Compte-rendu des États Généraux de l’identité numérique

J’ai participé hier aux premiers États Généraux de l’identité numérique organisés par PRODOPER (un groupe de travail initié par le CNRS), l’AFCDF et l’université Paris Ouest. Ce colloque avait pour objectif d’ouvrir un débat public autour de l’identité numérique (comment protéger sans gêner le développement de l’économie numérique, comment accompagner les changements dans les usages, comment réguler et jusqu’où…) et d’élaborer un livret blanc collectif.

Je n’ai pas pu assister à la journée complète mais j’ai été heureux de pouvoir participer à une table ronde sur les multiples identités numériques. Différents intervenants ont ainsi présenté leurs travaux et réflexions.

Daniel Kaplan de la FING :

  • Un groupe de travail en cours à la FING sur l’identité active ;
  • La multiplicité des identités numériques peu être vu comme un jeu mais peu également caché une pathologie (schizophrénie ?) ;
  • Les transgressions ont toujours existées (ex. paiement en cash dans un sex shop) ;
  • Internet nous offre des outils facilitant la diffusion de traces (les médias sociaux), leur recherche (Google) et leur exploitation (Facebook ?) ;
  • Différentes raisons poussent un individu à vouloir être visible sur internet : la protection (en cherchant à noyer les traces dans du bruit), la personnalisation (je veux être reconnu), l’aspiration / l’émancipation (cf. l’étude Sociogeek) ;
  • Le sujet commence à devenir sérieux avec les e-portfolios (exposition de nos compétences professionnelles et gestion de notre réputation) ;
  • Les questions de l’interopérabilité des réseaux sociaux et de la portabilité des données reste entière (cf. Despite New Openness, Facebook Remains Fundamentally Closed) ;
  • Il y a encore de l’ambigüité chez certains utilisateurs qui publient à destination d’un cercle restreint mais avec une diffusion libre (notion d’identité clair-obscure).

Yves Deswarte qui est chercheur au LAAS-CNRS en sécurité informatique :

  • Ne pas confondre identité et authentification (qui permet de donner des autorisations d’accès / d’édition et surtout permet de tracer les actions) ;
  • Travaux de réflexion en cours sur un projet de carte d’identité blanche (les données ne sont délivrées qu’unitairement au travers d’un lecteur dédié) ;
  • Un projet très intéressant initié par IBM Zurich sur de la location de voiture anonymisée.

Michel Arnaud qui officie à l’université Paris Ouest Nanterre La Défense :

  • Il préconise une approche à 3 niveaux (banque centrale de données / tiers de confiance / Correspondant informatique et Libertés) ;
  • Des travaux en cours sur des pseudonymes certifiés ;
  • Tout comme la banque centrale lutte contre la fausse monnaie, il devrait y avoir un organisme pour lutter contre les fausses identités ;
  • Il existe une application concrète à grande échelle avec le Dossier Médical Partagé Informatisé Personnel (où le N° de sécu est votre identifiant anonyme et où la Caisse des Dépôts joue le rôle de tiers de confiance) ;
  • Problème récurrent = comment mettre en place le droit à l’oubli ?

J’ai pour ma part présenter un support sur la fragmentation de l’identité numérique ainsi que sur le rôle clé que vont jouer les terminaux mobiles :

Ces présentations ont ensuite été suivies d’un débat qui a rapidement dégénéré sur les thèmes de la liberté individuelle et des dérives sécuritaires (caméras de surveillance). Je retiens néanmoins trois réflexions très intéressantes :

  • La centralisation des données personnelles sous un seul compte n’est pas la même chose que l’indexation centralisée (sur Google Profile par exemple) ;
  • Il est important de ne pas se reposer entièrement sur du numérique et de conserver des supports analogiques pour ne pas sombrer dans le chaos en cas de catastrophe naturelle (plus d’internet, de téléphonie mobile ni d’électricité) ;
  • Le droit à l’oubli peut parfois entrer en contradiction avec le devoir de mémoire (notamment pour ceux qui ont publiés des contenus négationnistes).

J’attends maintenant avec impatience la suite des travaux et notamment ce fameux livret blanc collectif.

