Facebook maître de l’identité sur le Web ?

jhamel — Fri, 18 Dec 2009 17:04:14 +0000

Facebook se positionne pour devenir le pourvoyeur incontournable d’information personnelle sur Internet. Avec différents partenaires commerciaux, il pourrait en tirer d’importants bénéfices. Une belle opportunité pour certains, un problème de protection des renseignements personnels pour d’autres. Voici ce qu’il faut savoir :

Identité sur le Web : Fondements historiques

Depuis les débuts de l’Internet, l’authentification par usager et mot de passe est fondamentale. Sur les services de messagerie, sur les blogues pour poster un commentaire, pour les services bancaires en ligne, etc. Avec la croissance fulgurante des sites participatifs (le fameux Web 2.0), l’authentification des usagers est devenue un problème puisqu’on doit gérer des dizaines (voir des centaines…) de mots de passe simultanément. Ce n’est pas tellement problématique dans la mesure où l’on utilise toujours la même combinaison de nom d’utilisateur et de mot de passe mais la situation se complique rapidement du fait qu’il existe une panoplie d’exigences de sécurité qui peuvent varier d’un site à l’autre.

Page d'accueil de Yahoo en 1998

Par exemple, les sites transactionnels des institutions bancaires ont tendance a être plus exigeants sur la complexité des mots de passe qu’un simple service de blog gratuit. Autre facteur, certains sites vont exiger que les mots de passe soient changés à intervalles réguliers (ex: 60 jours). Sans compter le fait que certains laissent libre choix aux usagers pour le choix d’un nom d’utilisateur alors que d’autres obligent l’utilisation de l’adresse courriel ou notre préféré, un nom d’usager imposé à l’utilisateur…

Tous ces facteurs font en sorte, qu’à moins d’être un descendant d’Houdini, il est devenu presque impossible de gérer son identité virtuelle sur Internet sans l’aide d’un service centralisé (ou décentralisé) efficace.

OpenID : bonnes intentions mais…

Lancé officiellement en 2005, OpenID vise essentiellement à régler les problèmes énumérés au point précédent, c’est-à-dire la possibilité de s’authentifier avec une méthode unique et standard. Dans le cas d’OpenID, la traditionnelle combinaison d’un usager et d’un mot de passe est délaissée au profit d’un URL (appelé « Identifier » ) qu’on entre afin de localiser le serveur OpenID ( appelé « Identity provider » ou « OpenID provider » ). Les étapes qui suivent l’envoi de l’adresse du « provider » varient d’un site à l’autre mais habituellement, le « provider » demande à l’utilisateur d’entrer son nom d’usager et mot de passe (configurés antérieurement sur le « provider »). Les informations sont ensuite retournées sur le site nécessitant une connexion (appelé « Relying Party ») pour les placer dans la session de l’usager (donnant du même coup accès aux pages protégées).

Authentification avec OpenID (labs.gnetix.com)

Un des aspects très intéressant d’OpenID est qu’il est Open Source. N’importe qui peut configurer son propre serveur d’authentification avec les paramètres qui lui sont propre. Bien que le service tarde à s’implanter dans la clientèle « mainstream », il est supporté par plusieurs partenaires majeurs dont :

Le 9 septembre 2009, le gouvernement américain a lancé un projet pilote en partenariat avec la fondation OpenID et 10 leaders de l’industrie afin de jeter les bases d’un « Open Government ». Cette orientation importante aux yeux de l’administration Obama pourrait améliorer considérablement l’état des services en ligne gouvernementaux et semble devenir le modèle à suivre pour d’autres états dans le monde.

Pour plus d’informations sur OpenID, visitez le http://www.openid.net

Il existe plusieurs projets qui ont des objectifs similaires à OpenID, on compte notamment :

OAuth (utilisé par Twitter et Add.ly)
Windows CardSpace
Windows Live ID (utilisé par Hotmail et plusieurs services en ligne de Microsoft)

Facebook Connect : une histoire à succès

Annoncé vers la fin 2008, Facebook Connect a pris rapidement les devants dans la course à l’identification unique sur le Web. Simple et facile à intégrer, la gamme d’outils Facebook Connect permet à des sites Web (ex: Huffington Post) et à des périphériques (ex: iPhone, XBOX360) d’utiliser un système d’authentification qui fait appel à la base de données utilisateur de Facebook. De cette manière, l’utilisateur qui veut faire une action quelquonque sur un site (ex: poster un commentaire sur un blog) n’a qu’à entrer ses informations Facebook pour se connecter au lieu de procéder au traditionnel enregistrement d’un nouveau compte sur le site.

