Vers de la micro-authentification avec MicroID

Vous connaissiez l’authentification avec identifiant et mot de passe, mais connaissez-vous la micro-authentification ? Pour faire simple il s’agit non pas d’authentifier un utilisateur de façon formelle (en lui demandant ses codes d’accès) mais plutôt de faire de l’authentification « silencieuse ».

Explication : lorsque vous rédigez un commentaire vous pouvez saisir un nom, un email et une URL, mais qui me dit que c’est bien vous ? Pour être plus précis, rien ne vous empêche d’utiliser le nom et l’email de quelqu’un d’autre.

Et c’est là où MicroID entre en scène : ce protocole d’authentification permet de certifier l’identité d’un internaute lorsqu’il dépose un commentaire sur un blog ou fait des modifications dans un wiki. Inutile de vous emballer, ce mécanisme de certification n’est pas inviolable (loin de là) mais il apporte une solution simple et élégante.

Vous noterez donc la subtile différence entre OpenID et MicroID : le premier sert à authentifier un utilisateur sur une service, le second sert à authentifier l’auteur d’un micro-contenu.

Tout repose sur un code (la fameuse MicroID) qui est généré à partir de la concaténation de votre email et d’une URL. Cette URL peut être celle de votre blog ou celle de votre service de gestion d’identité numérique comme ClaimID. Ce code va ensuite servir de clé d’authentification.

Donc pour faire simple :

  1. Vous allez sur le site MicroID.org pour vous créer votre propre MicroID ;
  2. Vous publiez cette MicroID sur la page d’accueil de votre blog (ou sur votre page de profil) ;
  3. Lorsque vous publiez un commentaire (ou du contenu sur un service compatible), le mécanisme compare la concaténation de vos email/URL à celle publiée sur votre blog ;
  4. Si c’est la même MicroID, alors votre identité est certifiée, vous êtes bien celui que vous prétendez être.

Voilà, MicroID est aux mécanismes de certification ce que les microformats sont au web sémantique : une solution très simple à implémenter qui propose un premier niveau de service tout à fait acceptable.

Bien évidement vous ne vous servirez jamais de MicroID pour payer vos impôts en ligne ou gérer vos comptes bancaires, mais par contre c’est une solution extrêmement bien adaptée aux médias sociaux : un moyen simple de contrôler la prolifération de micro-contenus (commentaires, modifications…) sans pénaliser les utilisateurs (ils n’ont rien à faire si ce n’est paramétrer leur MicroID).

Pour en savoir plus sur ce protocole, je vous recommande la page de Wikipedia ou leur blog. Pour l’instant une petite dizaine de services compatibles (Last.fm, Wikitravel, Digg…) mais la liste devrait s’allonger.

Il existe un plugin WordPress pour  implémenter MicroID dans les commentaires mais il n’est malheureusement pas compatible avec la dernière évolution majeure (la V 2.5), enfin je crois. Quelqu’un peut-il me renseigner là-dessus ?

MaJ (17/07/2008) : Après lecture des différents commentaires je me rend compte que quelque chose m’échappe dans le processus d’authentification utilisé. Je pense qu’il n’est pas si simple de détourner une MicroID mais leur site web manque effectivement d’explications sur la viabilité du processus. A suivre…

33 commentaires sur “Vers de la micro-authentification avec MicroID

  1. Frédéric, j’ai une question…est-ce qu’on pourrait imaginer que les micro-formats permettent aux internautes de maitriser les conditions d’accessibilité de leurs documents ? J’ai du mal à avoir les idées claires sur ce sujet précis !

    Y-a-t-il des applications qui le rendent possible pour Monsieur Tout le Monde ?

  2. @ Florence > Ha non je vois difficilement comment ça serait possible. Les microformats sont à exploiter dans le cadre de la sémantisation du web, l’accessibilité c’est un autre domaine.

    /Fred

  3. Je crois que j’ai été impressionné par la facilité apparente du système.

    seulement je pose une question.

