La technologie d'authentification Cardspace fait ses grands débuts avec IE 7
La sortie d'IE 7 marque aussi celle du sélecteur d'identité qui fonctionnera dans le cadre du projet de fédération des identités Infocard. Microsoft tente à cette occasion de démontrer son ouverture.
La sortie de la version 7 d'Internet Explorer (disponible en anglais, avant une version française attendue pour la fin du mois) marque les débuts de Cardspace, le « sélecteur d'identité » réalisé par Microsoft. Cardspace est la partie cliente de la technologie Infocard, conçue pour échanger les informations d'identité entre son PC et un site Web.
Profitant d'une présentation sur les mashups (agrégation de services sur une page Web) lors du Forum Architectes SOA organisé hier à Paris, Microsoft a donné quelques éléments supplémentaires par rapport à ce qui avait été présenté à la RSA Conference de février dernier.
De fait, l'utilisation de services sur le Web nécessite généralement une identification, le plus souvent par login/mot de passe. Microsoft propose depuis plusieurs années de simplifier cette procédure grâce à une authentification unique (SSO, single sign-on) : son célèbre système Passport. « Un système qui fonctionne très bien, mais dans un périmètre donné, a expliqué Pierre Couzy, architecte chez Microsoft France. Le SSO se restreint à un domaine, l'entreprise, ou l'ensemble des sites Microsoft par exemple. »
Une sélection visuelle des cartes d'identité
Le SSO impose à la fois une base unique, détenue par le consommateur de l'identité (Microsoft, son entreprise, etc.), et un seul identifiant (login, email, mot de passe). Or, explique aujourd'hui Microsoft, on peut avoir besoin de plusieurs informations d'identité selon les sites visités : sa banque, la Sécurité sociale, son commerçant favori ou son club de sport n'ont pas besoin des mêmes éléments. La solution serait donc dans l'identité fédérée : une base d'informations définissant son identité de façon globale, et de laquelle on extrairait des « jetons d'identification » correspondant au besoin de chaque site.
Le sélecteur d'identité livré dans IE 7 permet ainsi de choisir, de façon visuelle, entre les « cartes d'identité ». Le choix effectué, la carte est signée, encryptée et transmise de façon sécurisée au site. Cardspace peut également fonctionner avec des tiers de confiance, qui corroboreront l'authenticité des jetons, de façon transparente pour l'utilisateur.
Standards WS-* et spécifications ouvertes au menu
Même si Microsoft répond ainsi à la principale critique émise contre Passport - puisqu'on ne lui confie plus ses données personnelles - il reste qu'un tel système nécessite encore de multiples éléments pour décoller. D'abord une plate-forme cliente répandue. D'après Microsoft, sa technologie est d'ores et déjà utilisable dans Safari et Firefox en plus d'IE 7. En revanche, il faudra attendre la sortie de Vista et/ou d'une mise à jour spécifique pour Windows XP, car le sélecteur d'identité est intimement lié au système d'exploitation : son utilisation se fait dans une session distincte, sécurisée, afin de contrer les éventuels spywares. Ensuite, il faut que les sites Web soient adaptés. La technologie est disponible en versions .Net, PHP et Java, et comme l'a démontré Pierre Couzy, elle nécessite un effort minime d'intégration.
Paradoxalement, ce qui devrait le plus avantager la technologie de Microsoft, c'est Higgins, l'initiative concurrente, Open Source, soutenue par IBM et Novell. Higgins devrait en effet être compatible avec Infocard. De son côté, Microsoft insiste sur son ouverture : les technologies de communication des jetons d'identification sont basées sur les standards WS-* (la pile de standards des services Web) et les protocoles de Cardspace sont disponibles librement, dans le cadre du programme Open Specification Promise.