Un ancien billet sur Identity Corner fait un résumé très pertinent des problèmes soulevés par OpenID :
- sécurité : problème de phishing dont j'ai eu l'occasion de parler ici ;
- confidentialité : peut-on faire confiance aux providers OpenID qui peuvent tout savoir de votre navigation en ligne ? Qui peuvent même utiliser votre identité ;
- confiance : aucun moyen de savoir qui est derrière un identifiant OpenID (l'état aurait un rôle à jouer à ce niveau...) ;
- usabilité : le processus n'est pas évident pour un néophyte ;
- adoption : sur ce point, et avec le recul d'une année, je pense que les prédictions étaient fausses. Par contre la monétisation des identités ne fait que commencer...
- disponibilité : il faut que les deux sites soient accessibles pour pouvoir accéder à une seule ressource ;
- brevets : je sais pas où ça en est ça.
En conclusion, il n'y a pas (encore) de solution miracle mais ça reste à mon avis utile. Après c'est sûr qu'il vaut mieux avoir confiance en son provider... ou créer le sien. Je suis surpris qu'il n'y ait pas encore (à ma connaissance) de provider éthique comme l'APINC pour pouvoir naviguer sereinement.
Commentaires
Kevin le 01/07/2008 :
Ça rejoint un peu le point sur la disponibilité, mais il m'arrive souvent de vouloir me logger sur un site en utilisant mon OpenID, et le fournisseur que j'utilise est parfois très lent à réagir... Quand je suis pressé, je sacrifie l'avenir et je me concentre pour retrouver mon login "normal".
D'autre part, mon provider OpenID permet de "Toujours faire confiance" à un site. Cependant, j'ai toujours besoin de le confirmer.
Enfin, je voulais savoir s'il était simple de mettre en place son propre serveur OpenID.
LeRenard le 01/07/2008 :
Un problème que l'on voit venir avec par exemple le Health Vault de Microsoft est l'obligation d'utiliser les quelques (2 dans le cas de microsoft) providers choisis par le site. En gros, chaque site pourrait choisir 2 ou 3 providers et donc imposer aux utilisateurs de se recréer une identité chez un provider "certifié".
Certains (http://simonwillison.net/2008/Jun/24/openid/) semblent ne pas s'en inquiéter mais un des avantages d'OpenID étant la centralisation des identités, ce que je vois me fait un peu mal au coeur.
Eric D. le 01/07/2008 :
Je continue à penser que le pishing est un faux problème pour OpenId. Les techos savent faire attention et pourquoi. Les autres utilisent de toutes façons dors et déjà le même mot de passe partout donc s'il y a un site web malicieux il peut déjà se connecter partout sous le nom de la victime. Après on commence à voir des systèmes d'authentification /sécurisation alternatifs, soit basés sur la reconnaissance d'images, soit basés sur des certificats / cardspace / extension du navigateur. En fait je ne devrais pas dire que le problème n'existe pas. Il existe, il est concret, il est sérieux, mais globalement le système openid est plus "sécurisé" que les procédures qu'utilisent au jour le jour la plupart des utilisateurs web.
Le problème de confidentialité est le même pour le FAI et pas mal de prestataire technique. Ce n'est pas inutile d'en parler, mais à chacun de choisir un prestataire technique qui lui convient et en qui il a confiance. Vu les données que tout le monde met chez Microsoft, Google et les autres, je doute que ce soit réellement le problème. Ici le fait d'avoir du décentralisé limite la casse. A la limite même les gens pas très techniciens peuvent installer un serveur openid en quelques clicks sur un compte free.fr.
Pour la confiance dans l'identifiant ... il nous manque une couche de confiance, et je regrette qu'aucune des startup de type "réseau social" ne se soit lancée là dedans. J'avais un temps souhaité monter un truc mais par manque de temps .... Toujours est-il que oui, openid ne résoud pas la question de la confiance. Ca n'est simplement pas fait pour. les anciens systèmes d'authentifications ne faisaient pas mieux de ce côté là et tout ce qu'on fait c'est bien uniquement remplacer l'authentification, rien d'autre.
Pour la disponibilité je fais assez confiance aux gros prestataires pour ça. Je ne pense pas que ce soit un réel bloqueur, surtout si openid est là "en alternative" au login existant (tu as un compte sur le site, et tu y associes un openid, au pire tu as toujours l'ancien compte).
Brevets on n'est jamais sûr de rien, mais sauf erreur de ma part ceux qui ont participé ont assuré qu'ils n'avaient pas de brevets dessus. Bref, ça n'est pas plus "risqué" que quoi que ce soit d'autre en informatique.
Non, les deux gros problèmes sont l'usabilité, et l'adoption. L'usabilité parce que la plupart des interfaces restent assez cryptiques. L'idée d'avoir pris une url comme identifiant y est pour quelque chose aussi (même si je n'ai pas mieux à proposer). Il y a du boulot d'ergonomie à faire mais aucun provider ne m'a montré des interfaces vraiment claires pour un non techos.