Interopérabilité des plateformes sociales, on y est presque (peut-être)

Ce n’est pas la première fois que je parle de l’interopérabilité des réseaux sociaux (cf. Un premier pas vers l’interopérabilité entre les réseaux sociaux avec DataPortabilty et Ouverture des réseaux sociaux, la route sera longue) mais c’est la première fois que je parle de « plateformes » et surtout c’est la première fois que des solutions (ou à défaut des intentions) concrètes sont là.

Ce débat de l’interopérabilité n’est pas nouveau car avec l’avènement de gros réseaux sociaux comme MySpace ou Facebook (qui dépassent les 150 millions de membres) et la multiplication des services, les utilisateurs sont en manque de solutions simples pour pouvoir facilement exploiter la dimension sociale du web.

Genèse des Walled Garden

Oui mais voilà, les opérateurs de plateformes sociales voyaient dans leur base utilisateur à la fois un trésor de données qu’ils pouvaient monétiser auprès d’annonceurs et un très bon levier de rétention (vous noterez que je n’ai pas employé le terme  » fidélisation »). Pour faire simple : une fois que vous avez renseigné votre profil, partagé vos photos et construit votre liste d’amis, vous n’avez plus trop envie de changer de crèmerie car il faut tout recommencer à zéro. Les plateformes sociales ont donc érigé de grands murs pour être sûre que les utilisateurs ne puissent pas faire sortir leurs données (les fameux « Walled Garden« ). Qui se souvient ainsi de la fameuse affaire du Scoblegate (où Robert Scoble c’était fait bannir de Facebook pour avoir essayé d’exporter sa liste d’amis) ?

Puis les plateformes sociales ont mis au point des socles technologiques pour pouvoir faire rentrer encore plus de données (au travers d’applications et de connecteurs) : « Plutôt que d’exporter vos données vers le web, pourquoi ne pas importer votre web chez moi ?« . C’est Facebook qui a ouvert le bal en 2007 avec sa Facebook Platform, rapidement imité par LinkedIn, MySpace puis Bebo puis quasiment tous les autres.

Aujoud’hui la situation est différente car l’opinion publique est en train de se rendre compte du danger que représente la centralisation de données personnelles / professionnelles sur une plateforme : dépendance, usurpation, monétisation abusive…

Un pour tous, tous pour… pour qui déjà ?

Face au raz-de-marée Facebook, les autres acteurs de la sphère sociale ont naturellement formés des alliances, non pas pour faciliter la vie des internautes mais plutôt pour essayer de jouer sur l’effet de volume. Sont donc nées les initiatives suivantes :

  • OpenSocial, dont l’objectif est de normaliser les applications (ou social widget) greffables sur une plateforme sociale ;
  • DataPortability, qui doit permettre aux utilisateurs de porter leurs données personnelles d’une plateforme à une autre (grâce à des mécanismes d’import / export).

Ces initiatives ont remporté un très vif succès et de nombreux acteurs prestigieux se sont empressés de rejoindre l’une ou l’autre (voir les deux), même Facebook ! Mais dans les faits, la réalité est moins glorieuse : Les discussions sont très laborieuses et les spécifications avancent lentement. Résultat : la platform de Facebook conserve une longueur d’avance en terme de sophistication (car ils sont seul maître à bord).

Bref, l’idée était là mais il fallait qu’ils trouvent leurs marques.

Open Stack et DiSo Project pour un web social décentralisé

Après de nombreux mois de travail et d’expérimentation ces technologies se sont affinées et la communauté a surtout appris à les combiner. C’est donc dans ce contexte que nous avons commencé à entendre parler d’Open Stack : un ensemble de briques technologiques servant à exploiter librement les plateformes sociales (reposant sur des formats et protocoles non propriétaires). Il est ainsi question de Decentralized Social Web, une couche sociale sur laquelle repose différents services compatibles entre eux, dont le DiSo Project serait le catalyseur. L’objectif affiché étant de rendre complètement transparent le basculement d’un service à un autre :

socialweb

La première étape de ce vaste chantier a été d’isoler des services élémentaires et d’y associer une technologie open source :

  • La fourniture d’une identité numérique (autrement appelé de la délégation d’authentification) avec OpenID ;
  • Les mécanismes d’autorisation et d’accès aux différents services avec OAuth ;
  • La faculté d’un service à être facilement trouvé avec XRDS-Simple ;
  • L’accès aux contacts et donc au social graph avec Portable Contacts ;
  • La diffusion de flux d’activité (les fameux Activity Streams).

