L’identité numérique en question

Le web 2.0 repose (entre autre) sur un principe de base : une reprise de contrôle par les utilisateurs, oui…mais qui sont-ils ?

Car s’il nous est maintenant donné la possibilité de :

  • attribuer des notes à des livres (sur Amazon) ou des informations (sur Wikio)
  • poster des commentaires (sur des blogs) ou des avis (sur Amazon)
  • éditer des pages de wiki (sur wikipedia par exemple)
  • publier des billets (sur votre blog)
  • partager des photos (sur FlickR),des vidéos (sur DailyMotion) ou des liens (sur del.icio.us)
  • tisser des liens professionnels (sur LinkedIn ou OpenBC)
  • vendre ou acheter des produits sur eBay
  • recommander des produits (sur Zlio)
  • rédiger des pages centrées sur un domaine d’intérêt (sur Squidoo)
  • attribuer des tags à du contenu
  • co-rédiger des documents en ligne (sur Writely ou Google Spreadsheet)
  • collaborer dans des espaces de travail (sur Basecamp ou JotSpot)
  • monétiser votre savoir-faire (sur Google Answsers)…

…tout ceci s’effectue sans réel contrôle de l’identité : qui me dit que la personne qui publie des commentaires est bien la vrai personne qu’elle prétend être ?

Avec la montée en puissance des contenus rédigés par les utilisateurs (user-generated content) le besoins de valider l’identité (et la réputation) d’une personne va se faire ressentir de façon toujours plus pressante.

C’est là où les services de gestion de l’identité entrent en scène. Ils se positionnent comme des tiers d’authentification de l’identité. Je souhaite ainsi vous faire découvrir différents services de gestion de l’identité numérique :

Oui je sais, qu’est-ce que Google vient faire dans cette liste ? La raison est très simple : la gamme de services proposés par Google est tellement vaste (et elle risque de s’étendre encore dans les prochaines années) que j’en viens à me demander si finalement ce n’est pas l’acteur qui a pris le plus d’avance pour la gestion de l’identité. Et vous, est-ce que vous partagez cet avis ?

MAJ (27/07/2006) : Comme précisé dans les commentaires, il existe en fait plusieurs alternatives à ces services :

  • FOAF qui est un langage descriptif centrée sur la descrition d’un individu et de ces connaissances ;
  • hCard, le microformat dédié aux informations de contact des individus mais également des entreprises et organisations ;
  • OpenID, une initiative (à priori) indépendante de gestion décentralisée de l’identité ;
  • Sxip, un équivalent à OpenID mais proposé par une société privée.

Un commentaire sur “L’identité numérique en question

  1. Tous les sites que tu énumères (Flickr, etc.) nécessitent effectivement qu’on crée autant de profils que de sites. Certes, confier son profil à un opérateur unique (comme ClaimID) peut sembler avantageux, mais alors, nos données personnelles sont dans les mains d’un seul acteur du web, dont on ne peut pas savoir exactement ce qu’il en fera, finalement. C’est une option qui pousse à centraliser les données personnelles, alors qu’il vaudrait mieux les décentraliser. Pour ces raisons, ma préférence va à des systèmes d’identifiation et de reconnaissance qui s’appuieraient sur FOAF, mais qui certes, à ma connaissance, sont encore à inventer. Avec FOAF, je peux donner toutes les informations sur moi que je souhaite, et comme mon fichier FOAF est hébergé sur un espace qui m’appartient, j’en conserve la pleine maîtrise.

  2. Tout à fait d’accord avec toi (d’ailleurs je possède un profil FOAF depuis plus de 2 ans). Le probème c’est que FOAF n’est pas encore mature et que tu dois tout faire à la main. Peut-être que les microformats comme hCard vont nous aider à faire une transition en douceur vers des technologies plus structurante (comme FOAF). /Fred

  3. Si chacune de ces initiatives privées a un intérêt, la gestion de l’identité sur le web devrait d’après moi être un service public parce que : – ses standards doivent être universels, ouverts à tous et à tous les services – il doit être complètement transparent dans son mode de gestion Je ne sais pas si le W3C s’est penché sur la question, mais c’est à mon avis à lui que revient ce rôle : – fixer les standards de format d’identité numérique – donner aux états des recommendations en matière de gestion de ces identités et les limites de leur champ d’application Attention, cela ne signifie pas que chacun devra être strictement identifié par l’état lors de sa navigation… ce que cela veut dire, c’est que c’est aux états d’être responsables de la gestion de ces stocks d’identité numériques standards. Ce service d’identification sera ensuite utilisé, ou pas, de manière volontaire par des acteurs privés (entreprise ou simple internaute).

