Carnet de notes

Catégorie : Identité numérique

  • [Lecture] The Real Name Fallacy

    Not only would remo­ving anony­mity fail to consis­tently improve online commu­nity beha­vior – forcing real names in online commu­ni­ties could also increase discri­mi­na­tion and worsen harass­ment.

    The Coral Project (Mozilla)

  • Cita­tion et opacité

    Version courte : Je vous remer­cie de ne pas mettre mon nom complet si je me présente avec un pseu­do­nyme ou un nom de famille tronqué dans le docu­ment cité, si je ne suis pas un inter­ve­nant offi­ciel à un événe­ment, ou sur des photo­gra­phies sans mon accord. En cas de doute la bonne pratique est de tronquer mon nom de famille à l’ini­tiale.

    Gardez le pseu­do­nyme ou le nom que j’uti­lise sur la ressource que vous réfé­ren­cez, ou à défaut ne gardez que mon prénom accom­pa­gnée si néces­saire de l’ini­tiale du nom. J’y tiens même si j’y four­nis moi-même un lien vers une page avec mon nom complet. Vos lecteurs pour­ront eux-même suivre les liens néces­saires s’ils cherchent à en savoir plus sur mon état civil.

    Vous pouvez toute­fois faire un lien vers la page de l’écrit que vous citez, vers la page adéquate de l’or­ga­ni­sa­tion ou de l’évé­ne­ment auquel vous faites réfé­rence, ou à défaut, si vrai­ment rien d’autre n’est perti­nent, vers la page de mon profil en ligne. Un tel lien est même encou­ragé afin de donner le contexte néces­saire.

    Je vous remer­cie de prendre contact avec moi si vous pensez que votre contexte néces­site abso­lu­ment de publier un état civil complet. (suite…)

  • Données person­nelles de twit­ter

    En marge de ma volonté d’effa­cer mes tweets après 48h, j’en ai profité pour faire une demande formelle que me permet la loi : obte­nir l’in­té­gra­lité des infor­ma­tions person­nelles qu’ils connaissent sur moi.

    Pour ceux qui veulent s’y essayer aussi il y a une procé­dure assez claire. Il suffit globa­le­ment de reco­pier les cour­riers pré-rédi­gés et suivre les étapes. Bon, j’ai dit claire mais pas simple. On voit bien la volonté de ne pas propo­ser quelque chose de simple : mail, fax (??), copie de carte d’iden­tité (pourquoi ? ils ne la connaissent pas de toutes façons), recon­fir­ma­tion par mail.

    Toujours est-il que j’ai passé les étapes, voilà ce que j’ai reçu après 9 jours accom­pa­gné d’un zip de 2,6 Mo :

    We're responding to your request for information about your Twitter
account @edasfr.  We've attached the following files:

- USERNAME-user.txt:  Basic information about your Twitter account.
- USERNAME-email-address-history.txt:  Any records of changes of the
email address on file for your Twitter account.
- USERNAME-tweets.txt:  Tweets of your Twitter account.
- USERNAME-favorites.txt:  Favorites of your Twitter account.
- USERNAME-dms.txt:  Direct messages of your Twitter account.
- USERNAME-contacts.txt:  Any contacts imported by your Twitter account.
- USERNAME-following.txt:  Accounts followed by your Twitter account.
- USERNAME-followers.txt:  Accounts that follow your Twitter account.
- USERNAME-lists_created.txt:  Any lists created by your Twitter account.
- USERNAME-lists_subscribed.txt:  Any lists subscribed to by your
Twitter account.
- USERNAME-lists-member.txt:  Any public lists that include your
Twitter account.
- USERNAME-saved-searches.txt:  Any searches saved by your Twitter account.
- USERNAME-ip.txt:  Logins to your Twitter account and associated IP addresses.
- USERNAME-devices.txt:  Any records of a mobile device that you
registered to your Twitter account.
- USERNAME-facebook-connected.txt:  Any records of a Facebook account
connected to your Twitter account.
- USERNAME-screen-name-changes.txt:  Any records of changes to your
Twitter username.
- USERNAME-media: Images uploaded using Twitter's photo hosting
service (attached only if your account has such images).
- USERNAME-profileimg: Your avatar and background image, if uploaded.
- other-sources.txt:  Links and authenticated API calls that provide
information about your Twitter account in real time.

All our records are maintained in UTC, which is the same as GMT for
time zone purposes. Any files or fields that are blank, or any files
that have no content between the PGP header and signature block,
indicate that no responsive records were found.

