Authentification ouverte ou fermée?

Par défaut

Sur Egomedium, Sébastien se demande s’il vaut mieux pour un service web (et en particulier pour Ziki), s’interconnecter à  un système d’authentification ouvert tel qu’OpenID, ou bien s’il vaut mieux s’appuyer sur les systèmes propriétaires de Yahoo, Microsoft ou Google, en particulier parce que la norme OpenID n’est pas encore stable, que rien ne garanti la pérennité des fournisseurs OpenID qui débutent actuellement, et qu’il y a des bugs dans certaines implémentations d’OpenID.

A titre purement personnel, je trouverais 100 fois plus intelligent que Yahoo, Microsoft et Google se rallient tous à  une norme ouverte telle qu’OpenID, quitte à  être force de proposition sur le sujet et apporter leur savoir faire pour en faire une norme stable et fiable, plutot que de continuer à  se battre entre eux pour essayer d’imposer leur propre norme. Ce combat dure depuis un bout de temps, il n’y a toujours pas de vainqueur, mais un grand perdant: l’internaute qui est obligé de maintenir tout un tas de profile un peu partout.

En effet, si les trois grands ajoutent la passerelle nécessaire pour utiliser OpenID au dessus de leur propre système d’authentification proprietaire, cela permettra à  des milliers de sites d’envisager sereinement l’utilisation d’un systeme externe “universel” d’authentification, sans avoir à  passer un temps important sur l’integration des apis propre à  chaque système… C’est d’ailleurs probablement ce qui explique l’engouement pour OpenID, même si cette norme n’est pas encore stable. Il vaux mieux capitaliser sur des systèmes qui promettent à  terme l’ouverture au plus grand nombre, que de passer du temps sur des systèmes propriétaires. Car il ne faut pas se leurrer, à  partir du moment où l’on proposerait l’authentification via le systeme de l’un des 3 grands, il faudrait fournir les autres, puisque pour un service web, il n’y a aucun interet à  privilégier l’un des trois grands, sauf accords spécifiques 😉 . Ne proposer qu’une des trois authentifications revient à  se priver d’internautes qui pourraient avoir des griefs contre l’authentification choisie non?

D’ailleurs certains ne s’y sont pas trompé: AOL a convertit tout ses comptes utilisateurs en identifiant OpenID, et Microsoft a annoncé qu’il supportera OpenID. Si Microsoft va jusqu’au bout de ses promesses, alors je vois mal comment Yahoo et Google pourraient rester sur leurs positions et ne pas faire de même non?

Maintenant, il est évident qu’il y a des problèmes à  la mise en place: qui n’a jamais connu de bugs lorsqu’il met en place quelque chose de nouveau? Mais est ce que cela veut dire qu’il faut abandonner une excellente idée parce qu’il y a des ratés au demarrage? Surement pas, sinon ni Google, ni Yahoo, ni Microsoft n’existeraient aujourd’hui 😉 .

Est ce que parce que la norme évolue, cela veut dire que c’est une mauvaise norme et qu’il faut l’abandonner? Surement pas, sinon cela reviendrait a dire qu’il ne faut jamais apprendre de ses erreurs, et qu’il faut arrêter d’évoluer! C’est pas très réaliste non? Et comme c’est en mettant en application une norme qu’on peut se rendre compte de ses lacunes et/ou défaut, autant l’utiliser des à  présent, pour la faire ensuite évoluer dans le bon sens via un feedback constructif non?

Maintenant d’un point de vue officiel Ziki, et pour répondre à  ta question Sébastien, intégrer des systèmes fermés d’authentification n’a pas été discuté en interne. Donc peut être qu’un jour nous prendrons le temps de le faire, ou peut-être pas, mais moi, en interne, je vais militer pour le “attendons quelques mois que la mayonnaise prennent, et vous verrez que Yahoo et Google rejoindrons Microsoft et ils supporterons tous OpenID” 😉

7 réflexions au sujet de « Authentification ouverte ou fermée? »

  1. Je partage ton point de vue, sur la nécessité pour Google et Yahoo, etc. de supporter la norme OpenID, ils le feront de toute facon, de maniere officielle ou officieuse (en pretant des developpeurs en internes, j’imagine).

