Tribune : ‘Veuillez renseigner les champs suivants : nom, prénom, adresse, identifiant, mot de passe’ – Et en échange j’ai combien ?

Par John Fontana – Directeur Marketing et Evangéliste de Ping Identity

Aujourd’hui, au lieu de demander aux utilisateurs de saisir leur nom et mot de passe ??? ou tout autre complément d’informations concernant leur identité ??? les sites Internet pourraient tout simplement crier « Haut les mains ! ».

D’après Bob Blakley, Director of Security Innovation de Citigroup, cette situation est révélatrice d’une faille fondamentale. L’échange d’information concernant les identités devrait se dérouler comme une « négociation » et non comme un « hold-up ».

L’aspect le plus important de cette approche réside dans le fait qu’une négociation contractuelle doit avoir lieu avant tout comme un échange de biens précieux. Si c’est effectivement le cas sur n’importe quel marché, ce n’est pas ce qui se passe dans le monde de l’identité. En partant du principe que les informations concernant les identités ont de la valeur, il convient d’aborder cette question de la même manière que notre économie actuelle gère les autres échanges de biens.

Imaginons qu’au lieu de saisir un nom et un mot de passe, l’internaute fournit au site Web les coordonnées d’un intermédiaire qui gère les informations relatives à son identité. Le site contacte l’intermédiaire en question et lui fait une offre. L’utilisateur final peut alors accepter de fournir ses informations à un certain prix, refuser en bloc de traiter avec le site, ou accepter de céder tout ou une partie de ses données d’identité en échange de l’utilisation du service ou du site Web.

L’idée est d’instaurer une négociation entre pairs, et non d’initier un acte de répression. Le fait de transmettre les coordonnées d’un intermédiaire en lieu et place de données peut résoudre nos problèmes actuels et permettre de créer une interface unique pour l’enregistrement et l’authentification.

Dans la situation actuelle, les sites Web détiennent le pouvoir. Les internautes acceptent des contrats implicites lorsqu’ils visitent un site Web, mais il s’agit bel et bien d’un accord unilatéral.

Les utilisateurs doivent considérer les données relatives à leur identité comme un actif précieux et les traiter comme s’il s’agissait d’argent, de diamants ou de tout autre objet de valeur.

Une fois négociés, les contrats pourraient inclure des restrictions quant à la façon dont le site contacté entend exploiter les informations des utilisateurs. Cette solution éviterait le problème majeur que représente l’utilisation de données d’identité par des annonceurs tiers, sans l’aval de leur propriétaire.

Il n’est pas nécessaire de refondre entièrement l’infrastructure, il suffit de la compléter côté client par une nouvelle interface de programmation (API) intégrant de nouveaux protocoles ouverts, tels qu’OAuth.

Formuler explicitement un accord pour l’utilisation de données est un signal très fort. Aujourd’hui, le consentement implicite prévaut, ce qui n’est pas sans risque sur le plan juridique.