No records were found of any disclosure to law enforcement of
information about your Twitter account.  It is our policy to notify
users of requests for their information prior to disclosure unless we
are prohibited from doing so by statute or court order.  For more
information, please see our Guidelines for Law Enforcement at
http://support.twitter.com/articles/41949-guidelines-for-law-enforcement#section9

We searched for the specific information identified in your request
and have also provided other information associated with your Twitter
account.  We have not provided all information that may be related to
you because of the difficulty of providing it, or because it may not
be specific to you or may reveal the nonpublic information of another
user or of Twitter.  If there is other information that you are
looking for, please let us know so that we can consider your request.
Our Privacy Policy at http://twitter.com/privacy describes the
information that Twitter may collect and use and the limited
circumstances in which your private personal information may be
shared.

Regards,

The Trust & Safety Team
Twitter, Inc., 1355 Market Street, Suite 900, San Francisco, California 94103

    Vous note­rez qu’ils s’au­to­risent à ne pas tout donner, parce que c’est diffi­cile (?). Je vais faire suite pour avoir l’in­té­gra­lité, la loi ne les auto­rise pas à sélec­tion­ner ce qu’ils retournent. Je suis entre autre très inté­ressé par les données de profi­ling qu’ils peuvent avoir (et sur lesquelles seront basées les pub) et sur les entre­prises parte­naires à qui ils diffusent leurs données.

  • Ce tweet s’auto-détruira en 48 heures

    J’ai commencé à effa­cer mes produc­tions twit­ter. C’est un vieux projet mais j’ai toujours résisté, par peur de regret­ter cette dépu­bli­ca­tion et de ne pas pouvoir reve­nir en arrière. Pour un obsédé des données, c’était un pas diffi­cile à fran­chir. Des événe­ments récents m’ont incité à sauter le pas et à consi­dé­rer mes tweets comme ce qu’ils sont : des échanges éphé­mères qui ne doivent pas survivre hors de leur contexte.

    Je sais qu’il existe diffé­rentes archives, que mes messages pour­ront proba­ble­ment être retrou­vés sur Google ou ailleurs. L’objec­tif n’est pas de les faire dispa­raître, j’as­sume tout ce que je dis. L’objec­tif est de ne pas les faire appa­raître, de garder une certaine opacité sur des échanges de comp­toir.

    Ce tweet s’auto-détruira en 48 heures

    Hier envi­ron 3000 tweets ont été effa­cés (et sauve­gar­dés en local avant). J’ai fait un petit script qui tour­nera désor­mais régu­liè­re­ment et qui effa­cera tout ce qui a plus de 48 heures. La durée de réten­tion elle-même sera certai­ne­ment adap­tée avec l’ex­pé­rience. Il est tout à fait probable que les réponses finissent avec une durée de vie plus courte que les messages publics, tout ceci est encore en réflexion et je suis preneur de vos retours. Je réflé­chis aussi à prévoir une marque discrète qui infor­me­rait mon script qu’il doit effa­cer le message plus tôt, par exemple après une heure, ou plus tard, par exemple après une dizaine de jours, pour gérer les cas parti­cu­liers.

    Le code source de mon petit script est publié, j’ai oublié de préci­ser la licence mais je me vois mal appliquer autre chose qu’une WTFPL à ce type de code. Si vous souhai­tez suivre mon chemin, ça ne demande pas plus d’une petite heure. David avait aussi publié un code simi­laire en python (qui lui garde les 50 derniers au lieu des dernières 48 heures).

    Dans la limite de l’ac­cès qu’au­to­rise Twit­ter

    J’ai effacé 3000 tweets parmi les plus récents mais il en reste plus du décuple. Je me retrouve avec une plate­forme qui ne me permet en fait pas d’ac­cé­der ou d’ef­fa­cer plus que les 3000 derniers messages sans suppri­mer mon compte. C’est là la première leçon : Je ne contrôle pas la plate­forme, et elle se permet de ne pas me lais­ser accé­der à mes propres données. Ce que j’avais pris comme une raison de rete­nir mon geste, ne pouvant reve­nir en arrière, aurait au contraire du renfor­cer ma moti­va­tion.

    Pour aller plus loin Twit­ter ne propose rien. Je peux effa­cer mes tweets si j’en connais les iden­ti­fiants mais les API propo­sées ne me retour­ne­ront jamais les tweets (et donc les iden­ti­fiants) plus vieux que les 3200 derniers. Tout laisse à penser que passé ce quota les messages sont archi­vés sur une autre plate­forme, qui n’a pas la même souplesse ou la même perfor­mance.

