Mozilla vient d'annoncer une évolution de son système de connexion unifié qui se veut une alternative à OpenID : Persona (à ne pas confondre avec les thèmes Personas). En effet, il supporte désormais officiellement la simplification de l'inscription via un compte Google. L'occasion pour nous de revenir de manière détaillée sur cette solution qui se veut simple, mais surtout respectueuse de votre vie privée.
Il existe depuis quelques années plusieurs initiatives de procédures de connexion unifiée et simplifiée. Certaines sont assez largement connues du grand public, comme celles proposées par Facebook, Google ou Twitter, mais d'autres existent depuis bien plus longtemps comme OpenID créé en 2007.
OpenID : une initiative louable, mais qui n'a pas su se réformer
Son avantage ? Elle est décentralisée et gérée par une fondation à but non lucratif qui ne dépend pas de telle ou telle société en particulier. Elle permet aussi une vérification de votre identité tout en n'étant pas forcément liée à un compte sur un réseau social permettant de tout connaître de vous, vos amis, et parfois même de publier à votre place. C'est en effet un problème qui n'est pas souvent pris en compte par les internautes, qui valident les autorisations sans trop faire attention, mais que les fournisseurs de solutions n'hésitent pas à mettre en avant comme un avantage pour les éditeurs de sites, comme le fait Janrain :
Le problème principal d'OpenID ? Cette solution est assez peu connue et de moins en moins répandue, notamment en raison de sa complexité d'implémentation mais surtout d'utilisation. Si vous cherchez à vous connecter au service Livejournal ou ScribbleLive via ce système par exemple, via cette page, la première chose que l'on vous demandera est une URL. En effet, chaque fournisseur d'identité OpenID en indique une à ses clients qu'il doit entrer manuellement afin de pouvoir se connecter ensuite. Dans le cas d'un compte Google, c'est ainsi :
https://www.google.com/accounts/o8/id
Une fois cette adresse tapée, le fournisseur vous permettra de vous connecter de manière assez simple, sans avoir à créer un nouveau login et un nouveau mot de passe.
OAuth : bien plus qu'un simple outil de connexion
Notez que c'est une approche différente d'OAuth qui est souvent cité comme alternative. En effet, elle permet surtout de déléguer des accès à des applications tierces, ce qui n'est pas le cas d'OpenID qui se focalise sur la connexion. Créé à l'initiative de développeurs de Twitter, ce protocole permet en effet de donner un accès restreint à votre compte à une application sans que vous n'ayez à lui indiquer votre mot de passe, et avec la possibilité de lui révoquer l'accès à tout moment.
OAuth, par Nokia
C'est ce qu'il se passe lorsque vous vous connectez à un client Twitter par exemple, la liste des applications liées à votre compte étant indiquées sur cette page. Il en est de même pour Facebook et Google qui utilisent aussi ce protocole. Les listes sont respectivement disponibles par ici et par là.
Persona : Mozilla veut rendre la connexion unique, et simple... pour tous
Partant du principe qu'il n'existait pas de système de connexion décentralisé et simple, tant à implémenter qu'à utiliser, Mozilla a donc travaillé dès 2011 sur un projet connu au départ sous le petit nom de BrowserID. Ce protocole se base essentiellement sur votre adresse e-mail et ne permet que de récupérer cette information qui est vérifiée lors de votre première utilisation. Vous devrez alors créer un couple e-mail / mot de passe qui vous servira sur tous les sites qui exploitent ce système.
La première démonstration de BrowserID
Le projet a rapidement évolué en termes de fonctionnement et en internationalisation pour au final donner naissance l'année dernière à Persona. Derrière ce nouveau nom se cache le service de connexion simplifié, alors que BrowserID reste celui du protocole qu'il exploite. Les mois qui suivirent étaient l'occasion d'améliorer encore le fonctionnement, de corriger des bugs et d'apporter des fonctionnalités de personnalisation comme la possibilité pour les éditeurs de sites d'ajouter leurs conditions générales d'utilisation, leur logo, etc.
Les services d'e-mail ne veulent pas apporter leur soutien ? Faisons sans eux
Une première bêta a ainsi vu le jour fin septembre 2012, suivie de l'intégration à Firefox OS puis d'une seconde bêta en avril dernier. Celle-ci apportait, parmi d'autres améliorations, l'« identity bridging ». En effet, au fil des évolutions, l'équipe a sans doute constaté que l'enthousiasme n'était pas forcément de mise du côté des fournisseurs d'identité potentiels. Outre le peu d'implémentation sur des sites, en raison de son statut bêta, Persona devait donc faire face à un manque de volonté des sociétés telles que Google, Yahoo!, etc., pour ce qui était de faciliter l'utilisation de son service.
Car s'il est possible d'utiliser n'importe quel e-mail avec Persona, il est toujours mieux d'utiliser au départ un compte existant dans lequel on est déjà connecté, plutôt que d'afficher un formulaire de création de compte... tout en gardant ce qui fait la spécificité du service : l'assurance que seul l'e-mail sera accessible au site auquel l'on se connecte.
L'« identity bridging » permet cela en utilisant les fonctionnalités OpenID / OAuth des différents services afin d'associer un compte Persona à une identité en ligne. Lorsque vous vous connecterez à un site via Persona, celui-ci ne pourra connaître que votre e-mail bien que vous ayez utilisé un compte sur un service tiers pour vous identifier. Au départ, seul Yahoo! était supporté. Aujourd'hui, c'est au tour de Google d'entrer dans la danse :
Notez que cela permet au passage d'utiliser ces services comme outil de connexion sans qu'ils ne puissent savoir où vous vous connectez puisqu'ils ne verront que la demande de Persona.
Persona ne fonctionne pas que sous Firefox, et veut le faire savoir
L'autre point important des évolutions récentes est la mise de côté de la « marque » Mozilla. En effet, celle-ci impliquait souvent une confusion chez les utilisateurs ou même les développeurs qui pensent que Persona ne fonctionne que sous Firefox : ce n'est pas le cas. Vous pourrez d'ailleurs effectuer un essai via le site officiel qui vous permettra de créer un compte mais aussi de le gérer.
Elle reste bien entendu visible, mais plus sous la forme d'un logo comme vous pourrez le voir sur cette image :
Reste maintenant à voir si la mayonnaise prend. Le fait de disposer d'une solution de connexion unifiée, décentralisée, libre (voir le dépôt GitHub), simple à utiliser mais aussi à intégrer pour les développeurs (voir ce guide ou les outils disponibles) pourrait en effet convaincre en masse.
Alors que les questions de sécurité des données, mais aussi plus simplement de respect de la vie privée prennent de plus en plus d'ampleur dans l'esprit du grand public, le fait de pouvoir se connecter simplement, avec une solution unique qui ne dévoile qu'une adresse e-mail, devrait tous nous intéresser. Mais tout n'est jamais si simple et la réussite de ce projet dépendra aussi bien de la communication de Mozilla autour de ce projet, et de ses avantages que de l'offre et de la demande. À chacun d'agir, donc.
