Les règles de l'identité Kim Cameron Architecte d'identité Microsoft Corporation

Énoncé du problème Internet a été créé sans moyen de savoir à qui et à quoi on se connecte Toute personne proposant un service Internet s'est vue contrainte d'improviser des solutions Accumulation d'identités ponctuelles Les utilisateurs ont été habitués à subir des attaques par « phishing » ou par « pharming » L'utilisateur n'est pas en cause : il n'a aucun cadre, aucun indice, aucun contrôle Il manque une « couche d'identité » L'identité numérique existe actuellement dans un monde sans synergie en raison de véritables îlots d'identités

Criminalisation d'Internet La fréquence et la valeur croissantes des échanges par Internet attirent les criminels professionnels du monde entier Comprendre la nature spécifique de l'accumulation d'identités Phishing et pharming (détournement de domaines) ont atteint un taux composé d'accroissement du marché de 1000 % par an Des « attaques en volumes » sous le prétexte de « pertes d'identité »… Recul de l'acceptation d'Internet alors qu'il devrait se développer L'opportunité d'aller à la rencontre du public Une intervention est indispensable pour faire évoluer les services Web La nature spécifique de lidentité sur Internet ne résiste plus aux agressions croissantes de pirates professionnels Une intensification de la crise publique est prévisible

D'une accumulation à une structure d'identités Évolution difficile vers une structure d'identités Réussites partielles dans certains domaines : SSL, Kerberos Entente imparfaite sur ce qu'est une couche d'identité et comment l'exploiter Identité numérique liée au contexte De nombreux contextes, tous jalousement gardés Entreprises, gouvernements et marchés verticaux préfèrent des identités au cas par cas plutôt qu'une perte de contrôle Les individus ont un rôle central et un droit de veto Commodité, sang-froid, confidentialité, sécurité Défenseurs de la confidentialité nuancés et convaincants dans un monde de lamentable « perte d'identité » Aucune solution simpliste n'est réaliste Les problèmes interculturels et internationaux ne font que rendre la situation plus complexe

Un métasystème d'identités La variété des besoins implique l'intégration de plusieurs technologies Ce cas de figure n'est pas nouveau en informatique Rappelez-vous labstraction des services d'affichage rendue possible par les pilotes de périphériques Ou l'émergence des sockets et de TCP/IP Ethernet unifié, Token Ring, relais de trame, X.25, sans oublier les protocoles du sans fil Un « métasystème d'identités unificateur » Protéger les applications de la complexité des systèmes Permettre une identité numérique faiblement couplée Éviter d'avoir à s'accorder a priori sur les technologies dominantes : elles émergeront du marché

Le rôle des « règles »… Nous devons être en mesure de structurer notre approche de l'identité numérique Nous ne devons plus nous retrouver devant la page blanche dès que le sujet de l'identité numérique est abordé Nous devons informer les utilisateurs en élucidant les facteurs et la dynamique qui sont à l'origine des réussites et des échecs des systèmes d'identité depuis les années 1970 Nous devons développer des hypothèses (issues de nos observations) pouvant être testées et réfutées Nos objectifs doivent être pragmatiques : définir les limites et les caractéristiques d'un métasystème d'identités unificateur Les règles sont un moyen efficace d'exprimer cette idée Au-delà de la simple conversation, la blogosphère nous offre un creuset : l'idée est d'employer ce creuset pour durcir et renforcer les règles

Des mots pour encourager le dialogue Identité numérique : ensemble de revendications émises par un sujet numérique, le concernant lui ou un autre sujet numérique Sujet numérique : personne ou chose représentée dans le domaine numérique, qui est décrite ou dont on traite Équipements, ordinateurs, ressources, stratégies, relations Assertion : affirmation dune vérité sur une chose faisant généralement l'objet d'une controverse ou d'un doute Un identifiant La connaissance d'un secret Des informations d'identification personnelle L'appartenance à un groupe (par ex., les moins de 16 ans) Une aptitude particulière Ces définitions concernent Kerberos, X.509, SAML et les technologies naissantes

1. Contrôle par lutilisateur et consentement Les systèmes d'identité numérique ne doivent révéler des informations identifiant un utilisateur que s'il y consent Attrait de l'aspect pratique et simple Durabilité dépendante de la confiance de l'utilisateur Nécessite un engagement global L'utilisateur contrôle les identités utilisées et les informations divulguées Protection contre la fraude (destination et utilisation abusive) Informer l'utilisateur des implications en matière d'audit Conserver le modèle du consentement quel que soit le contexte

2. Divulgation minimale limitant l'utilisation La solution qui dévoile un minimum d'informations d'identification et qui restreint au maximum leur utilisation est la plus stable sur le long terme Considérer les piratages d'informations comme inévitables Pour réduire le risque, ne pas stocker les informations divulguées lorsque ce nest pas nécessaire Moins d'informations implique moins de valeur, qui implique moins d'attrait, qui implique moins de risque Le « minimum d'informations d'identification » comprend : La réduction des informations permettant l'identification dans plusieurs contextes (identifiants universels) Le recours à la transformation des revendications en vue de réduire l'individualisation (par ex., indiquer une tranche d'âge plutôt qu'une date de naissance) Limiter le stockage d'informations dans le temps Relation entre cette règle et les catastrophes liées aux informations

