En développant Passport, Microsoft a pour objectif de créer une pièce d’identification ?” à défaut d’identité ?” universelle pour naviguer sur la zone franche qu’est Internet. Ambition de l’éditeur : favoriser le commerce électronique en évitant à l’internaute de fastidieuses saisies de coordonnées. Malgré les polémiques diverses autour de cette initiative, Passport recensait, fin 2001, 165 millions de comptes ouverts, 2 milliards d’authentifications par mois et plus de 270 accords signés avec des sites partenaires. Difficile donc de parler d’échec. Il faut dire que créer un compte Passport est à la portée de tout un chacun. Il suffit en effet d’entrer ses données une fois pour toutes (nom et mot de passe, par exemple) lors de l’ouverture d’un compte sur Hotmail ou MSN par exemple, sur un site membre du réseau Passport (PPS, Passport Partner Web Site), par inscription directe sur le site www.passport.com ou en utilisant l’interface proposée par Windows XP.
Un partage discrétionnaire d’informations
À l’issue de la création d’un nouveau compte Passport, un processus de validation de l’adresse e-mail d’identification est mis en ?”uvre. Il s’agit simplement de retourner l’e-mail à cette adresse, contenant un lien URL vers une page de validation définitive. Cette méthode permet à la fois de tester la validité de l’adresse proposée par l’utilisateur et de s’assurer que le demandeur en est bien le propriétaire. Cependant, ce processus n’est pas sans défaut, car, à ce jour, la création d’un compte Passport est possible même si l’adresse e-mail d’identification n’a pu être validée. Une “souplesse” qui devrait bientôt disparaître selon Microsoft.Pour s’identifier sur un site partenaire du réseau PPS, l’internaute doit en faire explicitement la demande en cliquant sur un bouton standardisé. La requête est automatiquement redirigée vers un serveur.NET Passport sécurisé, géré par Microsoft. Celui-ci vérifie tout d’abord que le site émetteur de la demande d’authentification est bien partenaire du réseau. Ensuite, l’identifiant unique de l’abonné (le Puid) est transmis au site demandeur par le biais d’un ticket chiffré : actuellement un simple cookie (Kerberos devrait être utilisé dans une future version). Le site partenaire utilise sa clé privée pour déchiffrer le Puid et peut dès lors procéder à l’identification du nouvel arrivant. Il s’agit cette fois d’une identification contextuelle et privée, qui ne concerne que le site PPS et n’est plus liée au service Passport centralisé par l’éditeur. Chaque site PPS est libre de définir les informations qui lui sont indispensables parmi les options proposées par Microsoft. Le minimum requis est la clé d’identification : une adresse e-mail et un mot de passe, ou un numéro de téléphone et un numéro d’identification personnel. Le site PPS est autorisé à demander des informations complémentaires à l’utilisateur (couleur préférée, nombre d’enfants…), gérées uniquement par lui.
Mettre en ?”uvre.NET Passport sur un site affilié
Pour la mise en ?”uvre de la procédure Passport, chaque site PPS doit installer un composant COM serveur, baptisé Passport Manager, qui prend en charge l’interprétation du contenu des cookies Passport et gère les échanges nécessaires avec le serveur d’authentification. Ces cookies sont issus du serveur Passport. Lorsque l’utilisateur émet sa demande d’authentification depuis un site partenaire, celui-ci retourne à son navigateur une URL de redirection vers le serveur Microsoft Passport. De là, le serveur Passport contrôle son identité et génère trois cookies. Le premier, baptisé Ticket, contient le Puid de l’utilisateur et un tampon dateur qui peut être utilisé par le site partenaire pour déterminer la fraîcheur des informations d’authentification. En effet, le site PPS peut spécifier un délai maximal de validité du ticket d’identification. Passé ce délai, les données d’authentification seront redemandées à l’utilisateur. Le deuxième cookie, baptisé Profil, contient les données de profil que l’utilisateur accepte de partager. Enfin, le dernier cookie généré mémorise les adresses des sites visités par l’utilisateur. Les cookies Ticket et Profil sont alors chiffrés par le serveur Passport. Un algorithme de type DES (Data Encryption Standard) est exploité, utilisant l’identifiant Passport du site PPS comme clé de chiffrement. Remarquons qu’aucune communication n’est établie directement entre le site partenaire et le serveur d’authentification Passport. Les échanges sont mis en ?”uvre par le biais d’URL de redirection. Toutefois, le composant Passport Manager du site PPS procède régulièrement au téléchargement d’un fichier de configuration. Au format XML, ce fichier contient notamment l’adresse URL de redirection vers le serveur d’authentification Passport.Au cours d’une même session Passport, un utilisateur identifié sur un site S1 peut demander à être identifié sur un autre site, S2. Il est alors redirigé vers le service d’authentification Passport qui procède à la validation du nouveau site et retourne à ce dernier les deux cookies (Ticket et Profil) chiffrés à l’aide de la clé de S2. Le serveur d’authentification peut ainsi procéder à l’identification locale de l’utilisateur ou forcer une nouvelle demande d’authentification s’il considère les données d’authentification comme insuffisamment fraîches (utilisation du tampon dateur contenu dans le cookie Ticket). Enfin, une fois que l’utilisateur se déconnecte, le serveur Passport lance sur chaque site visité au cours de la session (cookie contenant les adresses des sites visités) un script supprimant les cookies créés lors de chaque authentification. Pour complexes que soient ces processus, ils ne prennent dans les faits que quelques secondes et ne pénalisent pas la navigation.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.