    Ce que Twit­ter connaît de nous, et comment le connaître à notre tour

    D’autres personnes ont toute­fois déjà fouillé ce problème, sans solu­tion tech­nique. Il y a par contre une procé­dure liée à une loi euro­péenne qui permet d’avoir accès à l’en­semble de ses propres données. C’est un peu l’équi­valent du droit d’ac­cès de notre loi « infor­ma­tique et liber­tés ». C’est rela­ti­ve­ment simple, quelques échanges de mail et un fax avec décla­ra­tion signée. Pour le même prix on a aussi une visi­bi­lité sur ce que le service a collecté sur nous en plus de nos tweets, et à qui il a partagé ces infor­ma­tions.

    J’ai lancé la procé­dure de mon côté, je vous ferai part du résul­tat. Je ne peux que vous inci­ter à faire de même. L’étude promet d’être plus qu’in­té­res­sante.

  • More Than 55,000 Twit­ter Account User­names & Pass­words Are Hacked And Leaked

    Quand on trouve un article annonçant 55 000 mots de passe de comptes révé­lés au grand jour, je ne me plains pas de la sécu­rité des mots de passe ou de celle du service. Dans la liste on trouve des mots de passe complexes, et rien ne permet d’af­fir­mer qu’il y a eu une négli­gence coupable de la part de twit­ter.

    More Than 55,000 Twit­ter Account User­names & Pass­words Are Hacked And Leaked

    C’est bien joli d’in­ci­ter les gens à utili­ser un mot de passe diffé­rent par service, à ne pas les sauve­gar­der, d’en utili­ser des complexes et en plus de les chan­ger souvent, mais c’est propre­ment irréa­liste

    La solu­tion on la trouve dans WebID, dans Brow­serID, ou même pourquoi pas dans OpenID, malgré tout les défauts liés à ce dernier. Et si on s’y mettait ?

    Ce n’est pas si complexe que ça. Il suffi­rait d’un mouve­ment de la part de la commu­nauté pour avoir des outils simples, ergo­no­miques et utili­sables. La base tech­nique est là.

  • Que faire avec les archives Twit­ter ?

    Je suis un para­noïaque de la perte de données. J’ar­chive et je garde tout sans jamais rien suppri­mer. Par contre je fais très atten­tion à diffé­ren­cier les archives publiques et celles que je garde en privé. En règle géné­rale ce qui s’adresse à un groupe défini ou qui relève de l’ins­tan­tané est privé, le reste est public.

    Twit­ter me pose quelques problèmes. Son statut est entre le persis­tant et l’ins­tan­tané, entre le public et le privé. J’y publie des humeurs, des textes courts rédi­gés sur l’ins­tant et des discus­sions parta­gées publique­ment mais avec des gens qui ont choisi de me lire, qui partagent un même contexte de lecture.

    Conver­sa­tions de comp­toir

    Hors l’ins­tant, pris indé­pen­dam­ment, et lus par un tiers qui ne partage pas le contexte de lecture, ces messages courts sont trop faci­le­ment mal inter­pré­tés, incom­pris, ou peuvent être retour­nés contre mon discours. La forme et le travail des textes ne colle pas non plus avec ce que je l’im­pose pour une publi­ca­tion perma­nente.

    C’est un peu comme une conver­sa­tion dans un café, sa publi­ca­tion dans le jour­nal n’au­rait pas de sens, sa retrans­mis­sion trois mois après non plus.

    Or c’est juste­ment cette indexa­tion décor­rélé de tout contexte de lecture que nous propose Twit­ter, la pire envi­sa­geable. Certains messages publiés gardent un sens dans ces archives, mais ils sont mino­ri­taires. Le ratio béné­fice/problèmes est large­ment en faveur de problèmes à venir.

    Des archives limi­tées

    La seule solu­tion que j’ai vu c’est trai­ter Twit­ter comme de la conver­sa­tion instan­ta­née, et rapa­trier les archives en privé. Cela veut dire lais­ser les messages un moment, parce que c’est ainsi que fonc­tionne le mode asyn­chrone de twit­ter, puis les effa­cer quand ils deviennent trop vieux.

    Qu’est-ce qu’un vieux message ? À partir de quel moment le contexte et la vision de l’ins­tant commence à perdre suffi­sam­ment son sens ?

    J’ai tenté un petit sondage, et si mes préoc­cu­pa­tions sont parta­gées par quelques uns, elles sont large­ment mino­ri­taires. Pour quelques rares, l’ex­pi­ra­tion se situe entre trois et douze mois. J’avoue que j’étais plutôt dans cet état d’es­prit au départ.

    D’autres ont, sans que je le mette en avant, réel­le­ment pris le parti de consi­dé­rer Twit­ter comme de l’ins­tan­tané, et proposent de ne lais­ser en ligne que les 25, 50 ou 100 derniers messages. Je ne n’avais pas réel­le­ment envi­sagé cela comme une solu­tion, mais c’est peut être fina­le­ment plus adapté à l’usage que j’en fais.

