OpenID
OpenID est un système d’authentification décentralisé qui permet l’authentification unique, ainsi que le partage d’attributs. Il permet à un utilisateur de s’authentifier auprès de plusieurs sites (devant prendre en charge cette technologie) sans avoir à retenir un identifiant pour chacun d’eux mais en utilisant à chaque fois un unique identifiant OpenID. Le modèle se base sur des liens de confiance préalablement établis entre les fournisseurs de services et les fournisseurs d’identité (OpenID providers). Il permet aussi d’éviter de remplir à chaque fois un nouveau formulaire en réutilisant les informations déjà disponibles. Ce système permet à un utilisateur d'utiliser un mécanisme d'authentification forte[1].
Adoption
De nombreux sites ont adopté OpenID, soit comme simples services, soit comme fournisseurs d’identité (voir listes plus loin dans cet article).
Le , Yahoo a officiellement annoncé l’adoption de ce standard, pour ses 248 millions de comptes.
Le , la fondation OpenID a annoncé qu’IBM, Microsoft, Google, Yahoo et Verisign rejoignaient son conseil d’administration[2].
Le , le réseau social MySpace adopte l’OpenID, mais n’accepte que les identités créées sur ce même site.
Le , la société Microsoft a annoncé une nouvelle plate-forme — de nom de code « Geneva » — qui permet de se reposer sur le mécanisme OpenID[3].
Le , la plate-forme en ligne de partage et de visionnage de vidéos Dailymotion annonce la possibilité d’utiliser OpenID pour s’authentifier sur le site. Cependant, le , le site annonce par courriel à ses utilisateurs qu'il abandonne OpenID, et que ceux-ci doivent se créer un compte avec mot de passe.
Le , le réseau social Facebook propose à son tour la possibilité de s’identifier avec OpenID.
Le , le gouvernement des États-Unis adopte le standard OpenID pour l'administration en ligne[4].
Les Fondations OpenID (OIDF)
La Fondation OpenID (aux USA) (OIDF) gère et organise l’ensemble de la communauté OpenID. Il s’agit d’une « organisation à but non lucratif » créée en , basée dans l’Oregon et constituée d’un conseil de direction de 8 membres.
Principaux Membres dirigeants
- Brian Kissel (Janrain), Chairman
- Chris Messina (Google), Secretary
- David Recordon (Facebook)
- Joseph Smarr (Google)
- Snorri Giorgetti (OIDE)
- Nat Sakimura (NRI), Vice-Chair
- Don Thibeau CEO OpenID Foundation.
Entreprises
Depuis sa création de nombreuses entreprises ont rejoint la fondation[5] :
OpenID Europe (OIDE)
OpenID Europe[6], a été établie le 01/05/2007[7], déclaré auprès du Préfet de Paris en Préfecture de Police de Paris le 01/06/2007 et déclarée au paragraphe 1547 du Journal Officiel de la République française concernant les lois et décrets relative aux associations, associations syndicales de propriétaires et aux fondations d’entreprise sous le numéro de parution : 20070025[8] en date du 10/09/2007. OpenID Europe dispose du numéro INSEE[9] (SIREN) 500 122 379. Il s’agit d’une fondation internationale à but non lucratif dont la mission est de soutenir et d’organiser le développement du modèle OpenID en Europe et de gérer sa propriété intellectuelle. Elle dispose d’un membre (personne physique) représentatif dans chaque pays européen mais permet à quelques entreprises de siéger à son directoire. En 2019, la fondation change de dénomination[10] pour devenir la Wimbi Foundation[11] et oriente ses missions en faveur de l'écologie et principalement la protection des océans. Elle dispose d'un numéro RNA : W751181636[12]
Autres Fondations
- Belgique : OpenID Belgique
Il s’agit d’une organisation internationale à but non lucratif (AISBL, Association Internationale Sans But Lucratif, selon la loi belge) dont la mission est de soutenir et d’organiser le développement du modèle OpenID en Belgique et partout en Europe.
- Suisse : OpenID Switzerland
OpenID Switzerland[13], fondée le à Zurich, est une association[14] à but non lucratif.
- membres dirigeants : Robert Ott (Vice-president) et David Reindl (Secretary)
- représentants : Robert Ott (Swiss German Area Delegate), Sylvain Maret (Swiss French Area Delegate) et Andrea Chiodoni (Svizzera di Lingua Italiana)
Fonctionnement
Acteurs
Le fonctionnement du protocole OpenID distingue plusieurs acteurs.
- L’utilisateur est la personne qui — par le biais d’un logiciel client comme un navigateur web — souhaite s’identifier à un service.
- Le fournisseur de service (en abrégé, RP, pour Relying Party) exige une preuve de l’identité de l’utilisateur. C’est un site web, un service web…
- Le fournisseur d’identité (OpenID Provider, ou OP, ou IdP, ou IP ou juste provider) est un serveur d’authentification OpenID qui est contacté par le service pour obtenir une preuve de l’identité de l’utilisateur.
Création d’un compte
Chaque utilisateur est identifié par une URI, qu’il acquiert auprès de son fournisseur d’identité OpenID. Le mode de fonctionnement est le suivant :
- L’utilisateur choisit un fournisseur d’identité, par exemple VeriSign (nom du serveur :
pip.verisignlabs.com
). - L’utilisateur choisit un nom d’utilisateur (
x
pour l’exemple), un mot de passe, et crée son compte. L’utilisateur peut renseigner certaines informations le concernant. Ce compte aura pour identifiant OpenIDx.pip.verisignlabs.com
. Le profil de l’utilisateur est également disponible à cette adresse.