3. Parties concernées Les systèmes d'identité numérique doivent limiter la divulgation d'informations d'identification aux parties strictement concernées dans une relation d'identité donnée L'utilisateur doit connaître la partie avec laquelle les informations sont partagées Les conditions de justification s'appliquent à la fois au sujet et à la partie de confiance Exemple de l'expérience de Microsoft avec Passport Dans quels contextes l'utilisation d'identités gouvernementales peut-elle réussir ou échouer ? Les « intermédiaires » sont confrontés aux mêmes problèmes Les parties impliquées dans la divulgation d'informations doivent fournir une déclaration quant à leur utilisation La poursuite judiciaire n'implique pas la participation de l'État à la divulgation des informations dans le sens normal

4. Identité dirigée Un métasystème d'identités universel doit accepter aussi bien les identifiants « omnidirectionnels », pour les entités publiques, et les identifiants « unidirectionnels » pour les entités privées Une identité numérique est toujours évaluée par rapport à d'autres identités ou ensembles d'identités Les entités publiques ont besoin de « signaux » reconnaissables Exemples : sites Web ou équipements publics Les entités privées (les individus) doivent pouvoir choisir de ne pas émettre de signal Identifiants unidirectionnels employés conjointement avec un signal unique : corrélation impossible Exemple de Bluetooth et RFID : refoulement croissant Le sans fil montre également des points faibles à la lumière de cette règle

5. Pluralisme des opérateurs et des technologies Un métasystème d'identités unificateur doit canaliser et permettre le fonctionnement de plusieurs technologies d'identification exécutées par plusieurs fournisseurs d'identités Les caractéristiques qui rendent un système adéquat dans un contexte donné le disqualifient dans un autre contexte Exemple du gouvernement par rapport à un employeur, ou encore à un individu en tant que consommateur ou être humain Besoin d'une « ségrégation » de contextes D'importantes technologies sont en train de naître : ne pas se cantonner à une seule ni être dépendant de mises à niveau à répétition Possibilité de convergence, mais seulement en présence d'une plate-forme capable de la supporter

6. Intégration du facteur humain Un métasystème d'identités unificateur doit définir l'utilisateur humain comme un composant intégré via des communications homme-machine non ambiguës et protégées Nous avons sécurisé les premiers km mais nous avons laissé passer les pirates sur les 50 derniers cm Le canal entre l'écran et le cerveau est en danger Plutôt que de penser à un protocole, nous devons penser à une « cérémonie » Exemple de la chaîne Channel 9 de United Airlines Comment atteindre les plus hauts niveaux de fiabilité dans les communications entre l'utilisateur et le reste du système

7. Présentation cohérente quel que soit le contexte Un métasystème d'identités unificateur doit proposer une pratique simple et cohérente tout en permettant la séparation des contextes via plusieurs opérateurs et plusieurs technologies Besoin de « chosifier » les identités sur les postes de travail, afin que les utilisateurs puissent les voir, les contrôler, en ajouter ou en supprimer Quel type d'identité numérique est acceptable dans tel ou tel contexte ? Propriétés des candidats possibles définies par la partie de confiance Identités « chosifiées » similaires présentées à l'utilisateur, qui peut en choisir une et comprendre les informations qu'elle recèle Une partie de confiance peut accepter plusieurs types d'identité L'utilisateur choisit la meilleure identité en fonction du contexte Exemple du portail 401(k) dans une grande entreprise Considérer ces identités comme la synergie de toutes les règles

Ont contribué à ce débat Arun Nanda, Andre Durand, Bill Barnes, Carl Ellison, Caspar Bowden, Craig Burton, Dan Blum, Dave Kearn, Dave Winer, Dick Hardt, Doc Searls, Drummond Reed, Ellen McDermott, Eric Norlin, Ester Dyson, Fen Labalme, Identity Woman Kaliya, JC Cannon. James Kobielus, James Governor… Jamie Lewis, John Shewchuk, Luke Razzell, Marc Canter, Mark Wahl, Martin Taylor, Mike Jones, Phil Becker, Radovan Janocek, Ravi Pandya, Robert Scoble, Scott C. Lemon, Simon Davies, Stefan Brandt, Stuart Kwan et William Heath Et bien d'autres…

Conclusion Ceux d'entre nous qui travaillent sur et avec des systèmes d'identité doivent respecter les règles de l'identité Les ignorer entraînerait des conséquences inattendues Comparer à un ingénieur des travaux publics qui ignorerait les lois de la gravité En suivant les règles de l'identité, nous construirons un métasystème d'identités durable et accepté par le plus grand nombre