    Reti­rer des conte­nus en ligne

    Mais ça veut dire reti­rer des conte­nus en ligne, et c’est ressenti par prin­cipe comme une perte pour beau­coup de mes inter­lo­cu­teurs, indé­pen­dam­ment de la qualité des conte­nus.

    Le tout pour moi est d’ar­ri­ver à expli­ci­ter ce statut inter­mé­diaire entre privé et public. Si ces archives n’étaient visibles que par ceux qui partagent mes discus­sions, quand bien même ce partage est en libre accès, cela règle­rait en partie mes problèmes.

    Il ne reste­rait plus qu’à assu­mer avoir dans ces archives semi-publiques des messages dont la forme et la réflexion n’at­teint pas la qualité que j’en attends. Mais ça, je n’ai à m’en prendre qu’à moi-même fina­le­ment.

    Entre temps… je pense de plus en plus à cette suppres­sion des anciens messages. Que le palier soit un, trois ou six mois, consi­dé­rez mes conte­nus Twit­ter comme de l’ins­tan­tané, appelé à dispa­raître.

  • J’ac­cepte d’être iden­ti­fiable, pas d’être iden­ti­fié

    Fina­le­ment, pourquoi n’ai-je pas envie d’être iden­ti­fié ?

    Ma réflexion à propos de la vie privée et de mon iden­tité en ligne m’amène à prendre comme ligne direc­trice par défaut la distinc­tion suivante :

    J’ac­cepte d’être iden­ti­fiable, pas d’être iden­ti­fié.

    Comme une prome­nade dans mon quar­tier

    Je suis iden­ti­fiable. Mes voisins me recon­naissent si je m’ar­rête discu­ter. Mes amis proches pour­ront me recon­naître du trot­toir d’en face. Quelqu’un pourra prendre une photo et la compa­rer avec une base de données pour véri­fier si je suis bien qui il pense. Un offi­cier de police peut contrô­ler mon iden­tité s’il a de bonnes raisons pour soupçon­ner un problème

    Mais je ne suis pas iden­ti­fié. Ma boulan­gère me recon­naît mais ne me connaît pas, ou juste par le nom que je lui ai moi-même donné quand j’ai récu­péré ma dernière commande. Certains voisins me connaissent comme « le voisin du premier » mais fina­le­ment seraient bien inca­pables de donner mon nom. Un tiers dans la rue n’a pas accès à mon iden­tité et n’a aucune raison d’y avoir accès, offi­cier de police compris.

    J’ai plusieurs iden­ti­tés

    Même quand mon iden­tité est connue, c’est *une* iden­tité qui est connue. Chaque sphère connait fina­le­ment une partie de moi diffé­rente, liée au contexte et au besoin. Les plus proches finissent forcé­ment par connaitre une grande partie de moi, d’au­tant que je ne cache rien, et cela inclut forcé­ment l’état civil, mais je n’ai pas que des amis très proches dans la vie. Je discute de façon suivi avec plus d’une centaine de personnes, dont un nombre non négli­geable que je peux quali­fier de connais­sances sérieuses ou d’amis, mais tous ne sont pas dans le cercle des 5 à 10 amis très proches.

    Je peux enga­ger la conver­sa­tion dans un bar, seuls mon atti­tude et mes dires seront pris en compte, pas qui je suis, qui est mon père ou ma mère, ou qui j’ai pu être ailleurs dans la société. Tout au plus on me deman­dera mon prénom, mais que je leur réponde Pierre, Paul ou Jacques ne chan­gera rien tant que je répon­drai quand on me désigne.

    Pourquoi en serait-il diffé­rem­ment en ligne ?

    Google+ m’im­pose de rensei­gner mon nom complet, civil : Je suis iden­ti­fié, par prin­cipe, et cette iden­tité est unique. Pire, elle est publique.

    Pourquoi ai-je besoin de me prome­ner avec ma carte d’iden­tité sur le front si tout ce que je souhaite est de parti­ci­per à une discus­sion ? Quelle est la valeur ajou­tée pour moi ? pour mon inter­lo­cu­teur ?

    Pourquoi faudrait-il accep­ter en ligne un compor­te­ment qu’on n’ac­cep­te­rait jamais hors ligne ?

  • Google+ et Face­book demandent votre vrai nom, tiens donc

    Les ques­tions d’ano­ny­mat et de vie privée ressortent avec Google+. Comme Face­book, Google+ impose aux parti­ci­pants de révé­ler leur « vrai nom », c’est à dire grosso modo leur état civile (c’est un peu plus souple que ça mais vrai­ment à peine).

