Ces derniers mois l’actualité autour des technologies d’authentification est chaude, bouillante même ! Pour faire simple, l’authentification est “la procédure qui consiste à vérifier l’identité d’une entité (personne, ordinateur…), afin d’autoriser l’accès de cette entité à des ressources (systèmes, réseaux, applications…)“. Jusqu’à très récemment sur le web, le seul moyen d’accéder à un service était de se créer un compte en choisissant un identifiant et un mot de passe. Au siècle dernier cela ne posait pas de problème dans la mesure où un utilisateur lambda n’exploitait que très peu de services en ligne (Yahoo!, Amazon, Ebay…). Donc le nombre de login / mot de passe à retenir était limité.
Mais avec l’avènement des médias sociaux tout se complique car il n’est pas rare de devoir jongler entre des dizaines de services en ligne et donc autant d’identifiants et mots de passe. C’est là où sont apparus des systèmes d’authentification décentralisés comme OpenID. Très prometteuse, cette technologie a rapidement été adoptée par les plus grands acteurs (cf. Google, IBM, Microsoft, Yahoo et VeriSign adoptent OpenID) sans toutefois remporter l’adhésion du grand public.
Une technologie trop complexe pour le grand public
Le problème vient très certainement d’un manque de volontarisme de la part de ces acteurs qui hésitaient à se lancer dans de grandes campagnes d’évangélisation. Sans vouloir jouer les devins je pense que cette frilosité est du à une mécompréhension entre les notions d’identité et de profil. Communiquer sur un mécanisme de délégation d’authentification aurait fait fuir les partenaires potentiels (qui implémenteraient cette technologie) et inquiété les investisseurs.
Bref, tout ça pour dire qu’OpenID n’a pas trouvé sa cible, d’autant plus qu’il existe d’autres solutions qui présentent chacune des avantages / inconvénients. Ce contexte concurrentiel n’a fait que ralentir l’adoption de ces technologies, et ce malgré des travaux d’interopérabilité (cf. Vers un standard d’identité numérique ?).
Plus de simplicité et des usages concrets par faciliter l’adoption
Cela n’a pas découragé les promoteurs d’OpenID qui ont fait progresser leur standard et surtout l’ergonomie du dispositif : La création de compte simplifiée avec OpenID.
Mais celui qui a réellement fait découvrir la délégation d’authentification au grand public c’est… Barack Obama (encore lui ?) ou plutôt Facebook qui a eu la très bonne idée d’associer sa technologie “maison” Facebook Connect à une opération de buzz autour de la cérémonie d’investiture du nouveau président US. Et là subitement, l’intérêt de ces technologies sautent aux yeux (cf. CNN + facebook, premier exemple concret de télévision communautaire et Le partenariat CNN Live et Facebook peut-il faire trembler Twitter ?). La promesse est en effet très belle : pouvoir tester et s’inscrire sur une infinité de sites sans avoir à choisir de nouveaux identifiants en se servant de votre compte Facebook :
Oui mais voilà, cette promesse à une contre-partie : il faut accepter de partager certaines informations concernant votre profil. Cette première application à grande échelle a ainsi réveillée les vieilles craintes liées au respect de la confidentialité et aux dérives potentielles. Quoi que… il faut quand même se méfier (cf. Facebook Connect + Facebook Ads = A Social Ad Network).
Il n’a pas fallu attendre très longtemps pour que Google dévoile à son tour sa propre solution qui repose non pas sur une technologie propriétaire mais sur deux standards (OpenID et OAuth) : Google lance son offre concurrente à Facebook Connect.
Puis nous avons entendu des rumeurs au sujet de Twitter qui lui aussi serait en train de tester son propre mécanisme : Twitter OAuth Spotted in the Wild.
Le cas de Twitter est particulièrement intéressant car il existe de nombreux services qui reposent sur les APIs de Twitter et qui se servent déjà des comptes des utilisateurs comme identifiants. En implémentant un mécanisme plus robuste comme OAuth, Twitter donne alors la possibilité à ses utilisateurs de gérer de façon plus fine les droits d’accès.
Et finalement cette semaine c’est au tour de Yahoo! d’annoncer sa propre solution : Yahoo! Updates (cf. Yahoo! tente de concurrencer Facebook avec Yahoo! Updates).
Vous noterez au passage qu’il ne s’agit pas QUE d’authentification mais également d’agréger les actions réalisés sur les sites partenaires sur votre profil Yahoo!. Vous pouvez voir fonctionner ce système ici : Yahoo! Updates API Demo. D’un point de vue technique, les équipes de Yahoo! ont eu la très bonne idée de monter un partenariat avec JS-Kit, une société qui fournit une brique technologique très intéressante puisqu’elle permet (d’après ce que j’ai compris) de véhiculer des données “sociales” (updates…) entre différent services à l’aide de ces technologies de délégation d’authentification (plus d’infos ici : Yahoo! Launches Major Challenge to Facebook Connect).
Très bien… mais tout ceci ne résout pas le problème de fond du choix de la technologie : les différentes solutions existantes (plus ou moins concurrents) brouillent le débat et divisent la communauté informatique. Et pendant se temps là, l’utilisateur est toujours perdu dans ce débat d’expert (et dans ses mots de passe).