Intégration de Facebook Connect (source : Facebook)

Depuis son lancement, plus de 60 millions d’usagers ont accédé à du contenu externe à Facebook en utilisant cette technologie soit environ 1/6 des 350 millions d’utilisateurs du réseau social. Le nombre de sites, services et périphériques qui supportent Facebook Connect continuent d’augmenter rapidement. Il s’agit certainement d’un des volets les plus intéressants de la plateforme Facebook depuis son lancement en 2007. À l’époque, le fondateur Mark Zuckerberg avait mis beaucoup d’espoir sur les fameuses applications tierces développées sur Facebook. Avec le temps, elle se sont avérées envahissantes, encombrantes et promptes aux abus des renseignements privées des utilisateurs.

Facebook Connect sur le site Huffington Post

Comment transformer les renseignements personnels en profits?

Les revenus projetés pour Facebook en 2010 sont estimés à 710 M$ USD. La majeure partie de ces revenus proviennent des annonces placées sur le site par les partenaires commerciaux.

La mauvaise nouvelle : le trafic sur les médias sociaux augmente mais la proportion des usagers qui cliquent sur ces annonces diminue.

La bonne nouvelle : Facebook tient un AS dans sa manche et elle se prépare à mettre carte sur table : La revente stratégique des renseignements personnels à travers des partenariats.

Le 2 décembre dernier, Facebook et Yahoo ont annoncé une entente afin d’intégrer l’authentification via Facebook Connect sur plusieurs services en ligne de Yahoo. L’entente semble banale à première vue mais les motivations derrière celle-ci sont très intéressante. Yahoo compte utiliser les données personnelles des usagers qui authentifieront via Facebook Connect afin de leur présenter du contenu publicitaire adapté à leur profil social. À titre d’exemple, si vous poster constamment des vidéos de golf et que votre statut fait état de votre prochain départ, Yahoo vous présentera des publicités en relation avec vos intérêts (le golf…).

Qui sont les gagnants? A peu près tout le monde puisque les annonceurs vont profiter d’un auditoire plus pertinent, Yahoo pourra charger une surprime pour ce service à valeur ajoutée et Facebook engrangera des profits importants et s’imposera encore plus en tant que maître de l’identité personnelle sur Internet.

Jonathan Hamel est président @ G-NeTiX et fondateur de Add.ly, premier service d’annonces classées entièrement basé sur Twitter

Suivez-le sur Twitter

Twitter piraté… encore une fois!

labs — Fri, 17 Jul 2009 02:06:55 +0000

Le populaire site de MicroBlogging Twitter a été encore une fois la cible de pirates qui ont réussit à accéder à des données sensibles de l’entreprise. Ceux-ci auraient utilisés une technique simple qui consiste à essayer successivement plusieurs mots de passe pour finalement tomber sur un mot de passe fonctionnel du compte Gmail personnel d’un employé donnant du même coup accès à Google Apps et ses documents privés concernant Twitter.

Selon Associated Press, les pirates auraient prétendu avoir eu accès à des données internes telles des projections de revenus, des salaires d’employés, des curriculums vitae ainsi que des procès-verbaux de réunion exécutive.

Le site TechCrunch qui aurait reçu les informations de la part des pirates, a dévoilé une certaine partie de celles-ci : l’entreprise de 65 employés aurait des revenus planifiés de 400 000$ pour le premier trimestre alors que les prévisions pour l’an prochain dépassent les 145 millions et 345 employés. Le plus intéressant est certainement un « pitch » concernant un projet de « Reality-Show » nommé Final Tweet. Dans un billet publié sur son blog, le cofondateur de Twitter, Biz Stone, affirme que l’entreprise a confié le dossier entre les mains de ses avocats afin d’indentifier les actions possibles non seulement contre les pirates mais également contre ceux qui ont diffusés les informations dérobées.

Document interne de Twitter – Source : TechCrunch

L’événement a suscité les passions sur le Web puisque apparement, le mot de passe de l’employé en question était « password », un mot générique couramment utilisé dans les « attaques dictionnaires ».

Au delà de l’aspect de la vie privée, l’incident fait réfléchir sérieusement sur l’attitude sécuritaire à adopter en utilisant des services Web corporatifs hébergés, également connu sous le terme « Cloud Computing ». Maintenant que des milliers d’entreprises publient des informations très sensibles sur des sites Web privées, il est de plus en plus important d’opter pour une stratégie de mot de passe solide. Il est recommandé d’utiliser des mots de passe générés au hasard contenant au moins 6 caractères avec des lettres, chiffres et caractères spéciaux. Un tel mot de passe est pratiquement impossible à déchiffrer à moins qu’il soit compromis.

Suite à cet incident, le troisième du genre cette année, Twitter à décidé d’implanter une telle stratégie à l’interne.