  4. si c’est juste pour certifier que c’est moi, ca ne me gène pas que ce soit centralisé. Je n’ai pas besoin de mettre des informations personnelles dessus, je peux simplement faire un lien sur mon site par exemple. L’important, c’est de dire que c’est bien moi qui écrit, et pas quelqu’un d’autre.

  5. Il faut aussi permettre la gestion de plusieurs identités : suivant le site où on l’on est (professionnel, forum, humour,…) on n’a pas forcément envie d’être connu entre les différents milieux.

  6. Cette question du besoin de la gestion des identités numériques sur le web est d’ailleurs très bien posée dans la célèbre présentation « Identity 2.0 » de Dick Hardt, fondateur de Spix Identity : http://www.identity20.com/media/OSCON2005/ De notre côté, je veux parler de Microsoft, nous sommes en phase d’élaboration d’une solution dont le nom de code est « Infocard » et qui supporte les deux scénarios décrits dans les commentaires : – L’identité déclarée par l’utilisateur, avec nécessairement un niveau de confiance faible, mais pas différent de ce qui existe actuellement, c’est-à-dire des informations exactes et honnêtes ou pas fournies dans les formulaires d’inscription en ligne – L’identité « forte » et confirmée par une autorité (principalement des Banques, des Gouvernements, etc…) et qui est donc vérifiée Le design de « Infocard » a été guidé par de nombreuses discussions et échanges et dont Kim Cameron, l’architecte de Infocard chez Microsoft a produit un synthèse dans un document nommé « The Laws Of Identity ». Ce document peut être consulté ou téléchargé en plusieurs formats sur son blog : http://www.identityblog.com/?page_id=354 En revanche, « Infocard » n’adresse pas du tout le besoin de réputation. Il pourrait cependant être couvert par un ou plusieurs sites tels que RapLeaf à partir du moment ou ces sites utiliseraient un système d’identification fort. Pourquoi je parle de plusieurs sites gêrant la réputation ? Pour les mêmes raisons que l’on supporte plusieurs identités dans Infocard. On peut très bien être une sommité dans un domaine scientifique quelconque et n’avoir aucune pertinence dans des débats politiques ou philosophiques, ou encore être très mauvais en tant que vendeur sur eBay… Je pense qu’on a besoin de systèmes de réputation qui tiennent compte du contexte d’utilisation de l’information de réputation. Au passage, j’ajoute donc à la liste des solutions celle de Spix Identity et Infocard, de Microsoft : – http://www.sxip.com/http://msdn.microsoft.com/winfx/reference/infocard/default.aspx : Microsoft Cardspace (nom de code Infocard)

    
    

    Pour répondre à la question finale, je répondrais – et ça n’est pas parce que je suis un vilain suppo de Redmond – que je ne pense pas que Google puisse devenir un fournisseur fiable de gestion d’identité. Je crois plus à un réseau constitué de banques ou de gouvernements.

  7. Oui neolao, mais n’importe qui peut poster un commentaire (ou une annonce sur eBay) en y ajoutant un lien vers ton site. De plus, en fouillant un peu dans les registres de WOHIS je peux même trouver ton véritable nom et ton adresse. Alors en prime, si tu publie ton CV sur ton site, j’ai d’autant plus de facilité à usurper ton identité. /Fred

  8. en fait, je parlais d’une authentification par un site centralisé pas simplement fournir une adresse, ca serai trop facile c’est juste que ce site n’a pas beaucoup d’information, juste pour authentifier quelqu’un. Ses infos sont autre part.

