Chapitre 2 : Impacts et limites 1/2
écrit par Arnaud GARRIGUES et Florent COTTEY
Après avoir décrit dans un article précédent le fonctionnement et les composantes du nouveau système de gestion des identités proposé par le cyberczar américain, nous nous proposons aujourd'hui d'établir les impacts pour les usagers et les limites de cette nouvelle approche.
Pour le moment, le document semble supposer une forme d'adhésion de l'utilisateur, ce qui laisse penser que celui-ci devra décider d'entrer dans le système.
Les utilisateurs pourront ainsi facilement s'authentifier sur une multitude de site sans avoir à s'inscrire à chaque fois. Cela pourrait même devenir transparent pour eux et même à leur insu...
Prenons l'exemple d'une épouse qui doit utiliser Internet pour consulter les résultats médicaux de son conjoint.. L'hôpital et la législation en vigueur exigent un contrôle de l'identité plus poussé ce qui suppose l'utilisation de techniques comme l'authentification forte (avec PKI, certificat sur USB...).
Ce mode d'échange sécurisé depend notamment de la politique de sécurité et de confidentialité déclarée par l'hôpital auprès des RP (Relaying Party) et adoptée par les différentes parties prenantes.
Cependant, l'autorisation qui lui est faite dépend d'une action volontaire de son conjoint. Fort de son identité contrôlée par les IdP, ce dernier a pu autoriser, au sein de son AP (Attributes Provider), son épouse à accèder à ces données.
Cette dernière, pouvant prouver son identité grâce à l'IdP, peut initier une transaction sécurisée avec l'hôpital qui contrôlera sa légitimité à accèder aux résultats médicaux en quesion.
Dans ce dernier cas, nous retrouvons les 3 objectifs recherchés :
On pourrait alors facilement penser que l'authentification deviendrait totalement transparente pour les utilisateurs et qu'elle devienne systématique.
Nous pouvons alors émettre des craintes à propos de l'anonymat des utilisateurs. Si l'utilisateur est authentifié dès le démarrage de son ordinateur et en permanence, comment pourra-t-il être sûr qu'il est bien anonyme sur Internet ?
Comment pourra-t-il s'assurer que telle recherche sur le net, qu'il souhaite garder discrète, ne soit pas enregistrée ?
Comment s'assurer que telle transaction ou tel achat n'ait pas été enregistré et centralisé ?
Dans l'écosystème que nous décrivons, il devient alors de plus en plus difficile d'avoir une quelconque activité sur Internet puisque l'ensemble des organisations est fortement incitée à entrer dans ce système pour continuer leurs activités.
Cet écosystème comprend 4 composantes essentielles :
C'est la combinaison de ces 3 acteurs échangeant à l'aide d'outils sécurités qui permet de garantir l'équilibre des besoins décrits ci-dessus : Répondre aux besoins, stricte limitation de l'utilisation des données personnelles, sécurisation des échanges
Les IDP (Identity Provider) sont responsables de l'enrôlement des utilisateurs, ce sont eux qui vérifient leur identité lors de la création des comptes utilisateurs. Leur rôle est double
Les AP ont ainsi un rôle très important de conservation de certaines données personnelles qui seront nécessaires pour certains échanges. Leur rôle est double :
écrit par Arnaud GARRIGUES et Florent COTTEY
Après avoir décrit dans un article précédent le fonctionnement et les composantes du nouveau système de gestion des identités proposé par le cyberczar américain, nous nous proposons aujourd'hui d'établir les impacts pour les usagers et les limites de cette nouvelle approche.
1) Quels impacts pour les utilisateurs ?
Incontestablement, cet ensemble de solutions propose une amélioration de la gestion de l'identité en recentrant celle-ci autour de l'utilisateur : il est conscient et acteur de son identité sur Internet.1.1) Une meilleure protection de l'identité...
Pour le moment, le document semble supposer une forme d'adhésion de l'utilisateur, ce qui laisse penser que celui-ci devra décider d'entrer dans le système.
Les utilisateurs pourront ainsi facilement s'authentifier sur une multitude de site sans avoir à s'inscrire à chaque fois. Cela pourrait même devenir transparent pour eux et même à leur insu...
Prenons l'exemple d'une épouse qui doit utiliser Internet pour consulter les résultats médicaux de son conjoint.. L'hôpital et la législation en vigueur exigent un contrôle de l'identité plus poussé ce qui suppose l'utilisation de techniques comme l'authentification forte (avec PKI, certificat sur USB...).
Ce mode d'échange sécurisé depend notamment de la politique de sécurité et de confidentialité déclarée par l'hôpital auprès des RP (Relaying Party) et adoptée par les différentes parties prenantes.
Cependant, l'autorisation qui lui est faite dépend d'une action volontaire de son conjoint. Fort de son identité contrôlée par les IdP, ce dernier a pu autoriser, au sein de son AP (Attributes Provider), son épouse à accèder à ces données.