    Mais ne choisir que OpenID n’est pas faire preuve d’ouverture, paradoxalement; ainsi je suis certain que la plupart d’entre nous echangeons des documents .DOC, .XLS et .PPT, car la majorité des gens utilise des logiciels Microsoft. Il serait possible de tout envoyer en .ODT (format ouvert), mais serait-ce faire preuve d’ouverture, ou du contraire?

    Donc en ce qui me concerne, être ouvert c’est être ouvert à tous, c’est à dire faciliter également la vie des gens qui utilisent une solution propriétaire. Pouvoir s’inscrire sur un site avec un compte d’un service en qui on a *confiance* est trés important, et le problème des solutions ouvertes, c’est qu’elles peuvent être implémenter par n’importe qui, y compris a des fins malveillantes (comprenez-moi bien, je suis à fond pour OpenID, mais ‘pas que’).

    En fait tout est question de but: si c’est un acte militant ou faire du buzz , implémenter OpenID est la bonne solution. Si c’est faciliter l’inscription des utilisateurs (et de la plus grande majorité possible), alors il faut proposer des solutions qui concernent la majorité. Le tout est de connaitre son but, et de prendre les actions en conséquence.

    Et Viva OpenID !

  2. Je trouve ton point de vue très intéressant Olivier

    Sébastien, ta vision des choses est aussi intéressante.

    A titre personnel, je trouve que le fait d’avoir implanté OpenID dans Ziki c’est adopter une technologie en “avant première” et c’est savoir rester “à jour”.

    Certes OpenID n’est pas encore parfait mais l’idée est très bonne et va parfaitement dans l’optique de Ziki (identity management and promotion) alors que les LiveID, Yahoo ID et Google ID moins….

    Cela reste un avis. Ton exemple concernant les documents Office est bien. Par contre , faire preuve d’ouverture pour moi ça ne veut pas dire accepter tout et n’importe quoi . J’entends par là que nous n’en avons pas fini si on choisit d’être “super ouverts” et de supporter tous les systèmes d’authentification.

    On finirait par être un gros tournevis du web ce qui, je pense, n’est pas la vocation du service.

    Toujours à titre personnel, je suis certain que les choix faits par l’équipe nous permettent de maintenir le cap fixé et de continuer à avancer avec les idées et concepts que Ziki induit.

    Pour en finir, concernant la confiance en tel ou tel provider… Il me semble que le problème se pose avec chaque système et pas que OpenID. Que ça soit un compte Google, Yahoo ou Microsoft, nous confions des informations et plaçons notre confiance en ces sociétés (je crois que tu bosses chez Yahoo?). Personnellement , je ne mets rien de très confidentiel en ligne et de tout façon, je n’ai pas grand chose à cacher 😛 – mais que ça soit une énorme société ou une petite boîte, ça reste une question de confiance.

    C’est peut-être un raisonnement idiot mais j’ai plus confiance en Ziki qu’en Google qui en possède assez sur moi pour retracer 60 % de ma vie ( emails / photos / recherches / historiques de conversation / historiques de mes recherches sur tous leurs services – et encore je ne mets pas mon agenda en ligne ).

