Mardi dernier se tenait un atelier du programme d’action Identités Actives de la FING. Avant de livrer mes impressions personnelles, quelques points qui m’ont interpelé, et sur lesquels j’essaierai de revenir plus tard :

  • L’un des premiers rôles de l’identification est de permettre l’autorisation : l’autorisation consiste à établir qu’un individu est en droit de réaliser une action particulière. Votre permis B permet d’établir que vous êtes en droit de conduire une voiture, mais l’autorisation est soumise à votre authentification, c’est-à-dire à la vérification que vous êtes bien celui que votre permis dit que vous êtes. Cette authentification se fait par comparaison des informations personnelles portées sur votre permis avec celles enregistrées à la préfecture. Votre identité n’a pas ici de valeur en elle-même mais par les droits qu’elle vous permet de prouver. Inversement il existe des systèmes d’autorisation qui ne sont pas basés sur une identification : le ticket de métro par exemple.

  • On utilise beaucoup le terme de privacy pour définir tout ce qui est de nature privée, c’es-à-dire ce qui n’a pas vocation à être librement accessible. On devrait pouvoir trouver une traduction honnête. J’avais pensé à privauté jusqu’à ce que je me renseigne sur son sens premier. Ce mot n’étant plus d’usage courant il pourrait être envisagé de le recycler. Après tout le vocabulaire est fait pour vivre… Faudra que je me renseigne auprès des quebecquois, ils sont toujours très prompts à trouver des francisations.

  • A propos de privacy, prenons l’exemple du dossier médical. Votre identité est publique (accessible dans l’annuaire et sur votre sonnette de palier, et en bien d’autres lieux…). Et si on vous demandait de rendre accessible votre dossier médical de manière anonyme à une université pour des recherches, la majorité d’entre vous accepterait. Ce ne sont donc ni votre identité ni votre dossier médical que vous souhaiter protéger mais le lien entre les deux.

  • Il existe différentes démarches visant à la protection de l’identité. 3 reçoivent particulièrement plus d’attention : Cardspace de Microsoft, LibertyAlliance et OpenID. Et bien que je ne puisse/veuille m’attarder sur le pourquoi maintenant, on peut dire qu’elles représentent trois conceptions parfois très différentes des mécanismes à mettre en place pour permettre à l’individu de maitriser son identité.

  • La fédération d’identité ne se limite pas au SSO (Single Sign On) qui permet de stocker en un lieu unique l’ensemble des sites auxquels on est inscrit. La fédération d’identité s’intéresse aussi à la gestion des attributs de l’identité et comment ils sont communiqués d’un service à un autre de manière à ce que l’utilisateur puisse obtenir une expérience personnalisée et intégrée tout en restant en contrôle de quel service accède à quelle information.

En ce qui concerne mes impressions : j’étais probablement un peu en décalage par rapport à une partie de l’assistance dont le quotidien est fait de ces questions d’identité. Mais je pense ne pas avoir été le seul à « regretter » les débats très techniques autour des protocoles utilisés et de ce type de problématiques très « bas niveau ».

On a aussi assisté à une bataille de clochers qui a permis de bien comprendre que les trois approches (Liberty, OpenID, Cardspace) étaient différentes sans pour autant réussir à prendre de la hauteur pour mieux définir les enjeux de ces différences.

La conclusion à l’atelier, qui me parait pétrie de bon sens, est qu’il existe différents usages de l’identité. Il faut les lister et les catégoriser en fonction de différents critères à définir tels que la criticité (s’identifier pour accéder à un blog ou à son dossier médical n’ont pas les mêmes implications), fréquence (pour un héritage il faut établir son identité mais cela se produit rarement contrairement à l’accès à son lieu de travail), parties intéressées (banques, entreprises, collectivité territoriales, état,…), les bénéfices attendus pour chacune d’elles…

Au final une séance très instructive pour moi mais certainement un peu frustrante pour les personnes plus averties…