Ainsi était né une première vision d’un web social ouvert auquel avait souscrit les plus grands noms :

openstack1

Vous noterez sur ce schéma l’absence de deux acteurs notables : Facebook et Microsoft.

Vers un nouvel Open Stack avec Facebook

Et subitement tout s’accélère en ce début d’année avec l’arrivé de Facebook dans la discussion et notamment celle sur les Activity Streams. Il est alors question d’élargir les travaux et d’inclure Facebook dans ce tableau afin d’en démultiplier le potentiel (cf. A New Open Stack: Greater Than the Sum of its Parts) :

newopenstack

Suite à cela, Facebook a décidé de petit à petit ouvrir sa plateforme pour pouvoir devenir d’ici l’année prochaine la plateforme sociale la plus ouverte : Facebook in 2010: no longer a walled garden. Une très bonne nouvelle pour les utilisateurs, mais que fait Microsoft pendant ce temps ? Pas grand chose puisque de toute façon le géant de Redmond a complètement raté le virage des réseaux sociaux. Microsoft est indirectement présent dans ce tableau au travers d’OpenID et doit sûrement être en train de préparer quelque chose avec Windows 7 (en intégrant directement des fonctions sociale à l’OS).

Nous sommes donc rentré dans une nouvelle dynamique d’ouverture des plateformes sociales avec des acteurs qui affichent tous une réelle volonté d’ouverture. Mais ne soyons pas naïfs, ce n’est pas l’altruisme qui motive ces acteurs mais plutôt la volonté de ne pas se faire larguer et surtout d’apparaitre comme irréprochable aux yeux de la communauté. Dans ce contexte nous commençons également à voir apparaitre des acteurs indépendants comme Cliqset ou JS-Kit (cf. Cliqset Could Be The Web’s First Read-Write Identity Provider) qui pourraient bien s’affirmer comme les garants de la neutralité, ou pas !

Il est pour le moment très difficile de parier sur cette interopérabilité que les grands acteurs nous promettent, toujours est-il que la course à l’ouverture est maintenant lancée et qu’ils pourront difficilement revenir en arrière. Moralité : l’interopérabilité est inévitable, il faudra juste être patient.

L’authentification au centre de nombreuses attentions

Ces derniers mois l’actualité autour des technologies d’authentification est chaude, bouillante même ! Pour faire simple, l’authentification est « la procédure qui consiste à vérifier l’identité d’une entité  (personne, ordinateur…), afin d’autoriser l’accès de cette entité à des ressources (systèmes, réseaux, applications…)« . Jusqu’à très récemment sur le web, le seul moyen d’accéder à un service était de se créer un compte en choisissant un identifiant et un mot de passe. Au siècle dernier cela ne posait pas de problème dans la mesure où un utilisateur lambda n’exploitait que très peu de services en ligne (Yahoo!, Amazon, Ebay…). Donc le nombre de login / mot de passe à retenir était limité.

Mais avec l’avènement des médias sociaux tout se complique car il n’est pas rare de devoir jongler entre des dizaines de services en ligne et donc autant d’identifiants et mots de passe. C’est là où sont apparus des systèmes d’authentification décentralisés comme OpenID. Très prometteuse, cette technologie a rapidement été adoptée par les plus grands acteurs (cf. Google, IBM, Microsoft, Yahoo et VeriSign adoptent OpenID) sans toutefois remporter l’adhésion du grand public.

Une technologie trop complexe pour le grand public

Le problème vient très certainement d’un manque de volontarisme de la part de ces acteurs qui hésitaient à se lancer dans de grandes campagnes d’évangélisation. Sans vouloir jouer les devins je pense que cette frilosité est du à une mécompréhension entre les notions d’identité et de profil. Communiquer sur un mécanisme de délégation d’authentification aurait fait fuir les partenaires potentiels (qui implémenteraient cette technologie) et inquiété les investisseurs.

Bref, tout ça pour dire qu’OpenID n’a pas trouvé sa cible, d’autant plus qu’il existe d’autres solutions qui présentent chacune des avantages / inconvénients. Ce contexte concurrentiel n’a fait que ralentir l’adoption de ces technologies, et ce malgré des travaux d’interopérabilité (cf. Vers un standard d’identité numérique ?).

Plus de simplicité et des usages concrets par faciliter l’adoption

Cela n’a pas découragé les promoteurs d’OpenID qui ont fait progresser leur standard et surtout l’ergonomie du dispositif : La création de compte simplifiée avec OpenID.

