OpenIDfrance, comment fait-on quand ça ne répond pas ?
Par Arnaud le dimanche 16 novembre 2008, 02 h 47 - Lien permanent
Il y a environ deux mois, j'ai été amené à ouvrir un OpenID, ceci afin de
souscrire à un service (que j'appellerai Machin) qui ne me laissait pas d'autre
choix.
Je ne connais pas le principe, mais pas le temps à ce moment-là de creuser la
question, je décide de me lancer.
J'hésite juste un peu sur le fournisseur...
Orange, Blogger (les blogs de Google), Yahoo, AOL ? Brrr, je suis d'entrée
refroidi par l'idée de confier une partie de mon identité numérique à un de ces
groupes dont le but premier est la recherche du profit (et je ne le leur
reproche pas, ce n'est pas le sujet), et certainement pas la protection des
libertés individuelles.
LiveJournal, Technocrati, Vidoop ? Encore pire, je ne sais pour ainsi dire
pas ce que c'est, et n'ai pas envie de le savoir.
Je cherche un peu, et je trouve OpenID
France (si vous cliquez sur ce lien tout de suite, il ne marche pas, et
c'est justement l'objet de mon propos).
Je regarde vite fait leurs motivations, je suis assez séduit, et je souscris
rapidement, mon but premier restant l'utilisation du service pour lequel je
souscrivais à cet OpenID.
La connexion à Machin se déroule sans problème, le service est
impeccable.
Il y a environ un mois, j'utilise mon OpenID sur un deuxième service, en
l'occurrence l'écriture d'un commentaire sur un blog Blogger.
Surprise, mon ID est raccourci lors de l'affichage définitif sur le blog.
Pas très grave, mais je demande (gentiment je crois) une explication à OpenID
France.
J'attends encore aujourd'hui la réponse...
Plus tard, je prends connaissance sur le blog
de Mr Xhark d'un billet
très élogieux au sujet d'OpenID et du service OpenID France.
Voilà qui me rassure un peu, cependant que je lis le billet jusqu'à la fin, et
clique sur le
lien conseillé au sujet des risques du système OpenID.
Et là, c'est la claque. Ou plutôt j'ouvre les yeux.
Je résume ce qui retient surtout mon attention :
- on perd son identité numérique si le serveur d'OpenID flanche (ça parait évident quand on le dit),
- le fait de confier à un service unique l'ensemble de son identité numérique
ne constitue pas une amélioration de la sécurité de nos données, mais bien une
régression.
Ce deuxième point s'entend très bien en fait, même pour un non-initié.
Imaginez un instant dans vos poches des dizaines de clés, non liées en
trousseau, qui vous permettent d'ouvrir des dizaines de serrures.
Il sera certainement difficile de perdre ces clés, en tout cas pas toutes à la
fois, tant elles vous pèsent dans les poches.
Si par extraordinaire vous perdez quelques clés et qu'une personne mal
intentionnée s'en empare, cette personne aura donc accès à certaines des pièces
que vos clés protègent. Vous y perdrez peut-être, mais cette perte sera limitée
par le nombre de pièces pouvant être ouverte.
Imaginez au contraire que vous ne possédez qu'une seule clé, très sécurisée
certes, mais sur laquelle votre nom est écrit, et qui vous permet d'ouvrir
toutes vos portes.
Imaginez à nouveau qu'une personne mal intentionnée s'en empare.
Elle peut alors ouvrir l'ensemble de vos serrures, et même vous en interdire
l'accès en les changeant toutes, ce qui sera d'autant facilité qu'elles sont
toutes du même modèle !
Revenons au domaine informatique, si l'on envisage comme certains une
généralisation de ce système, le vol d'un mot de passe d'identifiant OpenID
permet potentiellement d'accéder à toutes vos contributions sur le web, à vos
comptes bancaires, à vos comptes de téléphonie et de connexion internet, à vos
emails, à vos comptes sur des sites marchands, etc.
Imaginez un instant le désastre...
Sitôt cette lecture faite, je laisse un peu de côté mes appréhensions, en me
disant que de toute façon je n'ai ouvert mon OpenID que pour Machin, dont
l'importance n'est pas vitale, et que l'on ne m'y reprendra plus.
Ce n'est qu'aujourd'hui que je me connecte à nouveau sur mon OpenID,
toujours via Machin, et voilà ce que j'obtiens :
"Échec de la connection SQL Message d'erreur renvoyé 2002 : Echec connection serveur"
La prophétie se réalise, aucune page du site ne s'affiche, pas plus celles
sécurisées que les pages de présentation de l'association...
En cherchant un peu, je trouve le "site de l’Association officielle" (il existe
une association OpenID occulte ?), je m'aperçois qu'elle a un blog, et que son seul et unique billet date du 5
février 2008. Voilà qui est rassurant.
Comment dois-je faire maintenant pour accéder à mon service ? Attendre
sûrement que ça marche à nouveau, mais après ?
Quel crédit accorder à un service sensé protéger mon identité numérique et qui
plante ?
Je n'ai pas ce soir beaucoup de réponses malheureusement...
Commentaires
Comme je l'ai déjà dit sur mon billet, il suffit que l'on me vole le mot de passe de mon adresse email et je suis tout autant dans l'embarras sinon plus car il y a une fonction de recherche...
Je n'ai encore jamais rencontré de souci avec OpenID France personnellement. Mais si tu veux un service réellement sécurisé alors va chez Verisign (lien dans mon billet).
Et si tu n'es toujours pas satisfait, alors tu peux installer un serveur personnel openID, bien sécurisé par tes propres soins
>Et si tu n'es toujours pas satisfait, alors tu peux installer un serveur personnel openID, bien sécurisé par tes propres soins