[Fireburn]

aller une dernière news avant mes 4 jours de vac (4 jours sans news de ma part vous êtes sauvé)
[quote:6065e7407b]Alors qu'OpenID attise l'intérêt des géants de l'informatique, l'acquisition de Credentica par Microsoft laisse augurer d'une possible guerre des « standards » en matière de gestion des identités sur le Web.

L'annonce était passée relativement inaperçue de ce côté-ci de l'Atlantique, et pourtant elle avait de quoi allécher les observateurs au delà même des seuls férus de sécurité applicative. Le 07 février dernier, OpenID annonçait en effet qu'IBM, Google, Microsoft, Verisign et Yahoo! rejoignaient le conseil d'administration de sa fondation, faisant ainsi poindre chez bien des acteurs l'espérance d'un standard du Web en matière de gestion des identités.

Si cette annonce avait de quoi susciter l'intérêt, c'est parce qu'OpenID s'attèle à apporter une solution, sous un format simple et ouvert (id est décrit par des spécifications publiques), à l'une des plus grandes arlésiennes de la décennie informatique. Pour rappel, OpenID poursuit trois desseins:

* La centralisation des informations d'identités. Grâce à OpenID, un internaute souhaitant devenir utilisateur d'un site pour lequel il n'a pas encore de compte, n'a ni à rentrer pour la nième fois ses nom, prénom, âge etc., ni à expérimenter la douloureuse étape du choix d'un login, généralement déjà réservé par un autre internaute. Pour ce faire, un fournisseur d'identités (par exemple, myOpenID, Orange, AOL, ou bien encore Yahoo!), héberge puis transmet, avec l'autorisation de l'internaute, les informations nécessaires au site concerné. Pour tous les sites que l???internaute visite, il dispose d'un unique identifiant, prenant la forme d'une URL liée au fournisseur d'identités (par exemple: http://John.Doe.myopenid.com ou bien encore http://openid.aol.com/JDoe)
* La fourniture de données d'identités profilées, c'est à dire à la discrétion de l'utilisateur. Ainsi si un internaute accepte de fournir ses nom, prénom et adresse de livraison à un site marchand sur lequel il effectue quotidiennement des achats, il ne souhaite probablement transmettre à un blog occasionnel qu'un simple pseudo de circonstance.
* L'authentification centralisée et le Single Sign-On. Tout comme le stockage des données d'identité, c'est le fournisseur d'identités qui assure l'authentification de l'utilisateur pour les différents sites compatibles à OpenID. Tant qu'un internaute reste connecté à son fournisseur d'identités (par le biais d'un cookie par exemple), il n'a pas à se ré-authentifier sur ces sites.

Dans cette quête de la gestion des identités sur le Web, Microsoft Passport (aujourd'hui appelé Windows Live ID) fut le premier à ouvrir le bal, suivi quelques années plus tard par la très médiatique Liberty Alliance. Si Passport a surtout souffert des intentions « Big Brotheresques » que l'on prêtait alors à Microsoft, la seconde pourrait se résumer à « beaucoup de promesses et peu de projets », la complexité du protocole et les incompatibilités récurrentes entre solutions éditeurs constituant quelques-unes des raisons à cette faible adoption.

L'annonce de la fondation OpenID avait donc de quoi susciter bien des espoirs. Certes, la centralisation des données chez un fournisseur d'identités OpenID suit la même logique que Passport mais le choix de ce fournisseur est laissé à la libre appréciation de l'utilisateur. Par ailleurs, les paradigmes techniques d'OpenID sont plus simples et beaucoup plus rapidement intégrables que ceux de Liberty Alliance. Alors finalement, ce qu'il manquait à OpenID, c'était le soutien et la motivation des grands.

Si l'histoire en était restée à l'annonce de la fondation OpenID, on aurait donc pu croire à la fin d'une grande arlésienne. Oui mais voila, l'histoire n'en est pas restée là. Le 6 mars 2008, soit moins d'un moins après son ralliement à OpenID, Microsoft annonçait en effet l'acquisition de la société Credentica et de sa technologie U-Prove. Cette dernière, clairement concurrente d'OpenID, se distingue par sa capacité à empêcher tout recoupement de données (dans le cas d'openID, le fournisseur d'identités est le maillon faible de la chaîne puisque toutes les données d'identité d'un internaute lui sont confiées). La volonté affichée par le géant de Redmond est claire : intégrer rapidement la technologie U-Prove à Windows CardSpace et Windows Communication Foundation.

Deux annonces en un mois, il y a de quoi être perplexe sur les intentions de Microsoft ! Si certains y voient une volonté d'être présent sur différents tableaux afin de ne pas manquer le train du vainqueur, d'autres soupçonnent Microsoft de vouloir « engluer » OpenID et ralentir son adoption. Si ce procès d'intentions s'avérait reposer sur de réels fondements, OpenID pourrait alors effectivement être menacé. Mais il reste d'autres inconnues à cette équation, et notamment la position que va adopter Google, premier des géants du Web. Si ce dernier poursuit dans la stratégie qu'il a suivie jusqu'ici, à savoir l'adoption et la diffusion de solution légères rapidement expansibles sur Internet, alors il est fort probable qu'il soutienne massivement OpenID et marginalise ainsi la solution de Microsoft (celle-ci pourrait toutefois rencontrer un écho certain dans les domaines médicaux et militaires où la confidentialité des données constitue la première des priorités). Pour l'heure le SSO des Google Apps est encore à la mode SAML, l'affaire est donc encore à suivre, et au rythme où vont les annonces, la gestion des identités sur Internet nous réserve encore certainement bien des rebondissements![/quote:6065e7407b]
source: http://www.lesnouvelles.net/articles/divers/open-id-credentica-rififi-chez-les-identites

je pense qu'il y a de quoi débattre alors défoulez vous!