Mais celui qui a réellement fait découvrir la délégation d’authentification au grand public c’est… Barack Obama (encore lui ?) ou plutôt Facebook qui a eu la très bonne idée d’associer sa technologie « maison » Facebook Connect à une opération de buzz autour de la cérémonie d’investiture du nouveau président US. Et là subitement, l’intérêt de ces technologies sautent aux yeux (cf. CNN + facebook, premier exemple concret de télévision communautaire et Le partenariat CNN Live et Facebook peut-il faire trembler Twitter ?). La promesse est en effet très belle : pouvoir tester et s’inscrire sur une infinité de sites sans avoir à choisir de nouveaux identifiants en se servant de votre compte Facebook :

Oui mais voilà, cette promesse à une contre-partie : il faut accepter de partager certaines informations concernant votre profil. Cette première application à grande échelle a ainsi réveillée les vieilles craintes liées au respect de la confidentialité et aux dérives potentielles. Quoi que… il faut quand même se méfier (cf. Facebook Connect + Facebook Ads = A Social Ad Network).

Il n’a pas fallu attendre très longtemps pour que Google dévoile à son tour sa propre solution qui repose non pas sur une technologie propriétaire mais sur deux standards (OpenID et OAuth) : Google lance son offre concurrente à Facebook Connect.

Puis nous avons entendu des rumeurs au sujet de Twitter qui lui aussi serait en train de tester son propre mécanisme : Twitter OAuth Spotted in the Wild.

twitterinudasocialplume

Le cas de Twitter est particulièrement intéressant car il existe de nombreux services qui reposent sur les APIs de Twitter et qui se servent déjà des comptes des utilisateurs comme identifiants. En implémentant un mécanisme plus robuste comme OAuth, Twitter donne alors la possibilité à ses utilisateurs de gérer de façon plus fine les droits d’accès.

Et finalement cette semaine c’est au tour de Yahoo! d’annoncer sa propre solution : Yahoo! Updates (cf. Yahoo! tente de concurrencer Facebook avec Yahoo! Updates).

Le système d'authentification de Yahoo!
Le système d'authentification de Yahoo!

Vous noterez au passage qu’il ne s’agit pas QUE d’authentification mais également d’agréger les actions réalisés sur les sites partenaires sur votre profil Yahoo!. Vous pouvez voir fonctionner ce système ici : Yahoo! Updates API Demo. D’un point de vue technique, les équipes de Yahoo! ont eu la très bonne idée de monter un partenariat avec JS-Kit, une société qui fournit une brique technologique très intéressante puisqu’elle permet (d’après ce que j’ai compris) de véhiculer des données « sociales » (updates…) entre différent services à l’aide de ces technologies de délégation d’authentification (plus d’infos ici : Yahoo! Launches Major Challenge to Facebook Connect).

Très bien… mais tout ceci ne résout pas le problème de fond du choix de la technologie : les différentes solutions existantes (plus ou moins concurrents) brouillent le débat et divisent la communauté informatique. Et pendant se temps là, l’utilisateur est toujours perdu dans ce débat d’expert (et dans ses mots de passe).

Bon… ceci étant dit et au vue des derniers travaux réalisés il semblerait que l’on commence à se diriger vers des solutions plus « grand public« , c’est à dire proposant un mode d’interaction plus simple pour l’nternaute lambda. Illustration avec le module de commentaires universels de JS-Kit : Comments Service.

Le système de multi-déléguation de JS-Kit
Le système de multi-déléguation de JS-Kit

Comme vous pouvez le constater sur cette capture, il est possible de déposer un commentaire en utilisant l’un des systèmes d’autentification proposé (OpenId, Yahoo! Updates, Facebook Connect…). Disons que c’est un premier pas très encourageant.

Google lance son offre concurrente à Facebook Connect

Créer un compte est une opération douloureuse pour tous les internautes de la planète. Une étape largement supportable quand il est question de se créer sa première adresse email, cette procédure devient un véritable cauchemar avec la multiplication des services et plateformes sociales. Pour un utilisateur lambda des médias sociaux (blog, microblog, partage photos / vidéos, réseaux sociaux…) ce sont des dizaines d’identifiants et mots de passe qu’il faut mémoriser. Sauf si vous êtes bien organisé et saisissez toujours les mêmes infos et choisissez toujours la même adresse email pour vous créer un compte, cette dernière est alors très rapidement submergée de spams sociaux.

