Current location:	Paris
Entry tags:	onlineidentity, openid, openidfrance, traduction

Peter Nixey : "Comment OpenID changera votre site ?"

Avertissement : Ceci est une traduction en cours publiée sous Fair-Use dédiée à soutenir l'effort de production documentaire pour le groupe OpenID-France. Vous pouvez aider à raffiner le contenu en cliquant sur ce lien pour éditer directement le html sur la page miroir de mon wiki-personnel. D'avance merci de votre contribution. -- xtof

Peter Nixey écrivait le 6 novembre dernier sur Vitamin : How will openID change your site?

Comment OpenID changera votre site ?

OpenID promet beaucoup - tout simplement un nom d'utilisateur et un mot de passe pour la vie — mais est-ce que ce peut être livré ? Peter Nixey est l'homme pour vous le dire. Sa startup Clickpass fait tout pour porter OpenID aux masses et il écrit à propos du coût de l'enregistrement, de la fraude et plus encore.

Après trois mois passés à San Francisco, je suis récemment revenu à Londres pour voir mes amis et ma famille. Avec quelques semaines disponibles, je me suis retrouvé à réserver des dîners avec de vieux amis. Je suis un grand fan des offres sur Top Table et avec mon oeil sur une jolie petite brasserie dans Hampstead, je savais que j'avais suffisamment de points pour faire en sorte qu'un de mes repas durant ce voyage soit gratuit.

Ou tout du moins je pensais que je le pouvais, mais après tant de mois à l'extérieur, j'avais oublié mon mot de passe pour revenir sur le site. Non seulement ça, mais je m'étais enregistré avec une vieille adresse e-mail et je ne pouvais même pas récupérer le mot de passe. Pour un mot de passe, moi, mes pages vues et mes commissions étaient perdues.

Les noms d'utilisateurs et les mots de passe sont partout. Dans un Web qui devient de plus en plus spécialisé et mixé, là où le stockage provient en-masse d'Amazon, la vidéo de YouTube, les cartes de Google, la présence de MyBlogLog et le partage de del.icio.us, une dernière fonctionnalité demeure maladroite et locale : le login. (NDT l'identification, la connexion)

Enregistrement :

Une fonctionnalité simple et omniprésente qui coûte aux utilisateurs de sites web, à beaucoup d'utilisateurs. France Telecom a produit récemment une recherche complète sur le sujet et trouvé qu'à chaque nouvel écran présenté durant l'enregistrement, 50% des utilisateurs abandonnent et partent ailleurs.

Ceci fait des écrans d'enregistrement une section très coûteuse de votre site web. Ainsi vous avez construit un superbe nouveau service et dépensé une fortune à le publiciser sur Google pour obtenir peut-être un millier de clics. Parmi ceux-là, peut-être qu'une centaine se laisseront suffisamment impressionner par votre service pour parvenir à cet écran critique d'enregistrement. Demander à l'utilisateur un identifiant et un mot de passe, confirmer son email et vous avez tout bonnement perdu 75 d'entre eux.

Le simple acte d'enregistrement a simplement multiplié votre coût d'acquisition client par un facteur de quatre. Vous débarrasser du processus rendrait votre publicité quatre fois plus efficace.

Même une fois l'utilisateur enregistré, l'écran de login continuera tout comme vous à le hanter. Jusqu'à 80% des appels sur les centres d'appels proviennent d'utilisateurs demandant des réinitialisations de mots de passe et chacun de ces appels coûte en moyenne 30$ à traiter.

La pénibilité de s'enregistrer et de s'identifier est à la fois considérable et coûteuse. Néanmoins durant les deux dernières années, un protocole a émergé pour résoudre ce problème, un protocole qui montre les premières lueurs d'espoir de pouvoir le résoudre : OpenID.

OpenID, le HTML de l'identité

En 1990, Tim Berners Lee a produit l'énorme simplification que la plupart de l'information dont avait besoin les gens pour l'accès pourrait être encodée dans le bon vieux HTML. L'"Information" est aussi vaste qu'une catégorie de données et elle peut être encodée dans bon nombre de formats différents : xml, pdf, jpg et texte en clair étant simplement quelques formats. En faisant cette simplification extrême, Tim Berners Lee mettait le doigt sur le coeur du problème et posait les fondations pour la profondeur et la complexité du web qui existe aujourd'hui.</p>

Il y a deux ans, Brad Fitzpatrick de Six Apart produisait la même simplification pour l'identité. L'identité est une bête complexe et amorphe. Qui êtes vous, quelles qualifications avez-vous, qui peut les vérifier et comment puis-je avoir confiance ? Quelle est votre réputation, qui sont vos amis et êtes-vous vraiment mon cousin issu de germain ?

Ce sont des questions très difficiles à structurer et à répondre en programmation, et tout comme l'encodage de document, trop difficiles à résoudre en un seul coup. Brad a proposé une solution pour une question différente et bien plus simple — êtes-vous le même utilisateur qui était sur mon site la semaine dernière ?

