Chantre des concepts de fédération des identités autour de standards ouverts, le consortium Liberty Alliance s’attaque au mot de passe. Une authentification forte à base de jetons, cartes à puce et produits similaires devrait
être préférée au mot de passe, jugé dépassé et peu compatible avec une sécurité digne de ce nom. L’organisme crée ainsi un groupe de travail, baptisé Strong Authentication Expert Group (SAEG). Sa mission consiste à favoriser
l’interopérabilité des solutions matérielles et logicielles avec les jetons, cartes à puce, systèmes biométriques ou basés sur l’utilisation de SMS.Un ensemble de standards sera développé dans le cadre d’ID-Safe (Identity et Strong Authentication Framework). Ce dernier pôle de spécifications s’ajoute aux trois existants de Liberty Alliance. Le
premier, ID-FF (Federation Framework), s’attache à la fédération des identités entre entreprises partenaires, et repose sur une notion de cercle de confiance. Les sociétés s’échangent des informations sur
l’identité de leurs utilisateurs respectifs. Elles présument qu’en amont lesdits utilisateurs ont été correctement authentifiés. Or, le seul mot de passe ne peut remplir cette tâche. Le recours à l’authentification forte
s’impose. Elle se définit alors par la combinaison de deux facteurs : ce que l’utilisateur connaît ?” son code pin ?” et ce qu’il possède ?” son jeton ou sa carte à puce.
Premiers résultats attendus à la mi-2006
Ce modèle sert tout autant le deuxième pôle de spécifications, ID-WSF (Web Services Framework). Cette infrastructure gère les échanges d’informations sur les utilisateurs entre les fournisseurs
d’identités et ceux de services Web. C’est le pendant de feu Passport de Microsoft. L’utilisateur garde la mainmise sur les informations en matière d’identité qu’il accepte de voir transiter entre deux sites de
commerce en ligne. Tout en évitant de s’identifier à chacun d’entre eux. Une authentification forte reste donc utile. Elle évite le risque d’usurpation d’identités, le seul mot de passe ne suffisant plus à accéder aux
services.Le troisième volet de spécifications de Liberty Alliance, ID-SIS (Service Instance Framework), en projet, vise à étendre la fédération des identités à des services Web comme les agendas, les répertoires de contacts,
ou les services d’alerte. Ses débuts coïncideraient avec les résultats des travaux du SAEG, prévus pour la mi-2006. Signe encourageant : RSA Security, Axalto, Verisign comptent parmi les membres du groupe de travail, qui réunit Intel,
Oracle, HP ou BMC.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.