    Que se passe t il si qqun qui veut se faire passer pour moi, connais et mon pseudo, et mon mail, et mon site internet (ce qui est probablement le cas des personnes voulant réellement usurper les identités)

    Dans le cas ou qqun de mal intentionné rentre les bonnes informations de la personnes originelle, logiquement la chaine cryptée (hashée plutot je pense via MD5) ser

  4. sera identique que celle sur le blog, et donc l’identitée sera toujours usurpée.

    la seule solution qui me semble viable, et qu’en plus l’utilisateur envoie un mot de passe perso ne servant a être manipulé uniquement dans le cryptage de la chaine.

    Seulement cela revient a envoyé une donnée sensible a un site tiers.

    N’y a t il pas quelques chose de caduque dans le systeme ?

    (désolé, pour le commentaire en deux parti, j’ai posté sans faire exprès…)

  5. Je trouve que ce système est assez simplement falsifiable…

    Par exemple, si quelqu’un cherche à se faire passer pour moi. Il va voir dans ce commentaire le lien vers mon blog.
    Il va aller sur mon blog, lire la page contact et récupérer mon email.
    Ensuite, vu que j’aurai mis mon microid sur mon blog, en assemblant ces deux éléments, il se fait passer pour moi sans aucun problème.

    Ou alors j’ai raté un truc…

  6. Je trouve que c’est une très bonne idée, les médias sociaux sont remplis de petits plaisants qui s’amusent à falsifier leur identié ou à voler celle des autres, c’est honteux !

  7. @Fred : mais s’il est unique, on ne peux plus le comparer.

    une solutions pourrai être de proposer un envoie de commentaire via OpenId, ou l’utilisateur, à la place de ses infos propose son identifiant OpenId, envoie son commentaire, est redirigé vers OpenId puis OpenId renvoie les informations de l’auteur.

    Mais il me semble que cette solution existe déja.

    Chez bloggeur on peut signer son commentaire via OpenId, mais les informations affichées au final ne sont pas celles de l’auteur, mais uniquement un ID openId je crois.

  8. Ensuite, on tombe sur un autre problème.

    soit on oblige les gens a avoir un OpenId pour publier un commentaires.
    soit on laisse une double possibilité de publication en commentaire, et la boum risque de « faux ».

    la première solution, la plus sécurisée impactera fortement le nombre de commentaire reçus a mon avis.

    donc la seconde solution semble la plus viable.

    il faut pour résoudre le problème du « faux », faire a postériori, un affichage spécifique pour les commentaire « authentiques » ceux validés via OpenId avec une étoile ou quelque chose, des commentaire normaux.

    Cette solutions aura en plus pour avantage de valoriser OpenId car les auteurs mis en avant sont les auteurs OpenID.

    Que du bon non ?

  9. Je me joins à plusieurs des remarques : Je ne vois pas en quoi ce système vérifie de façon formelle l’identité. C’est plus un filtre permettant aux petits malins de poster à tout va avec n’importe quel pseudo … Maintenant, vous pouvez utilisez n’importe quel type de cryptage (ici du SHA1), qu’il soit simple ou indéchiffrable, si vous utilisez 2 chaines que l’on peut récupérer … ça ne sert pas à grand chose !!! Sauf si vous renseignez une fausse adresse email en guise de mot de passe …

  10. Pourquoi faire du cheap quand des technologies bien plus secures, robusts, pérennes et évolutives existes ?
    MicroID + Microformats VS OpenID + RDF/FOAF

    Allez faire un tour sur le blog d’Alexandre Passant, regardez ses commentaires…
    http://apassant.net/blog/2008/01/06/wordpress-foaf-openid-updated/

    Sur certains commentaires, qui utilisent OpenID + FOAF, on retrouve les liens vers linkedin, leur blog, etc.. Bref toute la richesse d’un profil FOAF.

    De plus, pour assurer une vraie authentification il faut avoir un tier de confiance, pourquoi l’état ne pourrait-il pas assurer ce rôle ?
    http://nicolas.cynober.fr/blog/94,internetgouvfr.html

  11. @Fred> Ha non, OpenID sert à authentifier un utilisateur sur un service, MicroID sert à authentifier l’auteur d’un micro-contenu.

    Euh pour moi c’est pareil … pire je trouve dommage d’inventer 2 mecanismes pour le même besoin. Dans ce cas la mécanique de commentaire est un « service ». D’ailleurs les commentaires de Blogger marchent avec OpenID

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s