Page principale - S'identifier - S'inscrire - Contact

Venez découvrir mon dernier livre

Téléchargez le guide de l'animateur
Si vous souhaitez l'avoir au format papier, l'offrir ou simplement me soutenir,
vous pourrez l'acheter ici prochainement

Présentation du livre


FAQ sur les services de regroupement d'identifiants

Version imprimable

9 janvier 2001
Des services apparaissent permettant de regrouper les divers identifiants dont nous avons besoin. Ces services permettent de n'avoir à utiliser qu'un seul identifiant pour être ensuite reconnu partout.


version 1.0 du 9 janvier 2001

 

-1- Objectif de ce document

 

Si le développement d'un tel identifiant permet de faciliter l'accès à divers sites et favorise l'essor du commerce électronique, il présente aussi un danger de divulgation de données personnelles.

 

Ce document tente de faire le point sur les solutions proposées et sur les éléments à prendre en compte pour garantir une sécurité des données personnelles.

 

 

-2- Quelques définitions : identification, authentification et adresse

 

L'identification est l'action de reconnaître une personne ou une chose. Pour s'identifier, on donne en général son nom, un login ou un pseudo

 

L'authentification est le processus visant à établir de manière formelle et intangible l'identification. Le mot de passe est l'authentifiant le plus répandu actuellement.

 

Il existe 3 façons de prouver son identité (source Biométrie Online) : :

  • Par ce que l'on possède (carte, badge, document)
  • Par ce que l'on sait (un mot de passe)
  • Par ce que l'on est (la biométrie)

 

Un service unique de regroupement d'identifiant permet de n'avoir qu'un seul couple identifiant/authentifiant pour accéder de façon transparente à l'ensemble des ressources auxquelles on a droit. Les informations transmises aux ressources peuvent être de plusieurs types : identification (nom...), adresse (physique, tel, email, web...), personnalisation (préférences indiquées...)

 

Single Sign On (SSO) définit un système de signature unique pouvant utiliser le mot de passe, un certificat, une carte à puce ou tout autre système d'authentification. Il permet d'être reconnu par un service grâce à une base des utilisateurs et une base des autorisations.

 

L'adresse universelle est le nom en français de "Universal Resource Locator" (URL). Elle permet de localiser une ressource. A ne pas confondre donc avec l'identifiant universel

 

L'identifiant unique est un identifiant permettant d'accéder grâce à un service unique à diverses ressources autorisées en leur délivrant des informations personnelles à jour auxquelles elles ont droit suivant une politique de gestion des données personnelles définie. Un tel identifiant permet à l'utilisateur de ne s'identifier et s'authentifier qu'une seule fois. Il permet aux ressources de disposer d'informations constamment à jour quelques soient les changement intervenus (changement d'adresse...).

 

-3- Les différents modes d'identification

 

Il existe plusieurs façons de gérer ses multiples identifiants auprès de divers services :

  • On doit se rappeler de ses paramètres d'identification et d'authentification pour chaque interlocuteur (Malcommode)
  • On utilise le même identifiant pour tout le monde (dangereux car les services peuvent alors croiser des informations sur vous)
  • On s'identifie à un seul opérateur qui fourni l'ensemble des services (inquiétant et réducteur)
  • On s'identifie auprès d'un système qui sert de relais avec les divers interlocuteurs en fonction de la politique que l'on a définie (regroupement d'identifiants)

 

Il ne faut pas confondre le regroupement des identifiants chez un tiers de confiance et un identifiant universel qui permettrait le croisement des informations personnelles.

Si le fait de ne pas avoir à se souvenir d'un nombre impressionnant d'adresses et de mots de passe est séduisant, le danger de voir ses données personnelles divulguées peut inquiéter. Le risque va depuis retrouver ses données et son profil dans un fichier utilisé à des fins de prospection commerciale, jusqu'à la divulgation des numéros de cartes de crédit et des mots de passe accédant à des informations sensibles.

 

-7- Quelles sont les informations qui peuvent être délivrées

 

Des informations personnelles très diverses peuvent être délivrées à diverses ressources suivant une politique de gestion des données personnelles. Cela peut comprendre par exemple :

  • L'identité : prénom, nom, etc...
  • Coordonnées (personnelle, professionnelle) postale, téléphones, fax, mél, web, messagerie instantanée (ICQ) ip pseudos etc...
  • Moyens d'authentification (preuve d'identité)
  • Coordonnées bancaires et moyens de paiement
  • Informations médicales
  • Préférences : Pour divers serveurs
  • Et diverses autres informations : tailles de vêtements, préférences pour les voyages...

 

 

-8- Maîtriser l'usage de son identité

 

Pour chaque information peut être définie une politique de gestion des données personnelles : Qui a besoin ou le droit de savoir quoi ? et pour quoi faire ? Dans les systèmes de type XNS, les services n'accèdent jamais directement aux données auxquelles ils ont droit. Les informations sont fournies par un agent intelligent qui négocie avec l'agent intelligent du service demandeur en fonction de la politique définie à l'avance. Pour certains types de données (authentification, paiement), seul le résultat est fourni (personne authentifiée ou paiement validé)

 

Chacun doit pouvoir conserver le droit de maîtriser les informations qu'il souhaite donner :

  • Tout dire pour être mieux servi
  • Ne transmettre que quelques informations sélectionnées
  • Dissimuler son identité
  • Travestir son identité etc...

 

Il devient possible de définir par exemple si l'on souhaite être joignable pour tout le monde, pour la famille, seulement dans les cas d'urgence ou si l'on n'est joignable pour personne.

 

-9- A propos de ce document

 

Cette "Foire aux Questions" est réalisée et maintenue par le groupe de travail "usages de l'Internet mobile" de la Fondation pour l'Internet Nouvelle Génération.

Ce groupe est animé par Gael Serandour et Nicolas Gaillotte
Le rapporteur du groupe est Jean-Michel Cornu

 

Historique :

Version 0.1 du 21 novembre 2000 - premier document Version 0.2 du 24 novembre 2000 - prise en compte des commentaires de Cécile Alvergnat de la CNIL et de Hervé Schauer, expert en sécurité Version 0.3 du 9. janvier 2001 - prise en compte de la présentation sur l'identité numérique de Daniel Kaplan et corrections éditoriales (ajout des sections 3 et 8) Version 1.0 du 18 janvier 2001 - corrections éditoriales