Souvenez-vous de moi ... pour toujours

En son coeur, tout OpenID se soucie de dire à un site web que vous êtes la même personne, le même utilisateur que vous étiez la dernière fois que vous l'avez visité. Un peu comme un cookie que vous charriez avec vous et déposez à l'intérieur de n'importe quelle machine que vous utilisez — "souvenez-vous de moi pour toujours". OpenID vous donne, à vous propriétaire du site, l'opportunité de personnaliser et adapter vos contenus à plus d'utilisateurs.

Comment ça marche ?

Par essence, OpenID permet à un site de ferrouter (NDT piggy-back) une session authentifié à partir d'un autre site web. Je me connecte à mon fournisseur OpenID (par ex. Clickpass.com, la startup que j'ai fondée), de saisir mon URL OpenID et de créer une session là. Quand je veux utiliser un autre site (par ex. le Basecamp de 37 Signals), au lieu de lui donner mon nom d'utilisateur et mon mot de passe, je luis donne mon URL OpenID.

Basecamp a alors un mot rapide avec Clickpass et demande si j'ai déjà ouvert une session authentifiée. Si c'est le cas, il me connecte à l'intérieur de Basecamp et crée une nouvelle session authentifiée pour lui même et si ce n'est pas le cas, il me renvoie chez Clickpass pour me connecter.

L'hôtesse du vestiaire WWW

Vous pouvez imaginer OpenID comme étant un peu les tickets qu'utilise l'hôtesse au vestiaire. Quand vous laissez votre manteau au vestiaire d'une boîte de nuit, elle déchire un ticket de sa souche, en épingle une moitié sur le manteau et vous donne l'autre moitié. Quand vous voulez récupérer votre manteau, vous lui restituez la moitié du ticket, elle retrouve le manteau qui correspond et vous le redonne.

OpenID fait exactement la même chose avec un site web. Vous allez sur un site web, et lui donnez une copie de votre URL OpenID qu'il épingle à votre compte. La prochaine fois que vous revenez, vous le flashez avec votre OpenID, il vérifie le compte qui lui correspond, fait une vérification rapide pour s'assurer que vous êtes vraiment le propriétaire et vous laisse rentrer.

Votre utilisateur ou le mien ?

Ainsi si OpenID connecte l'utilisateur dans votre site, alors qui le possède exactement ? Est-ce que cet utilisateur est en fin de compte un utilisateur du fournisseur OpenID ou du site web lui-même.

Un bon endroit à étudier pour une réponse à cela est Evite.com. L'une des raisons pour lesquelles Evite a tant de succès est qu'il n'oblige pas les personnes à créer des comptes afin de voir leurs invitations. Le fait de cliquer sur un lien personnalisé qui vous a été envoyé dans un courrier électronique Evite est la preuve que vous possédez l'adresse email et cela vous connecte directement dans Evite.

Evite déroute l'authentification à partir de vote compte email. Néanmoins, il est clair que c'est Evite, plutôt que Hotmail ou GMail, qui possède l'utilisateur. De la même façon qu'Evite "ferroute" sur l'email, OpenID vous laisse "ferrouter" la session chez le fournisseur OpenID et en même temps retient la propriété de votre utilisateur. Les données qu'il saisit sur votre site sont quelque chose qui se produit entre vous et lui et rien à voir avec le fournisseur OpenID.

Les possibilités

Les conséquences de réduire la barrière à la création de compte et la connexion sur les sites web sont difficiles à mésestimer. La résistance des utilisateurs à s'enregistrer sur votre service tombe, le nombre d'utilisateurs y revenant croît et la quantité de temps que vous avez dépensée à vous souvenir pour faire ainsi s'effondre.

Avec un compte pour vous connecter à l'intérieur de tant d'endroits, l'utilisateur peut aussi maintenant se permettre d'apporter plus que simplement un nom d'utilisateur et un mot de passe à votre site et vous avez les moyens d'en demander plus. En même temps, tout en baissant la barrière pour les utilisateurs reconnus, OpenID élève la barrière à l'entrée pour vos visiteurs non désirés.

Les gens sont lassés d'avoir à prouver à eux-mêmes à nouveau et à nouveau à chaque nouveau site qu'ils visitent. OpenID ouvre la porte à l'identité portable et à ceux accumulant de la réputation et de la crédibilité qui peut ensuite être réutilisée ailleurs tout comme ils utilisent leur réputation Ebay sur les enchères. L'identité portable et la crédibilité sont à leur tour, la clé pour exiger plus de preuves de la part de vos visiteurs sur ce qu'ils disent être et à son tour cela réduit les "chargebacks", la fraude et le spam.

Un anneau pour les lier tous … et les perdre tous ?

