Authentification avec OpenId

OpenId est un standard qui décrit comment les utilisateurs peuvent s’authentifier à une application de manière décentralisée (application de bureau, application mobile ou site web). Un utilisateur créé un compte auprès d’un fournisseur d’identité OpenId (Google, Yahoo, Paypal…) et il utilise ce compte pour se connecter aux applications utilisant OpenId.

Dans ce système tous les acteurs peuvent trouver un intérêt

• Les utilisateurs ne multiplient pas leurs identités numériques. L’identité OpenId peut facilement être changée ou révoquée
• Les fournisseurs d’identité tierce emmagasinent des informations et des habitudes sur leurs utilisateurs
• Les créateurs de site n’ont pas besoin de développer leurs propres systèmes d’authentification qui peuvent être la cible des pirates et ainsi déléguer cette expertise aux fournisseurs d’identité

Initialement mis en place par Brad FitzPatrick en 2005, OpenId est gérée depuis 2008 par une association non lucrative, OpenIdFoundation … La population des contributeurs est composée d’un mix de personnes indépendantes  et de personnes issues du monde de l’entreprise (Facebook, Google, Microsoft, Paypal….)

OpenID est un protocole construit sur les technologies Json/rest. Il permet au site utilisateur de récupérer des informations sur l’utilisateur (nom, adresse mail, jeton d’authentification). On compare souvent à tort OpenId et OAuth, mais la première solution est un protocole pour gérer l’authentification alors que OAuth est un protocole pour gérer les authentifications.

Au niveau de la sécurité, OpenId n’apporte pas de solution pour le phishing. Un site malveillant pourrait facilement vous réorienter vers une page factice pour récupérer vos identifiants de connexion. Mais ce risque est commun à tous les sites utilisant ou non OpenId. Il faut toujours être vigilant sur la confiance à accorder à un site.