La solution a ces embrouilles existe depuis longtemps : la délégation d’authentification. L’idée est alors de se créer un identifiant unique qui repose sur OpenID (un système d’authentification décentralisée) et qui va gérer pour vous l’identification aux différents services sur lesquels vous vous êtes inscrits. Ça c’est la théorie, la réalité est tout autre : il existe une multitude de services de gestion de l’authentification (ClaimID, MyOpenID…) qui ne sont pas supportés partout. Nous avons vu récément des avancées significatives dans l’adoption d’OpenID (notamment par Orange ou Yahoo!) ainsi qu’une interface plus ergonomique (cf. La création de compte simplifiée avec OpenID) mais ce système reste tout de même très obscur pour l’internaute de base (soit 99% de la population connectée). Rajoutez à cela des technologies concurrentes comme OAuth ou MicroID et vous avez un concept très prometteur mais qui fait peur.

Et c’est là où Facebook rentre en scène en proposant son propre système baptisé Facebook Connect. Le mode de fonctionnement est ultra-simple : soit vous créez un compte, soit vous cliquez sur le bouton « Facebook Connect » et deux clics plus tard c’est réglé. Là où cette solution peut paraître comme révolutionnaire c’est qu’elle donne également accès à votre profil (informations, liste d’amis…). Donc en clair : clic-clic-clic et basta. Cette solution s’est illustrée très récemment avec le partenariat entre CNN Live et Facebook.

facebook_connect

Face à une telle révolution (quel confort pour l’utilisateur), la réponse de Google ne s’est pas fait attendre. Et fidèle à sa réputation, Google nous propose une solution à la pointe du raffinement technologique avec un protocole hybride qui repose à la fois sur OpenID et sur OAuth (respectivement pour l’authentification côté utilisateur ou pour l’authentification sécurisée côté API) : Google Combines OpenID and OAuth in new Hybrid Protocol.

Le principe de fonctionnement est ainsi le même : soit vous créez un compte, soit vous utilisez votre identité Google. Illustration avec cette démo :

google_hybrid_protocol

Pour faire un peu de buzz, Google est en train de tester ce nouveau système chez Plaxo (cf. Introducing Two-Click Signup, an initiative to improve the user experience of OpenID; first test now live with Google) mais ça ne fonctionne pas pour tout le monde :

google_accounts

Pour avoir testé le mécanisme, je peux vous assurez que ces systèmes de délégation de l’authentification sont une authentique révolution (ça fonctionne très bien). D’ailleurs les observateurs avertis sont très optimistes à ce sujet et estiment que les deux systèmes (Facebook Connect et Google Account) peuvent tout à fait cohabiter : Google and Plaxo Combine OpenID and OAuth for Improved Usability.

Précision importante : authentification et profil sont deux choses distinctes : déléguer l’authentification à un opérateur tiers revient à esquiver la corvée de stocker et gérer des identifiants / mots de passe (avec tout ce que cela implique au niveau de la perte ou des changements). Pour résumé disons que tout le monde y gagne : inscription plus simple pour les utilisateurs, moins de complications pour les éditeurs de services compatibles (tout en conservant la gestion du profil), plus de fidélisation pour les fournisseurs du système (Facebook et Google).

Je vous invite donc vivement à tester ce système et surtout à mettre à jour vos profils Facebook et Google.

Vers de la micro-authentification avec MicroID

Vous connaissiez l’authentification avec identifiant et mot de passe, mais connaissez-vous la micro-authentification ? Pour faire simple il s’agit non pas d’authentifier un utilisateur de façon formelle (en lui demandant ses codes d’accès) mais plutôt de faire de l’authentification « silencieuse ».

Explication : lorsque vous rédigez un commentaire vous pouvez saisir un nom, un email et une URL, mais qui me dit que c’est bien vous ? Pour être plus précis, rien ne vous empêche d’utiliser le nom et l’email de quelqu’un d’autre.

Et c’est là où MicroID entre en scène : ce protocole d’authentification permet de certifier l’identité d’un internaute lorsqu’il dépose un commentaire sur un blog ou fait des modifications dans un wiki. Inutile de vous emballer, ce mécanisme de certification n’est pas inviolable (loin de là) mais il apporte une solution simple et élégante.

