Microsoft : certifiez-vous les uns les autres
San Francisco, RSA Conference : « Imaginez », explique Steve Lipner, Director of Security Engineering Strategy de Microsoft, " Imaginez que vous laissiez, comme chaque jour, votre enfant à la garderie locale et que vous ayez la possibilité de vérifier, via Internet, si les personnes pouvant pénétrer dans le périmètre de l'établissement sont bel et bien des gens appartenant au service. Imaginez que votre fils de 17 ans, surfant sur le Web, puisse voir ses accès à certains sites bloqués sur réception d'un certificat ne certifiant que son âge, et rien d'autre. Cette vision, ce projet, nous l'avons appelé « end to end trust » ». Des propos repris, à l'occasion d'une réunion plénière de la RSA Conference, par Craig Mundie, Chief Research and Strategy Officer du groupe. Qu'est-ce que cet « end to end trust » ? Avant tout, la volonté de pouvoir inféoder toute action importante ou nécessitant un certain degré de sécurité, à l'approbation d'un échange de certificat. Si les moindres processus du futur Windows « Seven » sont garantis par un tel mécanisme, pourquoi les multiples actions de notre vie ne le seraient pas elles aussi ? En ces temps où le vol d'identité et l'usurpation de « preuves » numériques font la hune de tous les quotidiens en ligne, cette proposition revêt un certain intérêt. Intérêt d'autant plus grand que, une fois n'est pas coutume, personne, chez Microsoft, ne lie cette annonce d'intention avec un développement stratégique. Histoire d'écarter toute accusation de bigbrotherisme, histoire aussi, probablement, de s'attirer la sympathie des associations de défense des libertés individuelles. Il s'agit là, précise Doug Leland, General Manager de la division Identity and Access, de lancer à cette occasion un formidable appel à participation, afin de réunir les opinions de chacun : usagers potentiels, institutions gouvernementales, associations, industriels... L'utilisation de ces certificats, les problèmes liés à leur répudiation, ceux générés par leur gestion ou leur usage abusif, les considérations financières que l'on retrouve dès lors que l'on doit trouver un bailleur de fond ou une entité responsable de la tenue des formidables bases de données qu'une telle initiative sous-entend... tout çà doit être discuté. Le socle de cet « appel à contribution » est brossé à grands traits dans un document d'une vingtaine de pages rédigé par Scott Charney, précédé par un article liminaire. Pourtant, bien qu'une page du site Microsoft invite toute personne à donner son avis à propos d'un tel projet -avis ironiquement inféodé à une inscription préalable sur Live ID-, cette initiative ne peut faire oublier d'autres idées du même genre qui, en d'autres temps, ont connu un sort plus funeste. Ainsi Microsoft Passport, cette « carte d'identité numérique universelle et mondiale », qui fut rejeté. Par l'opinion publique tout d'abord, qui, légitimement, craignait que soient compromises par un simple hack les identités ainsi récoltées. L'avenir prouvera qu'effectivement ce qui est devenu désormais LiveID a connu quelques sérieux problèmes de jeunesse. Par les institutionnels, ensuite, qui ont immédiatement saisi l'importance des moyens, tant financiers qu'humains, qu'il aurait fallu mettre en oeuvre pour qu'un tel « passeport numérique » puisse devenir réalité. « Effectivement, l'initiative End to End Trust ne peut se faire sans l'approbation et la participation active de tous, à commencer par les instances gouvernementales, les associations, les corporations de tous types » reconnaît Doug Leland. Passeport, sous sa forme originelle, fut un flop retentissant. Tout comme fut un autre flop retentissant une idée semblable émise par le « bon docteur Schmidt », alors patron de Novell, et qui fit un court bout de chemin sous le nom de « Digital Me ». Là encore, il s'agissait d'établir une carte de crédences multi-services, ou informations médicales, fiscales, scolaires, professionnelles... de quoi faire s'arracher les cheveux d'un Monsieur Cnil des temps modernes, tant les implications et les contraintes de gestion sont complexes. A lire, à méditer, à débattre.Dans dix ans, dans vingt ans, peut-être, maîtriserons-nous les mécanismes techniques et sociologiques qui nous permettront de jouer avec ce feu identitaire et numérique.