Zoom sur Passport, le système d'authentification de Microsoft

Mercredi dernier, des représentants de Microsoft ont quitté Seattle, le temps d'un aller-retour à Washington. L'objectif de leur déplacement ? Une rencontre avec plusieurs organisations de défense des libertés individuelles manifestement en guerre contre Passport, le système d'authentification mis au point par la firme. Pour comprendre la nature de leur inquiétude mais aussi l'intérêt que peut présenter le procédé, un petit détour s'impose par les coulisses techniques de Passport.

Destiné à devenir l'un des services de l'architecture ".net" de Microsoft, Passport n'est pas une technologie très nouvelle. En 1998, Microsoft achète une société nommée Firefly, à l'origine d'un système de mutualisation de profils. Le procédé consiste à proposer aux sites Web de mutualiser la gestion de l'authentification des internautes et de leurs profils pour mettre en oeuvre une personnalisation plus fine du contenu. Les fondations de Passport sont posées. Il s'agit ni plus ni moins d'un service dit de "single-sign in", autrement dit de login unique.

Une solution de "Single Sign in"
Du point de vue l'utilisateur, le scénario se déroule ainsi: lors de sa première venue sur un site membre du service Passport, l'internaute se voit proposer de créer son compte. Un email, un mot de passe et le pays de résidence doivent être précisés. Les sites peuvent également demander d'autres informations pour préciser le profil (sexe, date de naissance mais des "questions secrètes" pour ajouter un niveau d'authentification, etc.) mais elles ne sont pas nécessaires pour activer le compte. Une fois ce dernier créé, l'utilisateur s'identifie en saisissant son identifiant et son mot de passe. Jusque là, rien d'extraordinaire.

Les choses sérieuses commencent quand cet internaute quitte ce premier site pour aller visiter un autre site membre du service Passport. Dans ce cas, il n'a pas à renouveler son identification. De manière transparente, Passport assure l'authentification auprès de tous les sites visités et équipés du système. En quelque sorte, Passport crée une session utilisateur virtuelle d'un site membre à l'autre. L'utilisateur y gagne de la souplesse: plus besoin de multiplier les mots de passe pour chaque site et de s'identifier systématiquement.

Un composant COM à installer sur le serveur
Pour les sites Web également, le système s'avère assez souple. Le déploiement passe par l'installation sur le serveur de Passport Manager, un objet COM. Ce composant s'occupe entre autres de chiffrer et de déchiffrer les informations échangées. Sans surprise, il est exploitable dans un environnement Windows NT 4 SP3 (et versions ultérieures) ou Windows 2000 Server/Internet Information Server 4.0. Des portages sont toutefois en cours sur plusieurs plates-formes Unix. Côté techniquement, on notera que Passport ne génère quasiment aucune communication inter-serveurs; le navigateur de l'internaute reste le pivot des échanges. L'essentiel du dialogue s'effectue en fait via des redirections de requêtes http.

Quand l'internaute s'authentifie sur un site, il est redirigé vers les serveurs où est hébergée la base des profils. Le site central Passport procède à l'authenfication et retourne au navigateur de l'internaute un cookie. Ce dernier est déchiffré et interprété par le composant Passport Manager installé sur le serveur du site membre, lequel peut ensuite passer ces informations à d'autres logiciels pour mettre en oeuvre une personnalisation de son contenu. Bref, les techniques employées sont classiques (SSL, cookies, redirections http...). L'intérêt du procédé est ailleurs: dans l'économie de ressources que représente l'externalisation de l'authentification et dans dans la centralisation de la base qui permet une authentification "indolore".

Quelques inquiétudes assez légitimes...
C'est bien entendu cette centralisation qui inquiète les associations de défense des libertés individuelles. Plusieurs questions très légitimes se posent : comment Microsoft compte-t-il capitaliser sur ces profils ? Que fait-il des fichiers de log ? Quel est le niveau de sécurité de la base centrale Passport ? Etc. Sur le papier, l'éditeur affiche des engagements très stricts: la base ne conserve pas d'autres informations que celles fournies par l'utilisateur; l'historique des logs est purgé tous les deux jours, et l'éditeur s'interdit de céder des informations de cette base à des sites, qu'ils soient ou non membres de Passport. Logique, un tel système mutualisé ne fonctionne qu'avec des membres placés sur un pied d'égalité. Bref, l'éditeur assure qu'il ne compte pas tirer de revenus de ses profils. Passport s'inscrit avant tout dans une logique de cheval de Troie: il s'agit de préparer la voie aux autres services ".net" qui verront le jour.

Enfin, pour tenter de rassurer les défenseurs des libertés individuelles, Microsoft a décidé d'intégrer à Passport le standard P3P du World Wide Web Consortium. P3P permet à l'internaute, via son navigateur, de saisir les informations personnelles qu'il est prêt à délivrer à un site en fonction de la politique que le site affiche pour la gestion de ses données. P3P s'apparente donc à un protocole de négociation des données personnelles dont le fonctionnement demande la coopération des sites (ils doivent décrire leur politique dans un format XML) et un navigateur compatible. Dans ce domaine, le choix sera restreint: à court terme au moins, seul Internet Explorer 6.0 sera capable de "parler" P3P...