Cette dernière, pouvant prouver son identité grâce à l'IdP, peut initier une transaction sécurisée avec l'hôpital qui contrôlera sa légitimité à accèder aux résultats médicaux en quesion.
Dans ce dernier cas, nous retrouvons les 3 objectifs recherchés :
- le besoin d'information de l'hôpital et de l'épouse : celui de légitimer un transfert d'information, celui d'accéder à une information
- la protection des données personnelles : restreindre les accès aux informations personnelles au stricte nécessaire ou en recueillant l'autorisation explicite du possesseur.
- Sécuriser la transaction de bout en bout en fonction des besoins : utilisation de certificat, de PKI..
Comme nous le faisions remarquer, ce système tend à simplifier les transactions tout en maximisant la sécurité.1.2) ...au prix d'une perte de l'anonymat ?
On pourrait alors facilement penser que l'authentification deviendrait totalement transparente pour les utilisateurs et qu'elle devienne systématique.
Nous pouvons alors émettre des craintes à propos de l'anonymat des utilisateurs. Si l'utilisateur est authentifié dès le démarrage de son ordinateur et en permanence, comment pourra-t-il être sûr qu'il est bien anonyme sur Internet ?
Comment pourra-t-il s'assurer que telle recherche sur le net, qu'il souhaite garder discrète, ne soit pas enregistrée ?
Comment s'assurer que telle transaction ou tel achat n'ait pas été enregistré et centralisé ?
Dans l'écosystème que nous décrivons, il devient alors de plus en plus difficile d'avoir une quelconque activité sur Internet puisque l'ensemble des organisations est fortement incitée à entrer dans ce système pour continuer leurs activités.
2) Description de l'écosystème
Cet écosystème comprend 4 composantes essentielles :
- IdP : Identity Provider
- AP : Attribute Provider
- RP : Relaying Party
- Un ensemble de protocoles d'échanges sécurisés.
C'est la combinaison de ces 3 acteurs échangeant à l'aide d'outils sécurités qui permet de garantir l'équilibre des besoins décrits ci-dessus : Répondre aux besoins, stricte limitation de l'utilisation des données personnelles, sécurisation des échanges
Les IDP (Identity Provider) sont responsables de l'enrôlement des utilisateurs, ce sont eux qui vérifient leur identité lors de la création des comptes utilisateurs. Leur rôle est double
- Assurer l'enregistrement des utilisateurs et en confirmer la légitimité : prouver que M_MICHU est bel et bien Mme MICHU.
- Confirmer, lors des échanges, l'identité de la personne qui émet ou répond à une requête.
Les AP ont ainsi un rôle très important de conservation de certaines données personnelles qui seront nécessaires pour certains échanges. Leur rôle est double :
- Conserver, de façon sécurisée, les données personnelles enregistrées par les utilisateurs, grâce aux preuves d'identité fournies par les IDP
- Envoyer, sous format sécurisé, lorsque la requête est légitime, les informations nécessaires.
On voit bien qu'ici, la légitimité de la requête est un facteur-clé. Ex. : pourquoi fournir votre groupe sanguin à votre banque ou votre métier à Facebook ?
Les RP (Relaying Party) sont les partenaires chargés de s'assurer de la légitimité des requêtes. Ils n'obtiendront que les informations nécessaires sur les utilisateurs afin de réaliser leur mission. Ils doivent respecter un certain nombre de règles pour avoir leur certificat de conformité.
C'est ainsi qu'en fonction d'une politique établie par les divers acteurs impliqués, les RP seront aptes à fournir à l'organisation, les informations nécessaires à la transaction tout en protégeant les autres données personnelles limitant de fait les abus.
Ex. : le RP pourra fournir à un hôpital le groupe sanguin de la personne, car il se sera assuré:
Et comme dans tout processus réglementé, il faut des auditeurs et des certificateurs pour contrôler que tout le monde suit la règle du jeu et ne demande pas d'information dont il n'a pas le besoin d'en connaître.
Les RP (Relaying Party) sont les partenaires chargés de s'assurer de la légitimité des requêtes. Ils n'obtiendront que les informations nécessaires sur les utilisateurs afin de réaliser leur mission. Ils doivent respecter un certain nombre de règles pour avoir leur certificat de conformité.
C'est ainsi qu'en fonction d'une politique établie par les divers acteurs impliqués, les RP seront aptes à fournir à l'organisation, les informations nécessaires à la transaction tout en protégeant les autres données personnelles limitant de fait les abus.
Ex. : le RP pourra fournir à un hôpital le groupe sanguin de la personne, car il se sera assuré:
- de l'identité de la personne => IDP
- de la légitimité de la transaction
- en obtenant les informations souhaitées => AP
Et comme dans tout processus réglementé, il faut des auditeurs et des certificateurs pour contrôler que tout le monde suit la règle du jeu et ne demande pas d'information dont il n'a pas le besoin d'en connaître.A suivre, l'impact pour les gouvernements et les points faibles...
Edit from the Orange Business team: Hervé left the Orange Group since he wrote his last posts.