    Plus que de l’im­po­ser, Google a une poli­tique très agres­sive de désac­ti­va­tion des comptes qui n’ont pas un nom qui semble vrai. Ils ont aussi choisi d’im­po­ser que votre profil et votre nom réel soient publics. C’est d’ailleurs la seule infor­ma­tion qu’il est néces­saire de publier.

    Google et Face­book défendent féro­ce­ment leur posi­tion

    Pour Mark Zucker­berg de Face­book « Vous n’avez qu’une seule iden­tité. Avoir deux iden­ti­tés de vous-même, c’est l’illus­tra­tion d’un manque d’in­té­grité. »

    Pour Eric Schmidt de Google « La vie privée n’est pas la même chose que l’ano­ny­mat. Si vous essayez de commettre un terrible crime, il n’est pas normal que vous puis­siez le faire dans l’ano­ny­mat le plus complet. »

    Ce n’est pas une posi­tion morale ou de sécu­rité

    Enten­dons nous bien, il n’est pas néces­saire de lire entre les lignes. Il ne s’agit pas de posi­tions morales. L’ano­ny­mat sur Inter­net est tout rela­tif. Il est souvent possible de remon­ter vers vous à partir de votre adresse IP. C’est d’ailleurs ce qui est fait à chaque fois qu’il s’agit d’un fait chassé par la loi, ou même pour savoir qui a télé­chargé tel ou tel morceau de musique à la mode.

    Mais surtout Face­book et Google ne peuvent que véri­fier la vrai­sem­blance des noms. Rien ne m’em­pêche d’en donner un faux. C’est un peu comme si on basait les contrôles aux douanes sur les décla­ra­tions d’iden­ti­tés à l’oral, sans véri­fier de passe­port.

    Ce n’est pas une posi­tion pratique pour l’usage du service

    aussi il faut cher­cher ailleurs. Le web s’est déve­loppé depuis plusieurs années autour d’iden­ti­tés qui lui sont propres. Si Maître Eolas ou @super­cu­rio indiquent leur nom réel sur Google+, vous aurez bien du mal à les retrou­ver. Connaître leur nom de m’ap­por­tera rien et ne simpli­fiera en rien l’ex­pé­rience.

    Même quand vous connais­sez les noms, que votre mère recherche votre profil par votre nom de nais­sance est une chose, que vous soyez obli­gés de donner votre nom complet dans un groupe d’entre-aide de malades ou de victimes en est une autre. En rien la recherche n’im­pose de devoir montrer votre nom en public.

    Plus proba­ble­ment d’ailleurs, vous voudrez faire deux comptes sépa­rés pour certaines acti­vi­tés, l’un public avec votre nom, et l’autre plus privé, sans, afin de ne pas risquer de mélan­ger les deux. La poli­tique du vrai nom va rendre plus diffi­cile l’usage.

    C’est une pure ques­tion commer­ciale

    La raison est plus simple : Votre nom est rému­né­ra­teur. Souve­nez-vous : Si vous ne payez pas, c’est que c’est vous le produit vendu.

    Mais diable, si Google+ impose que le profil soit public, c’est simple­ment pour pouvoir publier une page qui se retrou­vera dans les moteurs de recherche. Si cette page a votre nom complet civil, voilà que Google trus­tera la première place et centra­li­sera toutes les recherches à votre nom. C’est que ça se monnaye ça d’être le point de passage obligé de votre iden­tité.

    Pas la peine de cher­cher plus loin.

    Alors Eric, Mark

    Puisque nous avons le même prénom, Eric, lais­sez-moi vous dire que la ficelle de votre assi­mi­la­tion est grosse. Nous préfé­rons tous un anonyme respec­tueux des lois qu’un crime horrible dont on connaît le nom de l’au­teur. Présenté ainsi, l’ano­ny­mat ne peut être qu’une bonne chose, non ? Et j’ai­me­rai bien savoir en quoi impo­ser un nom complet sur Google+ empê­chera mon voisin de faire un crime horrible de façon anonyme, ou en ayant saisit un faux nom, mais vrai­sem­blable, sur votre service.

    Et quand bien même nous n’avons pas ce même prénom Mark, quand vous aurez des enfants j’ai­me­rai bien savoir si effec­ti­ve­ment vous leur conseille­rez d’ins­crire leur nom de famille en toutes lettres quand ils s’ins­cri­ront à un jeu en ligne ou sur un forum de discus­sion, si votre nom ne risque pas de leur atti­rer pas mal de situa­tions pénibles qu’un pseu­do­nyme ne déclen­che­rait pas. Même vous, s’il vous arrive d’avoir une acti­vité privée en ligne, donne­riez vous réel­le­ment votre nom complet pour vous inscrire sur un site de rencontre ou pour parler d’une future mala­die grave « honteuse » sur un forum ?