Avec un compte pour stocker tout à l'intérieur, la réaction initiale de beaucoup de gens est qu'ils disposent désormais d'un seul endroit à partir duquel ils peuvent tout perdre. Craquez votre fournisseur OpenID et vous craquez tous les autres sites. Pouvoir être capable de rentrer dans tous les sites en utilisant un mot de passe est indéniablement attirant mais cela vaut-il la peine de laisser aussi quelqu'un d'autre le faire ?

Aires d'accès pour tous d'aujourd'hui : l'email

L'ironie est que nous faisons déjà face à la menace de la question précédente sans la commodité de l'OpenID. Déjà oublié votre mot de passe ? Comment le récupérez-vous ? Avez-vous peut-être déjà cliqué sur le bouton "rappel du mot de passe" ?

Presque chaque compte que vous avez sur le Web peut être accédé en utilisant votre compte email. Dès que quelqu'un dispose de votre compte email, il a les clés à vos autres comptes.

Le fait qu'un tiers des utilisateurs utilisent partout le même nom d'utilisateur et mot de passe, le problème est en fait bien pire que s'ils avaient obtenu l'accès par inadvertance à leurs comptes email pour chaque service sur lesquels ils s'enregistrent. Je vous demande votre nom d'utilisateur, votre mot de passe et une adresse email quand vous vous enregistrez sur GagneEncoreUnAutreIPod.com et vous me donnez les mêmes identifiants que vous utilisez pour votre fournisseur d'email et Paypal.

L'utilisateur d'aujourd'hui a tous des risques associés avec un login centralisé et aucun des bénéfices.

OpenID et le phishing (NDT : hameçonnage)

Tout comme Paypal et Google Checkout, OpenID est un protocole vulnérable aux attaques par phishing. Cliquez sur un lien subversif Google Checkout, saisissez vos détails de login Google sur le site web d'un phisher et vous avez donné vos détails sur votre compte Google et vos détails de paiement. Cliquez sur un bouton Paypal qui vous connecte vers une vitrine imitée et vous aurez cédé vos nom d'utilisateur et mot de passe Paypal.

OpenID peut être attaqué exactement de la même façon. Vous arrivez sur un site web compatible OpenID sans être connecté et vous serez re-dirigé vers votre fournisseur OpenID pour faire ainsi. Ne regardez pas trop soigneusement l'URL de cette page de connexion et vous pourriez trouver par accident que vous avez donné vos détails à quelqu'un à qui vous n'aviez pas l'intention.

Il existe différentes façons de faire qu'il soit plus difficile que cela se passe et qui puisse faire que cela soit presque impossible. Au mieux, les services OpenID comme Clickpass.com font qu'un utilisateur est bien plus en sécurité que s'il utilisait des identifiants conventionnels et produisent cela sur tous les sites que l'utilisateur visite.

Faites-vous petit

Le dernier point est très important parce qu'au moment d'être attaqué, il est toujours plus facile de défendre un plus petit endroit qu'un plus grand. Si les spiders et les aliens descendent sur vous dans un jeu vidéo (ou bien sûr dans la vraie vie), vous vous retrouvez dos au mur. Laissez les clés de votre maison sous chaque pot dans le jardin et elles seront probablement plus trouvées que si vous les laissiez sous simplement un.

Les utilisateurs web défendent aujourd'hui simultanément leur sécurité et leur privauté sur beaucoup de fronts. Pour les personnes qui utilisent partout le même mot de passe, chaque nouveau compte est un nouvel endroit pour qu'il soit compromis, chaque nouvel endroit dans lequel vous saisissez vos détails est un autre endroit à partir duquel on peu le voler.

Avec seulement un compte pour se connecter, l'utilisateur peut se permettre d'être plus soucieux sur la façon dont il le fait. Il peut utiliser l'authentification par email, les confirmations par SMS, et même des clés RSA pour sécuriser ce compte OpenID, et par association, tout autre compte vers lequel il est lié. Le pouvoir de l'authentification unique signifie que le niveau élevé d'authentification peut désormais être réutilisé et ré-exigé sur le réseau complet des sites de l'utilisateur.

Ainsi où en est-on ?

Il semblerait comme si OpenID était la drogue-merveilleuse de l'internet. Avec la puissance de faire baisser les demandes de réinitialisation des mots de passe, le spam, la fraude et la capacité d'accroître les taux de conversion, la fidélité de l'utilisateur et la sécurité, cela semble presque être trop beau pour ête vrai. Aujourd'hui malheureusement, ce l'est encore.

OpenID est totalement fonctionnel mais encore brut et trop "tricky" pour l'internaute moyen. Même si j'écris qu'il y a du changement dans l'air. Différentes startups et initiatives, y compris les specs OpenID elles-mêmes, sont en train de combler les fossés et arrondissent les angles.

L'expérience utilisateur n'est pas encore tout à fait complète mais avec des gens comme Verisign, Vidoop et notre équipe chez Clickpass en train de travailler pour résoudre les parties restantes du puzzle, l'avenir d'OpenID semble très, très prometteur.