Menace sur le standard de l’identité numérique
Plusieurs spécialistes remettent de plus en plus en cause la technologie OpenID, qui permet à un internaute d’utiliser un seul identifiant pour l'ensemble de ses comptes Internet.
L’identité OpenID présente des risques, comme toutes les autres applications dépendant des serveurs qui gèrent les noms de domaine (DNS), victimes d’une faille sécuritaire majeure il y a quelques mois. Voici en substance la mise en garde d’un expert en sécurité de Sun Microsystems, relayée par le site spécialisé dans l'actualité du numérique ZDNet.
Le principe de l’OpenID est simple: permettre à l’internaute de s’authentifier auprès de plusieurs services web en ligne - ayant tous adopté cette technologie - en utilisant un seul et même identifiant. Une technologie jugée jusqu'à présent simple et fiable, à tel point que cette dernière a été adoptée par des acteurs majeurs du Net comme Google, Yahoo!, Microsoft ou IBM.
Outre Sun, qui développe un identifiant concurrent, des spécialistes des laboratoires de l’Université de Cambridge confirment également l’existence de risques. Selon ces universitaires, plusieurs adhérents du système OpenID se servent de certificats utilisant des clés privées insuffisamment sécurisées. Ils laisseraient la place à des attaques de «cache poisoning», où un pirate fait passer un serveur pour un fournisseur OpenID de bonne foi.
laf