Metis’ Weblog

(ZDNet.fr) Les premiers projets de gestion d’identité en ligne ont été engagés au début de la décennie par le consortium Liberty Alliance, et Microsoft avec Passport auquel il a dû renoncer. Aujourd’hui, plusieurs visions se distinguent en la matière : « Tout d’abord, celle de la gestion de l’identité en ligne par un tiers, avec le projet OpenID. Ensuite, CardSpace, qui permet à l’internaute de gérer sa carte de visite sur son PC. Et enfin des projets comme FC², qui permettent de “transporter” son identité sur un objet, comme une clé USB », résume Gwendal Le Grand, chef de l’expertise informatique à la Cnil.Première tendance donc : la gestion de l’identité en ligne. Plusieurs start-up proposent déjà leurs solutions, souvent basées sur la technologie OpenID. « La question-clé étant que ces fournisseurs d’identité vont devenir dépositaires de données personnelles et d’archives de données de connexion. En garantiront-ils la sécurité, notamment si leurs sites sont attaqués ? », s’interroge une source proche du Secrétariat général de la défense nationale (SGDN), qui dépend du service du Premier ministre.Parmi ces acteurs, on peut citer celui de la société française MyID.is (ex-Todeka Project), qui s’apprête à lancer son service « d’ici à la fin mars », précise son concepteur, Charles Noüyrit. Le principe consiste à doter l’internaute, pour 5 euros, d’un certificat pour labelliser son identité en ligne. Parallèlement, il pourra concentrer toutes les informations sur son identité numérique sur une seule page sécurisée. Dans un premier temps, pour toucher les blogueurs, le service sera compatible avec « des sites du web 2.0 communautaire », précise Charles Nouÿrit, qui espère ensuite nouer des partenariats avec « des sites d’e-commerce pour toucher le grand public ».Une carte d’authentificationD’autres systèmes de « cartes d’identités » en ligne ont été lancés outre-Atlantique, parmi lesquels ClaimID : un service gratuit qui permet d’associer à son identité des liens renvoyant vers ses principales traces numériques. Trufina, pour sa part, fournit une carte d’identité numérique « vérifiée », puisqu’elle contrôle les données de ses membres (adresse, numéro de permis de conduire…) en les corrélant avec les fichiers publics disponibles, comme les annuaires.Deuxième technologie de certification, CardSpace, lancée par Microsoft. Elle succède à Passport, service d’authentification en ligne qui proposait à l’internaute de s’enregistrer une seule fois sur les serveurs de Microsoft, avant de pouvoir surfer sur une ribambelle de sites. CardSpace est un gestionnaire d’identités digitales, de « cartes ». Intégré à la plateforme.NET framework 3.0 (créé avec Windows Vista), il permet à l’utilisateur, à partir d’un formulaire, de se créer une carte et d’y entrer des informations cryptées, telles que son numéro de carte bancaire ou son adresse postale. Avantage : « Il peut configurer sa propre carte pour aller sur des sites où il faut s’authentifier pour entrer, mais sans forcément laisser ses données personnelles », précise Nicolas Mirail, chef de produit Windows.L’identité sur une carte à puceL’objectif de Microsoft est de nouer un maximum de partenariats avec des sites d’e-commerce pour qu’ils implémentent sa solution. Ce qu’a fait en juillet dernier CDiscount, où l’internaute peut créer sa CDiscount CardSpace lors du paiement. Au bout de la période-test des trois premiers mois, 13 000 clients avaient ainsi créé leur CardSpace.Troisième voie de certification : proposer à l’internaute de concentrer les données de son identité sur un objet transportable. Le projet de recherche FC² (Fédération de cercles de Confiance et usages sécurisés de l’identité) va dans ce sens. Étalé sur 30 mois et doté d’un budget global de 18 millions d’euros, il est destiné à définir une architecture globale de fédérations d’identités. Il se basera sur quatres types d’architecture, OpenID, CardSpace, Liberty Alliance, et Higgins. Porté par les pôles de compétitivité System@tic et TES (Transactions électroniques sécurisées), il rassemble notamment des banques, des industriels de cartes à puce, comme EADS, Sagem, et Gemalto, ou encore Orange Labs. « Nous voulons donner à l’utilisateur la possibilité de concentrer ses données d’identité numérique sur une carte à puce ou une clé USB », explique Jean-Pierre Tual, directeur des relations industrielles de Gemalto. Pour quels usages ? Ses concepteurs sont en discussion avec « des opérateurs de télécoms, des voyagistes et des banques ».