A l’occasion de la RSA Security qui se tient actuellement à San Francisco, Microsoft a annoncé son soutien au protocole d’authentification Open Source OpenID 2.0.
Microsoft propose son propre protocole baptisé CardSpace, en particulier intégré dans Windows Vista. Ainsi une identité créée avec OpenID sera compatible avec le système de Microsoft. L’éditeur a indiqué par ailleurs qu’il allait annoncer en mai prochain un système de gestion des identités (ILM ou Identity Lifecycle Manager 2007) basé sur la gestion des certificats et dans l’optique du remplacement du fameux couple identifiant/mot de passe souvent assez facile à percer.
Sur ce point, une étude réalisée par l’Université du Maryland à démontrer que la faiblesse des mots de passe facilitait le travail des pirates informatiques.
L’étude, réalisée par un professeur de l’université du Maryland en décembre dernier, a consisté à mettre en ligne pendant 24 heures quatre serveurs Linux doté de mots de passe faibles pour observer les attaques. Ils ont dénombré ainsi 270 000 tentatives d’intrusions soit une toutes les 39 secondes. En utilisant des outils qui aident à trouver les mots de passe, cette étude à montré que les pirates utilisent les mots les plus courants pour se loguer aux systèmes. Ils utilisent en particulier des dictionnaires qui balayent les listes de noms d’utilisateurs et de mots de passe couramment utilisés pour s’introduire dans un système et 825 attaques ont réussi. Parmi les mots (anglais) utilisés, on peut citer root, test, guest. Dans 43 % des cas, le dictionnaire a utilisé le même mot comme nom d’utilisateur et mot de passe. La raison en est que les pirates utilisent d’abord les combinaisons les plus simples.
Une fois entrés dans le système, les pirates mènent souvent les mêmes tâches, telles que vérifier les configurations logicielles, changer les mots de passe, vérifier les configurations du matériel, télécharger des fichiers, installer les programmes téléchargés…
Parmi les recommandations, utiliser un mot de passe d’au moins 8 caractères avec au moins un en majuscule (ou minuscule), avec l’utilisation des caractères de ponctuation. Sachant que les caractères doivent être changer tous les six mois. A l’inverse, les utilisateurs choisissent parfois des mots de passe si compliqués qu’ils les écrivent sur un papier collé sur l’écran de leur ordinateur.
Interopérabilité OpenID et CardSpace
L’annonce faite par Bill Gates et Graie Mundie, directeur de la recherche et de la stratégie et responsable de la sécurité, est plutôt une bonne surprise. Car il encore peu, les deux principaux protagonistes laissaient ne pas espérer une telle issue. Kim Cameron, responsable de l’offre gestion d’identité chez Microsoft et de CardSpace en particulier indiquait que OpenID était moins sûr et qu’il pouvait en résulter des failles. C’est là le débat sur le niveau de sécurité garanti par les modèles décentralisé et utilisant une URL comme identifiant sur lequel est bâti OpenID.
Aujourd’hui, divers acteurs dans le domaine de la gestion des identités - JanRain, Microsoft, Sxip, Verisign - vont travailler afin d’assurer l’interopérabilité entre CardSpace de Microsoft et OpenID.
Deux systèmes ou modèles s’opposent dans le domaine de la gestion des identités : les uns sont orientés utilisateurs (user-centric identity), les autres sont pilotés par des institutions. OpenID appartient à la première catégorie et semble connaître un développement significatif, notamment grâce à des mises en œuvre permettant de créer une identité assez facilement et à la multiplication des sites utilisant ce système.
Au-delà de l’utilisation d’un URL comme moyen d’identification, OpenID est un système dont l’utilisation est décentralisée et dont le coût de mise en œuvre serait inférieur aux autres systèmes existants. La décentralisation implique que l’utilisateur peut faire appel à différents fournisseurs et qu’il peut héberger sont propose serveur OpenID, indépendamment de toutes organisations. Parmi les fournisseurs récents, on peut citer Yahoo, qui propose son service en ligne idproxy.net.
Windows Vista intègre CardSpace
CardSpace est un nouveau système de gestion des identités intégré dans Windows Vista qui permet aux utilisateurs de gérer eux-mêmes leurs identités numériques. Le système se présente sous une interface simple qui s’apparente à un gestionnaire de cartes de visites. Sachant qu’un utilisateur peut se créer différentes identités en fonction du domaine dans lequel il évolue : personnel, personnel administratif… CardSpace permet de sécuriser les différentes identités grâce à l’utilisation d’un code PIN (Personal Identification Number).
L’accès à l’espace CardSpace paralyse totalement le reste du bureau en vue d’empêcher toute interaction avec d’autres applications, par exemple des chevaux de Troie ou des Keyloggers. CardSpace permet d’accéder à des identités stockées soit un serveur ou en local. Dans ce dernier, il permet d’accéder à plusieurs services avec un seul couple identifiant/mot de passe. CardSpace a été repris par la communauté Open Source, en particulier la Fondation Eclipse qui a lancé le projet Higgins. |