L'adoption est aussi un problème. Mis à part quelques sites Web 2.0 openid n'a pas percé. Ca aurait été bien que les outils de blog et les plateformes de commentaires proposent openid par défaut. Ce sont ces plateforme qui auraient pu intégrer openid facilement : Elles acceptent les commentaires sans authentification donc permettre en plus openid ne cassera rien même si peu s'en servent. Ca aurait été une intégration zéro risque. Et ces plateformes ont déjà beaucoup de problèmes d'usurpation d'identité ou à gérer inutilement des comptes, openid aurait pu résoudre une partie du problème.
Les seconds à qui j'en veux c'est ceux comme Yahoo! qui intègrent openid uniquement comme provider, pour donner des identifiants, mais qui n'acceptent pas les openid tiers au login. Même si je comprend pourquoi ils le font côté business, ce n'est clairement pas comme ça qu'on va avancer. Il faut aussi accepter la prise de risque "j'authentifie chez les autres mais en contre-partie j'accepte les identifiants tiers afin d'augmenter ma base d'utilisateurs". Les pires étant ceux qui définissent une liste fixe de provider "acceptés", ceux là cassent tout l'intérêt d'openid et de la décentralisation.
Et toi ? pourquoi n'acceptes tu pas openid dans tes commentaires ? qu'as tu à y perdre ?
David, biologeek le 01/07/2008 :
@Kévin : j'ai jamais fait mais ça ne m'a pas l'air insurmontable : http://wiki.openid.net/Run_your_own_identity_server
Sinon concernant ton provider OpenID, je n'ai aucun des problèmes que tu mentionnes avec myOpenID.
@LeRenard : je suis tout à fait d'accord avec toi, ce n'est pas avec des white/blacklists que l'on arrivera à établir cette couche de confiance. Il manque une brique énorme à ce niveau.
@Eric D.: pour les startup qui ajoutent la confiance, je sais que myid.is travaille là-dessus par exemple.
Après concernant le "mieux" je ne nie pas, bien au contraire, mais c'est loin d'être la panacée non plus.
Je ne suis pas d'accord sur la solution d'identifiant alternative avec mot de passe, l'intérêt ça serait justement de n'avoir plus que des OpenID...
Pour l'usabilité, ce sont surtout les navigateurs qui sont franchement à la traine ! Ça me semble pourtant pas énorme à implémenter pour cacher la complexité mais tant que ça restera pour les geeks et que les navigateurs compteront en parts de marché c'est pas gagné.
> Et toi ? pourquoi n'acceptes tu pas openid dans tes commentaires ? qu'as tu à y perdre ?
Juste du temps et il est assez précieux en ce moment, mais c'est prévu...
esion le 01/07/2008 :
Après reflexion, je me demande pourquoi on ne s'est pas plus dirigé vers openpgp.
Sunny le 01/07/2008 :
"sécurité : problème de phishing dont j'ai eu l'occasion de parler ici"
Sur ce problème ça avance, il y aujourd'hui des tas de moyens d'empêcher le phishing (ne pas mettre de lien sur la page d'arrivée, utiliser une extension de son navigateur, une image liée au cookie, certificats ssl à la place d'un mot de passe, générateur de clef hardware, …).
"confidentialité : peut-on faire confiance aux providers OpenID qui peuvent tout savoir de votre navigation en ligne ? Qui peuvent même utiliser votre identité"
On ne peut certainement pas avoir confiance en tous les providers OpenID tout comme on ne peut donner le même login/mot-de-passe partout. On peut tout de même avoir confiance dans les providers les plus scrutés et pour les plus paranos d'entre nous peuvent créer leur provider.
"confiance : aucun moyen de savoir qui est derrière un identifiant OpenID (l'état aurait un rôle à jouer à ce niveau...)"
Sait-on qui se trouve derrière un login/mot-de-passe ? Ou derrière un compte MSN Passport ? Au contraire je pense qu'OpenID pourrait être le moyen par lequel un état pourrait relier une identité sur internet à une identité réelle.
"usabilité : le processus n'est pas évident pour un néophyte"
Là aussi les providers se penchent sur la question. Outre les extensions et utilisations de certificats, avec Yahoo! par exemple il suffit de taper "yahoo.com" ou de cliquer sur un lien "se connecter avec Yahoo!", cela simplifie énormément le principe pour les néophytes. En prime cela donne un identifiant openid unique, qu'on ne peut associer aux autres identités.
Il ne faut pas oublier que des solutions continent d'apparaître et que les providers OpenID jouent d'inventivité pour être les plus sûrs possible. La compétition a du bon.
brunto le 12/08/2008 :
Très bon article et je suis tout à fait d'accord yahoo n'a pas vraiment compris l'intérêt d'openid (même si je comprend aussi la démarche commerciale) dommage.