    Il est facile d’être dans sa bulle et de consi­dé­rer que parce que vous avez choisi d’être des personnes publiques, que chacun doit forcé­ment faire le même choix, ou peut simple­ment le faire. N’ou­bliez-pas que si vous pouvez deman­der un coach, un expert, un méde­cin ou un inter­ve­nant person­nel pour toute ques­tion privée que vous pour­riez avoir, pour beau­coup de gens il ne reste qu’In­ter­net et les réseaux sociaux. Ne leur coupez pas ça.

     

    À rappro­cher de J’ac­cepte d’être iden­ti­fiable, pas d’être iden­ti­fié, publié peu après.

  • L’iden­tité avec Mozilla

    Mozilla avance sur la gestion de l’iden­tité dans le navi­ga­teur, et c’est une bonne chose. Malheu­reu­se­ment je crains qu’ils ne se four­voient, et ça c’est beau­coup moins bien.

    Avant d’en lire ma critique je vous propose de lire l’aperçu initial de Clochix. Bien rédigé, il vous permet­tra de vous faire une première idée avant que je vous embrouille la tête.

    Complexité

    Si je résume, pour le serveur email le système se repose sur la créa­tion de clefs de chif­fre­ment spéci­fiques à chaque utili­sa­teur, leur entre­pôt et leur gestion, sur un nouveau proto­cole (qui ne m’a pas semblé décrit dans les spéci­fi­ca­tions) pour échan­ger une signa­ture avec le navi­ga­teur, et sur le système de décou­verte WebFin­ger pour publier la clef publique vis à vis du site qui souhaite authen­ti­fier.

    Il faudra aussi que le pres­ta­taire email mette en place un méca­nisme pour révoquer les signa­tures / auto­ri­sa­tions données aux navi­ga­teurs afin qu’on ne donne pas un chèque en blanc illi­mité et qu’on puisse casser une auto­ri­sa­tion qui a été divul­guée publique­ment.

    Pour le site qui souhaite authen­ti­fier il faut implé­men­ter une API javas­cript simple avec le navi­ga­teur, la décou­verte et la délé­ga­tion WebFin­ger, et la partie algo­rith­mique pour véri­fier la signa­ture four­nie par le navi­ga­teur.

    Parce qu’au départ aucun pres­ta­taire ne supporte le système, il faut aussi implé­men­ter le système de décou­verte vers le tiers de confiance Mozilla, via une API que je n’ai pas vu décrite.

    Pour gérer les navi­ga­teurs qui n’ont pas encore le méca­nisme, il faut aussi implé­men­ter une alter­na­tive simi­laire à OpenID qui se base sur des redi­rec­tions http, des jetons et une authen­ti­fi­ca­tion stan­dard (le tout n’étant pas décrit dans ce que j’ai pu lire lors de mes recherches).

    Que celui qui ose me dire que tout ça est simple se dénonce. Pour­tant c’est l’ar­gu­ment présenté initia­le­ment. À côté, OpenID qui est jugé complexe par certain, fait presque rêver.

    Not inven­ted here

    La solu­tion met en avant un argu­ment de simpli­cité par rapport à OpenID mais j’y vois bien plus un syndrome « not inven­ted here » et une réin­ven­tion de la roue.

    Au final l’al­ter­na­tive pour ceux qui n’ont pas Fire­fox ressemble bien à OpenID. On ne fait qu’y ajou­ter WebFin­ger. C’est une bonne idée mais il n’y avait pas besoin de recréer la roue pour ça : La liai­son entre WebFin­ger et OpenID existe déjà.

    Le tiers de confiance ? quitte à utili­ser des tiers de confiance sur des certi­fi­cats cryp­to­gra­phiques, on a déjà des certi­fi­cats X.509 qui certi­fient l’iden­tité par l’adresse email et qui se basent sur des tiers de confiance. Ces tiers de confiance on en a la liste dans tous les navi­ga­teurs et même si ça reste centra­lisé, ça l’est moins que de réin­ven­ter une liste de tiers de confiance « Mozilla ».

    Le push d’une authen­ti­fi­ca­tion avec éven­tuel­le­ment une inter­face navi­ga­teur pour ne pas avoir plein d’al­ler-retours et un mauvais work­flow utili­sa­teur ? j’ai déjà WebID, qui a le bon gout de pouvoir simple­ment s’in­ter­fa­cer avec WebFin­ger et ne pas néces­si­ter un support aussi impor­tant du gestion­naire d’iden­tité.

