Symeos est une société clermontoise dont nous avions évoqué la solution de gestion des identités web dans un précédent article.

Pour cet outil, l’éditeur a fait le choix de la fédération des identités, associée à SAML, plutôt que d’OpenID. Or ce dernier semble pourtant plus adapté à une utilisation sur le web. Nous avons alors demandé à Hervé Prot, son Président, ce que Symeos reproche à OpenID. Ses critiques portent sur cinq points essentiels :

1. Trop de centralisation. D’après Hervé Prot, OpenID « revient à mettre tous ses oeufs dans le même panier. Nous estimons qu’il est plus sage de fédérer plutôt que centraliser », explique-t-il. Pour lui, la centralisation à l’extrême d’OpenID représente le maillon faible du dispositif. « Dès lors que je suis dépendant d’un seul fournisseur d’identité, ce dernier devient un Single Point of Failure », poursuit le patron de Symeos.

2. Pas de tiers de confiance. « Tout le monde peut créer un serveur OpenID et commencer à collecter des identités. Sans possibilité de contrôle, il n’y a pas de notion de confiance possible, à l’image de ce que l’on peut trouver avec les certificats », poursuit Hervé Prot. Pour Symeos, il serait certes envisageable de créer un système de certification de « petits » serveurs OpenID par ceux de grands noms reconnus, mais cela rendrait le système plus complexe à l’utilisation.

Pourtant, à défaut de pouvoir avoir confiance en son fournisseur d’identité, se pose alors la question de la responsabilité : « Si je suis commerçant et que je subis une fraude à l’identité avec un identifiant OpenID, contre qui dois-je me retourner ? », s’interroge Hervé Prot.

3. Confusion entre SSO et identifiant unique. D’après le patron de Symeos, OpenID aurait tendance à mélanger la fonction de web Single Sign On (qui apporte un véritable service d’authentification) et le simple identifiant unique centralisé (qui est purement pratique).

4. Pas d’authentification forte. Corollaire de l’argument précédent, Hervé Prot reproche à OpenID l’absence de mécanisme d’authentification forte par défaut. A noter toutefois que Sylvain Maret, membre de SecurityVibes, a réalisé une maquette d’authentification forte biométrique sur OpenID.

5. Une identité unique. « Celui qui fournit un identifiant OpenID est en mesure de suivre sans difficulté l’activité de son utilisateur à travers les différents sites où il utilisera son identifiant. Or il me semble important de pouvoir disposer sur internet de multiples identités non corrélées entre elles », poursuit Hervé Prot.

Rien n’empêche, cependant, de se créer plusieurs identités OpenId auprès de différents fournisseurs, voire de gérer son propre serveur OpenID grâce, justement, à l’absence de tiers de confiance en la matière !

Malgré ces critiques, il convient de garder à l’esprit q’OpenID n’est pas un protocole destiné à une utilisation sécurisée. Un comparatif détaillé de SAML et OpenID montre pourquoi il faudra préférer SAML lorsque le besoin de sécurité est important. OpenID a pour lui, en revanche, la simplicité.

Une autre approche intéressante pour comparer OpenID et SAML consiste à aborder les deux protocoles sous l’angle de la confiance qu’un fournisseur de service (SP/RP) exige dans l’identité de son utilisateur et du niveau de sécurité qu’il demande dans le cadre de la transaction. Le graphique suivant illustre cette idée, et le post dont il est issu fera une lecture intéressante.