RSA Conférence : la voie du grand public

La notion d’identité fédérée permettant à plusieurs fournisseurs de partager le profil d’un même utilisateur (sans que les données propres à chacun débordent sur celles du voisin) poursuit son petit bonhomme de chemin. C’est plus particulièrement le cas aux États-Unis, puisqu’AOL utilise le système développé par RSA pour collecter au sein d’une seule et même facturation diverses «douloureuses» provenant de plusieurs fournisseurs de services (électricité, services téléphoniques fixes et mobiles, vendeurs de contenus, etc.).

Pratiquement, chaque utilisateur achète pour une poignée de dollars un micro-token OTP (One Time Password : système fournissant un mot de passe temporaire utilisable sur un portail de type SSL ou IPSec) et consulte son code lors de chaque opération. Le succès rencontré a d’ailleurs dépassé les espérances d’AOL, puisque le taux d’équipement est aujourd’hui de 25 % alors que les dirigeants s’attendaient plus raisonnablement à un potentiel de l’ordre de 5 à 12 %. Ce système devrait gagner le Vieux Continent au second trimestre 2005. Avec lui, il sera notamment possible de réserver son billet d’avion, son hôtel et sa voiture pour un week-end de rêve sans devoirà chaque fois s’identifier sur les divers sites Web parcourus pour ce faire. Un gain de temps indéniable. Reste encore à savoir quel support les Européens privilégieront. Car si le ‘token’ a bonne presse auprès des entreprises (c’est encore à ce jour le moyen d’authentification forte le plus répandu, même s’il subit une forte concurrence de la part des clés USB et autres cartes à puce), il est totalement inconnu du grand public. Aux États-Unis, la conquête de celui-ci a pu facilement s’effectuer du fait de l’absence quasi endémique de cartes bancaires à puce. En Europe, la donne est toute autre, et il y a de fortes chances pour que les banques voient d’un très bon oeil un support faisant une concurrence aussi franche aux cartes EMV. Reste que le parc de lecteurs de cartes à puce sur micro et sur mobile est plus qu’inexistant, malgré les grandes déclarations (de principe) des constructeurs. Nous avons eu beau chercher chez Surcouf et dans les grandes surfaces, ce type de produit est à peu près aussi rare qu’un soft garanti sans bugs. Fort heureusement, RSA proposera prochainement des ‘tokens’ USB qui permettront d’intéresser une clientèle plus vaste. Il est toutefois certain qu’un système cryptant totalement l’achat éviterait les problèmes de ‘phishing’ puisque d’une minute à l’autre le changement de code empêcherait toute exploitation malveillante. Par ailleurs, l’emploi d’un système d’authentification forte serait peut-être enfin l’occasion d’inverser le sens de la preuve, ce qui permettrait aux fournisseurs de services et/ou de contenus de considérer toute transaction utilisant une telle approche comme valide (ce qui n’est pas le cas dans la législation actuelle, le fournisseur devant prouver la mauvaise foi de l’acheteur en ligne). D’où un possible développement des achats en ligne réalisés par ce biais. Possible seulement si l’on prend en compte le succès somme toute mitigé des achats de musique en ligne dans l’espace Shengen, ceux-ci étant incontestablement inférieurs à ceux pratiqués Outre Atlantique. Serait-ce parce que nous sommes plus bêtes ou tout simplement parce que les gadgets nous font moins d’effet ?! À suivre?