Utilisation d’un compte
Le mode de fonctionnement est le suivant :
- L’utilisateur
x
désire, par exemple, accéder au service UnServiceWeb qui requiert que l’utilisateur soit authentifié. - L’utilisateur entre son identifiant :
x.sous.domaine.com
. - Le fournisseur de service (UnServiceWeb dans notre cas) contacte le fournisseur d'identité et ils créent ensemble un secret partagé.
- L’utilisateur est redirigé vers le site du fournisseur d'identité et entre son mot de passe pour s’authentifier.
- L’utilisateur est alors averti que UnServiceWeb souhaite avoir accès à certains attributs de son profil OpenID (par exemple, son nom, prénom, et son adresse de courriel), et accepte ou non cette demande.
- L’utilisateur est redirigé vers le fournisseur de service avec une preuve cryptographique de son identité (créée grâce au secret partagé préalablement établi) fournie par le fournisseur d'identité et est authentifié.
Tant que la session de l’utilisateur est active, il pourra être reconnu automatiquement sur les autres sites utilisant OpenID grâce au mécanisme de l’authentification unique.
Implémentation
Clients OpenID
Extensions OpenID pour les serveurs web
- Java : NetMeshInfoGrid LID
- NET : DotNetOpenAuth (client et serveur)
- Perl : Net::OpenID::Server[17]
- PHP : openid, NetMeshInfoGrid LID, phpMyID, Clamshell, SimpleID
- Python : DjangoID, PyBlosxom
- Ruby : HeraldryPIP
- Apache : HTTPD Apache Mod_OpenID
- Node.js : oidc-provider
Services web compatibles avec OpenID
liste non exhaustive
- AdBrite (régie publicitaire)
- AlterBoutique[18]
- AOL
- Bigpoint
- Chiliproject
- Ciudad.com
- commonbox
- Darkorbit
- diigo.com
- DJRadioblog
- Doodle.com
- Drupalfr
- Gitorious
- Identi.ca[19]
- LifeRay
- LiveJournal
- Movable Type (moteur de blog)
- mozillalabs.com
- MySpace
- oliquide.com[20]
- OpenStreetMap
- Online Cronjobs
- ontext.info
- Passpack Password Manager
- plaxo
- Redmine
- Slashdot
- SourceForge.net
- Stack Exchange
- Sur-la-Toile.com
- The west
- Toodledo
- unfuddle
- vinismo
- Wikitravel
- Windows Live
- WordPress.com
- le site de l’assurance qualité du W3C
Fournisseur d'identité - IDP
Une liste de serveurs permettant de créer un compte OpenID se trouve sur le wiki d’OpenID[21]. Parmi ceux-ci :
- GetMyOpenID.com
- GetOpenID.com (arrêté le )
- Google (qui cependant n'accepte plus OpenID 2.0, pourtant encore utilisé par nombre de sites ; Google demande de changer de fournisseur ou d’adopter un protocole plus sécurisé supportant l'authentification en deux étapes de type OTP : OpenID 2.0 doit être remplacé par OpenID Connect mais Google ne fournit plus cette identité lui-même)
- Launchpad et Ubuntu (services fusionnés avec une identification unique)
- MyID.net (arrêté en 2013)
- openid.labsfr.fr
- Orange
- OpenIdissimo
- VeriSign
- Yahoo
Sécurité des identités numériques
OpenID peut être couplé à un système d'authentification forte. Cela assure une meilleure protection contre l'usurpation d’identité numérique.
Notes
- Strong authentication and single sign-on for mobile apps with OpenID Connect ()
- (en) Evolving the OpenID Foundation Board sur le site openid.net
- (en) Annonce sur le site NetworkWorld « Copie archivée » (version du 23 juillet 2018 sur l'Internet Archive).
- (en) OpenID and Open Government.
- (en) Microsoft News, « Technology Leaders Join OpenID Foundation », sur microsoft.com,
- (en) OpenID Europe Foundation.
- Net1901.org, « OPENID EUROPE FOUNDATION », sur net1901.org
- « Recherche | Associations | journal-officiel.gouv.fr », sur www.journal-officiel.gouv.fr (consulté le )
- « Avis de situation au répertoire Sirene », sur avis-situation-sirene.insee.fr (consulté le )
- Journal Officiel de La République Française, « Annonce n° 1122 », Mensuel, (lire en ligne)
- Gouvernement, « Annonce au Journal Officiel », sur journal-officiel.gouv.fr, (consulté le )
- BFM, « Informations générales sur WIMBI FOUNDATION », sur verif.com
- OpenID Switzerland
- OpenID Schweiz association
- OpenID.tm.fr.
- https://metacpan.org/module/Net::OpenID::Consumer
- https://metacpan.org/module/Net::OpenID::Server
- https://www.alterboutique.com
- http://identi.ca/main/openid
- https://www.oliquide.com
- « wiki d’OpenID »(Archive • Wikiwix • Archive.is • Google • Que faire ?)
Voir aussi
Liens externes
- (en) OpenID.net Site officiel de la fondation américaine
- (en) Extension OpenID pour MediaWiki
- Portail de la sécurité informatique