Bon… ceci étant dit et au vue des derniers travaux réalisés il semblerait que l’on commence à se diriger vers des solutions plus “grand public“, c’est à dire proposant un mode d’interaction plus simple pour l’nternaute lambda. Illustration avec le module de commentaires universels de JS-Kit : Comments Service.
Comme vous pouvez le constater sur cette capture, il est possible de déposer un commentaire en utilisant l’un des systèmes d’autentification proposé (OpenId, Yahoo! Updates, Facebook Connect…). Disons que c’est un premier pas très encourageant.
Très bonne initiative ! Je suis toujours surpris de voir combien FB malgré ses retentissants allers-retours sous la pression de ses membres restent un système assez fermé dès qu’il s’agit de nouer des partenariats stratégiques et pas uniquement d’ouvrir un plateforme d’applications. Je me demande s’ils sont devenus suffisamment puissant pour se permettre de quasi systématiquement faire bande à part là où Google & MySpace font preuve, je trouve, de pas mal d’ouverture d’esprit (je n’ai pas dit philanthropie non plus !)
L’article est intéressant mais je vais faire le relou de service…
2 grosses fautes de Français dans cet article : “C’est derniers mois”!=”Ces derniers mois”, et l’utilisation de “de l’internet” (mauvaise traduction de l’anglais) au lieu de “d’internet”.
Évidemment cela n’enlève rien à l’intérêt de l’article mais ça me surprend toujours de voir que des spécialistes du net et de son actu continuent de parler de “l’internet”…
Désolé !
Très intéressant article, nous sommes actuellement en pleine réflexion sur ce type de sujet : WebSSO.
Le souci à force pour les développeurs, c’est de suivre la “meilleure” tendance, si possible pérenne, pour un coût en temps (et financier) non négligeable.
A peine a-t-on implémenté OpenID que Facebook Connect, Google Friendconnect et consorts sortent leur propre protocole, on se croirait il y a quelques années et la bataille des navigateurs ;)
J’ai l’impression qu’il faut attendre qu’une solution “standard” sorte de tout ça, Open Stack ?
Bah, si je peux donner un conseil : prendre du recul. Ce genre de technologie est souvent complexe à implémenter alors mieux vaut être sûr de son coup…
Oui certes, mais toujours complexe de se créer son Opend ID pour l’internaute lambda. C’est le talon d’achille de ce protocole c’est un peu une histoire sans fin : tant que c’est complexe, la base d’utilisateur ne grandit pas, tant qu’elle ne grandit pas, l’adoption de cette solution sur les sites web se fera attendre…
Ca me fait penser qu’Orange aurait aussi sorti sa solution d’authentification, Chronopost l’utiliserait déjà (http://www.ecommercemag.fr/xml/Breves/2009/02/20/28323/Chronopost-fr-innove-avec-Orange/). Quelqu’un sait où on peut en savoir plus ?
Notons que JanRain, un acteur central d’OpenID, propose une solution similaire avec leur service RPX
http://www.janrain.com/products/rpx
Pure remontée d’information :
http://www.lavoixeco.com/actualite/Secteurs_activites/Informatique_et_High_Tech/2009/02/28/article_pass-connect-remplit-tout-seul-vos-formu.shtml?xtor=RSS-1
Intéressant ! Je me demande aussi ce que vont faire toutes ces personnes aux multi-comptes…
Ce qui me frappe le plus dans ce très bon post, c’est le décalage entre d’un côté un afflux massif de technologies et d’innovation de la part des poids lourds du web, et de l’autre la confusion totale de l’utilisateur, que vous avez très bien soulignée.
C’est paradoxal: les technologies d’identification ont été créées pour faciliter la vie de l’utilisateur qui devait sans cesse se logger dans des dizaines de sites différents. Mais aujourd’hui le problème est le même: il faut qu’il arrive à s’y reconnaître parmi des dizaines de mécanismes d’identification différents! Et très honnêtement je doute que tous les internautes découvrent Open Stack aussi vite que vous…
En fait, j’ai peur qu’avec toutes ces offres concurrentes, les internautes lambda se perdent complètement et préfèrent continuer à utiliser le bon vieux login/mdp traditionnel, quitte à ce qu’il perde et reperde… leurs mots de passe.
Je n’ai pour ma part aucun compte de ce type, en attente d’une solution miracle plébiscitée par tous :)
le problème c’est que le users lambda a trouvé lui même la solution.
quand il perd son mot de pass il en demande un autre.
sur son skyblog ma fille fait cela tous les 2 jours. C’est devenu une habitude, un passage obligé.
alors openId, ben cela lui sert à rien. :)
Je suis d’accord, l’internaute s’y perd et la plupart rencontrent le problème de l’authentification simple et centralisée.
De plus, si chaque grand acteur du web lance son service d’authentification “universel”, on s’éloigne encore plus de la simplicité ou de l’universalité.
N’y aurait-il pas des études sur le sujet proposant des méthodes alternatives? Par exemple, imaginer un avenir où nous serions identifié par notre empreinte digitale? Ou par notre haleine?… Ce ne sont que des idées…
Ou bien, peut-on imaginer que l’on ait chacun un identifiant naturel (au format REST par exemple) accompagné d’un mot de passe, d’un “token” stocké localement… Je dis sûrement n’importe quoi ;)
Merci pour ces études!