Vous noterez donc la subtile différence entre OpenID et MicroID : le premier sert à authentifier un utilisateur sur une service, le second sert à authentifier l’auteur d’un micro-contenu.

Tout repose sur un code (la fameuse MicroID) qui est généré à partir de la concaténation de votre email et d’une URL. Cette URL peut être celle de votre blog ou celle de votre service de gestion d’identité numérique comme ClaimID. Ce code va ensuite servir de clé d’authentification.

Donc pour faire simple :

  1. Vous allez sur le site MicroID.org pour vous créer votre propre MicroID ;
  2. Vous publiez cette MicroID sur la page d’accueil de votre blog (ou sur votre page de profil) ;
  3. Lorsque vous publiez un commentaire (ou du contenu sur un service compatible), le mécanisme compare la concaténation de vos email/URL à celle publiée sur votre blog ;
  4. Si c’est la même MicroID, alors votre identité est certifiée, vous êtes bien celui que vous prétendez être.

Voilà, MicroID est aux mécanismes de certification ce que les microformats sont au web sémantique : une solution très simple à implémenter qui propose un premier niveau de service tout à fait acceptable.

Bien évidement vous ne vous servirez jamais de MicroID pour payer vos impôts en ligne ou gérer vos comptes bancaires, mais par contre c’est une solution extrêmement bien adaptée aux médias sociaux : un moyen simple de contrôler la prolifération de micro-contenus (commentaires, modifications…) sans pénaliser les utilisateurs (ils n’ont rien à faire si ce n’est paramétrer leur MicroID).

Pour en savoir plus sur ce protocole, je vous recommande la page de Wikipedia ou leur blog. Pour l’instant une petite dizaine de services compatibles (Last.fm, Wikitravel, Digg…) mais la liste devrait s’allonger.

Il existe un plugin WordPress pour  implémenter MicroID dans les commentaires mais il n’est malheureusement pas compatible avec la dernière évolution majeure (la V 2.5), enfin je crois. Quelqu’un peut-il me renseigner là-dessus ?

MaJ (17/07/2008) : Après lecture des différents commentaires je me rend compte que quelque chose m’échappe dans le processus d’authentification utilisé. Je pense qu’il n’est pas si simple de détourner une MicroID mais leur site web manque effectivement d’explications sur la viabilité du processus. A suivre…

Un référentiel de la gestion de la réputation chez Yahoo!

Pour toutes celles et ceux qui s’intéressent à la gestion de l’identité numérique et à la gestion de la réputation en ligne, je vous recommande vivement de prendre connaissance de ce référentiel publié par Yahoo! : Reputation Management Patterns. Ce référentiel dresse une liste des différents outils pour mesurer et représenter le statut social d’un individu au sein d’une communauté.

ReputationManagement

Vous trouverez dans ce référentiel tout le savoir-faire de Yahoo! sur les modèles d’évaluation et de structuration de l’activité sociale d’un membre au sein d’une communauté. Ils identifient ainsi une dizaine de schémas (patterns) qui sont plus ou moins adaptés à différentes situations : les niveaux nominatifs ou numériques, les trophées et récompenses à collecter, les systèmes de points, les classements…

Ils ont également travaillé sur une échelle d’implication sociale (Competitive Spectrum) qui  diffère en fonction du niveau de compétitivité de la communauté :

CompetitiveSpectrum

Pourquoi ce référentiel ? Tout simplement parce les systèmes de gestion de la réputation sont une composante essentielle de la dynamique communautaire. Quand vous y réfléchissez bien, la réputation est la résultante des actions et des interactions d’un membre au sein d’une communauté. Pour améliorer sa réputation, un individu doit donc prouver à la communauté qu’il est utile et qu’il s’implique dans cette dernière. D’où l’intérêt de ces outils qui servent à mesurer à la fois l’implication et le statut social (ou un peu des deux).

Pour en savoir plus sur ce référentiel, je vous recommande cette interview : Social Design Patterns for Reputatino Systems: An Interview with Yahoo’s Bryce Glass (et la suite). On y apprend ainsi que certains outils sont plus adaptés que d’autres en fonction de la nature de la communauté : Les trophées et autres récompenses (Collectible Achievements) fonctionnent ainsi très bien dans les communautés de joueurs alors que les niveaux nominatifs (Named Levels) fonctionnent mieux sur les communautés de savoir comme Wikipedia (avec les contributeurs, modérateurs…).