  9. oui j’m’en doute, je ne m’étais jamais vraiment penché sur la question je pense naivement que centrer l’authentification pour avoir une unicité mais décentraliser l’information, ca serait bien. mais je vais me documenter un peu plus, c’est intéressant tout ca

  10. virtuellement on peut mourir facilement, avoir « plusieurs vies »… !! c’est quand même bien non pourquoi se limiter a ça pauvre identité physique d’ailleurs le concept de identité physique devient très floue avec la mondialisation, pourquoi être troublé a se point alors que de l’autre côte les programmes de suivit de google ou autres vont nous pister partout ?

  11. Ca existe quand même depuis la nuit des temps du web, le fameux Passport de Microsoft. « …tout ceci s’effectue sans réel contrôle de l’identité : qui me dit que la personne qui publie des commentaires est bien la vrai personne qu’elle prétend être ? » En général on prend un pseudo, je connais vraiment très peu de site où les visiteurs font des commentaires avec leur vrai nom. Déjà que le % de personnes laissant des commentaires en rapport au nombre de visiteurs est faible si en plus on veut les obliger à révéler leur identité ça va s’effondrer encore plus. « Avec la montée en puissance des contenus rédigés par les utilisateurs (user-generated content) le besoins de valider l’identité (et la réputation) d’une personne va se faire ressentir de façon toujours plus pressante. » La gestion de la réputation ça existe déjà plus ou moins, voir Ebay. Après vouloir transformer les internautes en flic qui se traquent de site en site et se notent entre eux… Pourquoi pas … L’Internet Academy ça peut le faire.

  12. Je pense que le problème de l’identité rejoint un problème de sécurité physique des personnes. Ce problème a été plusieurs fois cité par la presse(y compris sur ce blog, cf 24 juillet), notamment pour ce qui est des menaces réelles pesant sur les utilisateurs de MySpace. Autrefois, l’on pouvait se mettre sur « liste rouge » et voir ses données effacées. Aujourd’hui, le web 2.0 pousse à laisser notre trace partout, à faire de rencontres inattendues, ou du moins à creer un lien avec des personnes (réelles ou non) qui ont exposées des données importantes. Ce sont autant de fenêtres ouvertes à des actions malveillantes et crapuleuses, qui dépassent le cadre le sécurité informatique traditionnelle (protection des données, etc). Dans ce contexte, il semble nécessaire de se demander si l’identité unique va dans le bon sens, et de manière générale, si les utilisateurs ne se braqueront pas contre tout ça comme cela se produit avec MySpace. J’invite donc Fred cavazza à ouvrir un débat la dessus (si ce n’est déjà fait).

  13. Le problème, AMHA, c’est l’exploitation commerciale et à votre insu de vos données personnelles par les industries du marketing, ne serait-ce que vos goûts.

  14. Mouais, mouais… d’accord avec #9-flo. Ne pas confondre. Et puis je ne ressens le besoin d’une authentification que dans de très rares cas. Ne pas perdre de vue que le monde électronique ne dois pas être plus contraignant ou restrictif que le monde réel. Et dans la rue, il m’est quasi impossible d’être certains de l’identité des individus que je croise. Seules les forces de l’ordre, et sous certaines contraintes, le peuvent. Je ne veux pas qu’il en soit différemment sur le web. C’est la méfiance développée au contact de nos expériences qui nous protège. Trop de certitude rend vulnérable! Le phishing, ça existe depuis la nuit des temps dans la vraie vie, et aucune authentification forte réelle (vs virtuelle), même via des tiers de confiance (passeport, carte d’identité, permis de conduire), n’a jamais empéché l’usurpation! Alors, quelque soit le niveau de sécurité promis par les tiers de confiances virtuels (Microsoft, la Poste, Google…), il y aura toujours quelqu’un de plus malin pour passer à travers. Pensez aux virus et autres Trojans… La sécurité ultime, c’est quand même la compétence et le pouvoir discriminant de l’individu. Eduquons nos semblables, plutôt que de les leurrer derrière des murs illusoires. Sinon, assez d’accord avec notre hôte: Google va probablement devenir la plateforme ultime; plateforme de quoi? ben … de tout! ::

Répondre

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion /  Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion /  Changer )

Connexion à %s