Je suis depuis longtemps un enthousiaste des principes de la fédération d’identité qui, je le rappelle, proposent deux fonctions :
- Une fonction « sécurité » : la fédération permet à des applications de déléguer leur authentification à un serveur d’identité en bénéficier d’un Single Sign On.
- Une fonction « mise à disposition de données d’identité » : la fédération permet de publier une fiche d’identité (nom, prénom, coordonnées, âge, etc.) et de gérer l’accès à cette fiche par des applications désireuses de connaitre ces informations (exemple : site de commerce électronique)
Dans mon enthousiasme, j’avais prévu la montée en puissance d’OpenID en 2007 (cf. ce billet).
L’adoption du protocole n’a pas été aussi rapide que je l’aurais espéré, mais il semble que les choses devraient bouger prochainement : en effet, Google, IBM, Microsoft, VeriSign, et Yahoo! ont rejoint la semaine dernière la fondation OpenID.
De nombreux services d’identité OpenID sont aujourd’hui disponibles sur le Web. Parmi les plus intéressants, je citerais :
- Personal Identity Provider de Verisign : ce service issu d’un acteur majeur du monde de la sécurité permet une authentification renforcé via CardSpace (cf. ce billet) ou via un porte clef (voir ci-dessous) générant des mots de passe à usage unique.
- Orange OpenID : ce service est pertinent pour les abonnés d’Orange, qui préféreront confier leur identité à leur opérateur plutôt qu’à un acteur américain comme Microsoft ou Yahoo.
Le support d’OpenID par Google, IBM, Microsoft, VeriSign, et Yahoo! est une bonne nouvelle. Mais il reste à savoir comment ces acteurs vont supporter le protocole. En effet, ils peuvent utiliser OpenID pour proposer :
- Un service d’identité utilisable par des services tiers
- des applications compatibles OpenID
Personnellement, je préfèrerai, pour des raisons de sécurité, gérer mon authentification et mon identité chez Verisign ou Orange, et utiliser les services Google/Microsoft/Yahoo sur la base de cette identité. Mais je ne suis pas du tout certain que ces acteurs accepteront de voir fuir de leurs serveurs les précieuses données d’identité de leurs utilisateurs.
Je crains qu’OpenID soit pour eux un moyen de renforcer leur connaissance de leurs clients, plutôt qu’une ouverture vers plus de choix pour ces derniers.
Qu’en pensez-vous ?