OpenID, une bonne solution ?

Une des solutions que l’on trouve actuellement, c’est OpenID : un système d’inscription et d’authentification centralisé. Vous donnez toutes vos infos à un service OpenID sur le web, et celui-ci vous donne en échange une URI qui vous est propre, et que vous pourrez renseigner sur tous les sites compatibles.

Ce système est pratique, vous entrez vos informations une seule fois pour toute, le reste du temps, vous ne donnez que votre identifiant OpenID. Cependant, j’y vois plusieurs limites. Tout d’abord, il faut retenir une URI, et ce n’est pas toujours simple, d’autant plus que les services qui délivrent des comptes OpenID sont nombreux, et parfois avec des noms très proches les uns des autres. Autre souci, majeur à mon avis : vos données sont chez un tiers. Tiers supposé de confiance, certes, mais tout de même : vos données personnelles devraient rester chez vous.

Autre problème qui découle de ce problème de confiance : vous n’irez a priori pas donner d’informations confidentielles ou sensibles, tout simplement parce que vous n’avez aucune idée de ce que les gens qui conservent ces données vont en faire.

Mon identité sur mon ordinateur

Identity Thief as Paris, CC-BY CarbonNYC

Pour répondre à ces problèmes, j’ai l’idée de créer une technologie de « carte d’identité numérique ». Concrètement, cela consisterait en un fichier stocké sur votre machine, crypté, contenant un certain nombre d’informations, et auquel les services web auraient un accès dépendant de votre choix. Les informations seraient organisées par sensibilité, thème ou autre, et vous pourriez choisir quelles informations donner au site.

Par exemple, vous vous inscrivez sur un site de vente, vous choisissez donc de lui donner vos nom, prénom, âge, adresse et éventuellement vos coordonnées bancaires. En vous inscrivant à un nouveau jeu, vous choisissez de ne donner que votre pseudo favori, votre âge et votre adresse email. Sur le site de votre hôpital ou de votre médecin, vous pouvez donner en plus des informations concernant votre santé.

Bien entendu, l’accès à ce fichier ne se ferait qu’en local (cette technologie devrait donc être implémentée dans le navigateur), et serait protégé par un mot de passe permettant de le décrypter. Le navigateur web enverrait les données que vous choisissez au site web, en fonction des informations que celui-ci requiert.

Un tel système pose évidemment différents problèmes, dont principalement la sécurité. En effet, même si le fichier contenant vos données est crypté, quiconque le récupérant et ayant le temps de craquer le mot de passe pourra accéder à toutes vos données sensibles. L’autre problème que je perçois n’est pas vraiment un problème, juste une différence avec OpenID : ce dernier gère en effet l’authentification, et les sites web délèguent donc cette opération. Ce système ne permettrait pas cela. Mais d’un autre côté, les services se basant uniquement sur OpenID ou les systèmes similaires (Facebook Connect, Google Friend Connect, OAuth, etc) sont peu nombreux…

Que pensez-vous de cette idée ? Cette technologie pourrait-elle être fiable ? Les problèmes de sécurité peuvent-ils être surmontés afin de fournir une protection et un contrôle optimal de ses données par l’utilisateur ?