    Toujours à titre personnel, il me semble que le fait d’avoir implanté OpenID n’est pas qu’un acte dont la vocation est de générer du buzz. En effet : en agissant ainsi, on peut contribuer à la prise d’importance de ce système et à sa généralisation. Et en cela, je suis convaincu que le but est atteint. Tant mieux si cela nous permet en plus de profiter d’un buzz concernant l’authentification unique. Ce n’est pas plus mal 😉

    En tout cas, merci Olivier, tu tiens l’un des rares blogs que je connaisse sur lequel on puisse avoir des discussions intéressantes avec des acteurs intéressants. Le tout n’en est que réjouissant et c’est ce qui m’a motivé à taper ce gros commentaire, presque plus long que ton billet …

  3. Sébastien

    Je vais te poser une question: tu as une petite société, une équipe de 1 ou 2 developpeurs, une roadmap remplie pour les 3 prochaines années et tout d’un coup, tu as un jour de libre pour mettre en place un et un seul systeme d’authentification. Lequel met tu en place: OpenID, Google, Yahoo ou Microsoft? Ce n’est donc pas un manque d’ouverture, mais avec des ressources limitées le choix est vite fait…

    Mais indépendamment de cela, honnêtement, avant OpenID, je n’ai jamais vraiment vu de services webs (et plus particulièrement de services Web2.0) s’emballer pour l’un des systèmes d’authentification des trois grands. Je dirais même qu’avant la promesse de transparence et d’ouverture d’OpenID, les Apis de Google, Microsoft et Yahoo sont plutot restées dans l’ombre. Or maintenant que sort de l’ombre une solution universelle, pourquoi essayer malgré tout de pousser une solution proprietaire: le simple bien être des internautes n’est pas une raison suffisante. Au contraire, je dirais même que pour leur propre bien-être, chaque internaute devrait militer auprès de Google, Yahoo et Microsoft pour qu’ils ouvrent leur système fermé à OpenID… Mais comme tu le dis tout le monde y viendra pour des raisons évidentes de fidélisation.

    Et la je rejoins ce que dit Gonzague (merci pour les compliments!): OpenID n’est pas qu’un phénomène de buzz. La norme existe deja depuis quelques mois, mais ils n’y avaient pas encore d’acteurs suffisament importants pour motiver les developpeurs à implémenter ce systeme plus qu’un autre. Autrement dit, beaucoup étaient dans l’attente d’annonces de la part des acteurs majeurs d’Internet. Pour notre part sur Ziki, les annonces successives d’AOL, WordPress et Microsoft de fournir des identifiants OpenID nous ont motivé à mettre immédiatement en place l’authentification OpenID dans un premier temps. La deuxième étape a été naturellement de fournir à notre tour un identifiant OpenID à nos membres pour se connecter ailleurs, mais rien de plus logique pour un service qui a vocation a rassembler et consolider en un seul endroit tout tes profils web non?

    Voila pour toutes ces raisons, je pense qu’il est judicieux maintenant d’attendre encore quelques mois un geste de la part de Yahoo et Google plutôt que de se précipiter pour intégrer leurs APIs qui n’ont jusqu’à présent pas eu un franc succès de mon point de vue 😉 Et si OpenID n’était pas en train de decoller, alors comme les milliers d’autres services Web, nous aurions continué à fournir uniquement notre authentification proprietaire, en attendant que la lutte entre les 3 grands se termine par un vainqueur, et en se disant qu’après tout, l’internaute est habitué a gérer 50 profils 🙂

    Bien entendu cela ne reste que mon point de vue personnel, la position officielle de Ziki n’étant pas tranchée (la discussion n’ayant même pas eu lieu en interne sur ce sujet), et les décisions sont prises à plusieurs 😉 Donc la majorité aura raison…

  4. Mea Culpa de 11h21: les systèmes d’authentification de Yahoo et Google ne se prêtent pas à l’echange de profiles (il y a de toute façon trés peu d’information publiques à mettre à disposition de la part de Yahoo ou Google), mais peuvent servir en revanche à récuperer des informations privées (calendriers, photos, etc… ) à partir d’une application externe qui nécessitent l’accord de l’utilisateur.

    Le choix d’OpenID par Olivier est donc le plus pertinent dans le cas de son utilisation de Ziki, mais n’est pas evident pour d’autres types de services (notamment des mashup de Yahoo ou de Google)

  5. Ping : En vrac #8

Les commentaires sont fermés.