Ce travail est proposé dans le cadre de la Yahoo! Design Pattern Library et je suis admiratif du travail de simplification et de pédagogie réalisé par les équipes de Yahoo! Les explications y sont claires et précises et les illustrations sont parfaitement choisies. Rien à redire, je m’incline !

Google, IBM, Microsoft, Yahoo et VeriSign adoptent OpenID

Je réagis un peu tardivement à une nouvelle qui n’a bizarrement pas fait beaucoup de bruit dans la blogosphère française : Des représentant de Google, IBM, Microsoft, Yahoo et VeriSign viennent de rejoindre la board de la Fondation OpenID (Evolving the OpenID Foundation Board).

Cette nouvelle marque un tournant décisif dans… dans quoi déjà ? Je pense que le moment est bien choisi pour quelques lignes d’explications (adaptées de la définition officielle et de celle de Wikipedia) :

  • OpenID est un système d’authentification décentralisé qui permet l’authentification unique ;
  • Authentification unique = 1 seul identifiant que l’on peut utiliser auprès de plusieurs sites et services en ligne (qui sont « compatibles » OpenID) ;
  • Cet identifiant unique est obtenu auprès de fournisseurs d’identité (OpenID providers) ;
  • Lorsque vous vous inscrivez à un service compatible, vous esquivez le long formulaire d’inscription en saisissant votre identifiant OpenID (le service demande alors à votre fournisseur d’identité de vous authentifier, ce dernier vous répercute la demande) ;
  • OpenID ne gère QUE l’authentification, pas l’identité (donc vous devrez quand même renseigner votre profil).

Si vous souhaitez en savoir plus, je vous recommande ce blog : Spread OpenID, ainsi que cet article qui commente l’annonce de Yahoo! qui est devenu fournisseur d’identité : Yahoo! to Provide OpenID – Will It Take the Next Step?.

Jusqu’à présent les problématiques d’authentification n’avaient pas passionnées grand monde car jusqu’à présent les utilisateurs compensaient en faisant un effort de mémorisation des login / mots de passe, mais combien de temps cela allait-il durer ? Hé bien maintenant la question ne se pose plus dans la mesure où potentiellement les poids lourds du web (Google, Yahoo, Microsoft) vont devenir des fournisseurs d’identité.

Concrètement vous pourrez bientôt vous inscrire à un service lambda en vous servant de votre identifiant Yahoo!, Google ou Microsoft. « Pourrez » car ce n’est pas encore effectif, seul Yahoo! propose ce service : openid.yahoo.com.

Très intéressant, surtout lorsque l’on sait que ces trois poids lourds comptent leurs utilisateurs par centaines de millions. Ceci devrait donc grandement faciliter l’adoption de nouveaux services par les internautes qui seraient ainsi exempts de « corvée de mot de passe« .

Mais avec un peu de recul, on se rend également compte que ceci permettrait également d’évaluer l’appétence des internautes vis à vis d’un nouveau service en surveillant les demandes d’authentification. Et oui ! Puisque c’est Yahoo! / Google / Microsoft qui gèreront vos inscriptions aux différents services, il sera alors beaucoup plus simple pour eux d’identifier le ou les services qui fidéliseront le mieux leurs utilisateurs. Ils ne leur resteront plus qu’à faire leur marché en négociant les prix à la baisse (« c’est grâce à moi que vous avez pu recruter une partie de vos utilisateurs« ).

Redoutable ? Oui tout à fait !

Mais rassurez-vous, il n’y a pas que du mauvais dans cette annonce puisque deux autres acteurs de choix ont rejoint l’aventure :

  • VeriSign, leader du marché de la sécurité par authentification forte (des mécanismes plus sophistiqués qu’OpenID) mais qui était déjà utilisateur via son Personal Identity Provider ;
  • IBM, très gros acteur de l’entreprise 2.0 et des formats ouverts.

Difficile pour le moment d’évaluer l’impact de cette nouvelle sur le rythme d’adoption d’OpenID par le grand public. Toujours est-il que je vous engage à créer dès maintenant votre identifiant unique en utilisant par exemple MyOpenID, un acteur indépendant qui propose des services sympas comme la création d’une page publique (ex. http://fredcavazza.myopenid.com/) ou le support de MicroID.