    Je ne dis pas que toute cette pile de tech­nos est simple. Elle ne l’est pas, et elle est en bonne partie toujours en concep­tion. Mais en même temps la propo­si­tion de Mozilla aussi est complexe et toujours en gesta­tion.

    Plutôt que de réin­ven­ter la roue, faire une exten­sion qui embarque OpenID dans le navi­ga­teur on l’es­père depuis long­temps et ça résou­drait une grosse partie du problème.

    Mieux, juste amélio­rer les inter­faces qui permettent de gérer les certi­fi­cats clients dans le navi­ga­teur permet­trait d’im­plé­men­ter WebID main­te­nant, tout de suite. Ça deman­de­rait beau­coup moins de travail à tout le monde, que ce soit côté navi­ga­teur, côté gestion­naire d’iden­tité ou côté consom­ma­teur d’iden­tité. C’est là que j’at­ten­dais Mozilla.

    Pour ne rien gâcher il y a une stan­dar­di­sa­tion W3C sur le sujet et la brique qui manque c’est vrai­ment l’in­ter­face navi­ga­teur. Se baser sur les travaux de stan­dar­di­sa­tion en cours, ou y poin­ter dès main­te­nant ce qui pose problème plutôt que de faire son truc dans son coin, c’est aussi ça parler d’ou­ver­ture.

    Tiers de confiance

    Mais ce qui m’agace le plus c’est ce dont je parlais il y a peu : le web ouvert recule.

    Le méca­nisme choi­sit sera diffi­cile à faire implé­men­ter dans beau­coup d’or­ga­ni­sa­tions. Dans le meilleur des cas la progres­sion sera lente.  Mozilla a donc eu la bonne idée d’im­plé­men­ter un méca­nisme tempo­raire qui permette de passer par un tiers : le tiers de confiance.

    Sauf que comme on le pointe avec perti­nence, le système ne fonc­tionne que si on n’ac­cepte pas n’im­porte qui comme tiers de confiance, que si la liste est réduite. À court terme le tiers de confiance est quasi obli­ga­toire, donc tout le monde peut et doit se repo­ser dessus.

    Vu le confort d’avoir un tiers de confiance vis à vis la complexité d’al­ler cher­cher la clef publique via WebFin­ger, autant dire que la plupart risquent de se conten­ter du tiers de confiance.  On vient de réin­ven­ter le centra­lisé avec un saupou­drage de décen­tra­lisé dont il est évident qu’il ne sera que mineur pendant des années, si ce n’est plus.

    La notion de tiers de confiance est un drapeau rouge qui doit immé­dia­te­ment indiquer qu’on part dans la mauvaise direc­tion. Il aurait fallu une solu­tion décen­tra­li­sée dès le départ, ou un réseau de confiance, ou un système de délé­ga­tion, ou d’autres systèmes, mais ne pas encou­ra­ger le démar­rage en centra­lisé. Il est illu­soire de croire qu’on en sortira.

    OK, je vais aller plus loin, j’es­saie­rai de passer du temps pour montrer quelles inter­faces il manque et où Mozilla peut agir pour s’in­ter­face avec ce qui existe, mais il y a déjà un très bon aperçu au W3C. Bref, je vais tenter de décrire la voie qui selon moi serait à suivre histoire d’être aussi construc­tif.

  • Iden­ti­fiant utili­sa­teur et message d’er­reur

    L’uti­li­sa­teur ou le mot de passe four­nis est inva­lide

    Oui mais euh… lequel ?

    J’ai un compte sur plus d’une dizaine de services courants, peut être une ou plusieurs centaines si je compte les boutiques et forums en ligne sur lesquelles je vais peu.

    Expé­rience utili­sa­teur à jeter

    Malheu­reu­se­ment, comme tout le monde, je n’ai pas pu ou voulu avoir le même iden­ti­fiant utili­sa­teur partout. Parfois je me trompe, parfois je ne suis même pas capable de savoir lequel est le bon. Bien entendu j’ai aussi pas mal de mots de passe.

    Pas de doute, ce message d’er­reur rend plus diffi­cile de rentrer sur le compte. En tout cas c’est vrai pour l’uti­li­sa­teur légi­time. Ce qui aurait pu lui permettre de s’iden­ti­fier en quelques minutes lui pren­dra un bon quart d’heure le temps de tester toute une combi­nai­son d’iden­ti­fiants utili­sa­teur et la croi­ser avec autant de mots de passe.

