainsi vos identifiants.
Vu le nombre assez faible pour le moment de fournisseurs OpenId le pirate n’a pas besoin de créer énormément de "fausse" pages.
> Aysoon : Thomas a répondu à ta question !
(intelligent comme commentaire hein ? :)
Une solution au problème de sécurité et de phishing sera peut-être la décentralisation des supports de l’openid.
Si on maitrise le support en se servant de son nom de domaine les risques s’affaiblissent. non?
Je suis pas bien sur de comprendre les tenants et aboutissants de cette proposition, mais il me semble que ce soit pas donné a n’importe qui … L’openID a ça de bien … on s’inscrit et ça marche ! (enfin je crois j’ai jamais essayé …)
Je suis clairement contre pour diverses raisons :
- On ne veut pas forcemment donner un acces identique aux informations nous concernant aux différents sites. ( ex :je veux bien que le site sur lequel j’ai passé commandé ait mon numéro de téléphone, mais je refuse qu’un site sur lequel j’ai le malheur d’établir un devis en ligne me harcèle par téléphone :) ) .
- Internet est basé sur une architecture en étoile, son interêt est de limiter l’interdépendance des différents serveurs. Or, si les serveurs d’openID tombent.. on est mal on est mal ;)
- Le piratage : pour des raisons similaires au point précédent.. si le compte openID est hacké, alors tous les comptes seront hackés.. ce qui concerntre l’interêt des hackers sur ce service, et donc maximise les risques de hack, et les répercussions se feront sur l’identité entière de la personne.
Je suis bien conscient de l’interet que cela représente, surtout pour les néophytes qui veulent pouvoir être reconnus automatiquement, ne pas avoir à se tracasser avec l’authentification, etc.. mais je suis contre la notion "d’identité en ligne" de la personne.
Ne ne confie pas mon openid a des sociétés… je le gere sur mon serveur !
la librairie phpMyId est très bien pour gérer ca.
je vais essayer de faire mieux car j’ai ma propre autorité de certification et mon propre certificat personnel.
Si je suis fort de faire utiliser mon certificat pour obtenir une habilitation sur mon propre serveur openid, plus besoin de user/password. j’aurais un SSO comme ca.
et le tout sans utiliser de mot de passe, même sur mon serveur !
le script phpmyid ne gere qu’une seule personne mais au moins il est relativement simple et il n’y a pas besoin de grand chose pour que ca marche !
Je trouve votre article très bien, expliquant bien ce qu’est openId. Je trouve le principe d’identité numérique géniale, permettant de prouver son identité à l’inscription des sites et centralisé pour tous les services web… Je pense vraiment qu’OpenId à un très bel avenir devant lui…