    L’iden­ti­fiant utili­sa­teur n’est pas une sécu­rité

    La raison d’être de ce message est souvent un déve­lop­peur qui a souhaité amélio­rer la sécu­rité. Le fonde­ment est logique, si l’iden­ti­fiant utili­sa­teur est une incon­nue, cela fait une entrée de plus à forcer ou devi­ner.

    Mais en même temps, si en connais­sant l’iden­ti­fiant utili­sa­teur il est possible de forcer le compte rela­ti­ve­ment simple­ment, vous avez un vrai problème, et ce problème ne vient pas de l’iden­ti­fiant utili­sa­teur. Vous venez d’ajou­ter de cacher le cade­nas parce qu’il est trop simple à forcer quand on le trouve. Est-ce réel­le­ment la bonne approche ?

    Trou­ver un iden­ti­fiant utili­sa­teur est simple

    S’il s’agit de tester des iden­ti­fiants communs à l’aide d’un diction­naire et que nous parlons d’un service grand public, ne nous voilons par la face : Nous savons que « bob », « bob75 » et « great­bob » existent. Il n’est pas besoin de les tester. C’est même à cause de cette pré-exis­tence extrê­me­ment probable que vos utili­sa­teurs ont des iden­ti­fiants diffé­rents partout.

    Si à l’in­verse vous visez un utili­sa­teur parti­cu­lier, si vrai­ment l’in­gé­nie­rie sociale n’est d’au­cune aide à l’at­taquant (ce qui serait éton­nant), il lui restera à tester quelques variantes les plus probables dans votre robot. Ce qui est extrê­me­ment pénible à faire pour un humain ne chan­gera pas l’ordre de gran­deur du problème pour le robot et ne rendra pas beau­coup plus ou beau­coup moins fiable votre système.

    Pire, si vrai­ment il s’agit de décou­vrir l’exis­tence d’un iden­ti­fiant, et si vous tentiez une créa­tion de compte avec l’iden­ti­fiant en ques­tion ? On ne vous dit pas si l’iden­ti­fiant est dispo­nible à ce moment là ? Était-ce bien la peine de complexi­fier l’ex­pé­rience utili­sa­teur d’un côté si l’in­for­ma­tion est dispo­nible faci­le­ment ailleurs ?

    Votre sécu­rité est ailleurs

    Vous voulez augmen­ter la sécu­rité ? impo­sez un méca­nisme de double authen­ti­fi­ca­tion, un nombre d’es­sai maxi­mum, une tempo­ri­sa­tion d’une dizaine de secondes, des mots de passe forts, ou même deux carac­tères de plus dans votre mot de passe. Voilà, votre sécu­rité est aussi bien voire mieux assu­rée qu’en cher­chant à donner un message d’er­reur peu expli­cite à l’uti­li­sa­teur.

    Si réel­le­ment l’iden­ti­fiant utili­sa­teur était un compo­sant de sécu­rité, autant le mettre en champ « mot de passe » au lieu d’avoir un champ texte en clair. Mieux, on impo­se­rait une longueur mini­male et on inter­di­rait les iden­ti­fiants courants. En allant au bout de la démarche on pour­rait même faire un seul champ « utili­sa­teur et mot de passe » puisque l’iden­ti­fiant utili­sa­teur ne sert pas à grand chose d’autre.

    Je ne sais pas si vous avez vu mais on retombe sur nos pas : pour amélio­rer la sécu­rité, ajou­tez des carac­tères au mot de passe, ne prenez pas l’iden­ti­fiant utili­sa­teur pour un mot de passe.

    L’iden­ti­fiant utili­sa­teur comme donnée de valeur

    Vient un dernier problème qu’on m’a soumis : Parfois l’iden­ti­fiant utili­sa­teur peut lui même être une donnée de valeur.

    Je trouve dans cette caté­go­rie des extra­net dont l’iden­ti­fiant utili­sa­teur est prédic­tible mais où l’ap­par­te­nance de l’uti­li­sa­teur au système donne une infor­ma­tion impor­tante. Ce peut par exemple être l’ex­tra­net d’un avocat pour savoir si une personne précise est cliente.

    Ça ne concerne pas les services publics, ça ne concerne pas les services où les iden­ti­fiants sont non prédic­tibles, ça ne concerne par les récoltes anonymes (où on ne vise pas un utili­sa­teur précis) et ça ne concerne que les cas où l’iden­ti­fiant utili­sa­teur a une valeur en soi. C’est rare, plus proba­ble­ment la solu­tion serait de rendre l’iden­ti­fiant anonyme ou non prédic­tible, mais ce sont des cas légi­times.

    Par contre, pour votre boutique en ligne, pour votre forum, non, il n’y a aucune raison de gêner l’uti­li­sa­teur à ce point, vrai­ment.