Parmi les multiples aspects du marché de l’IAM mis en relief par l’étude Computer Associates (voir article « Etude CA : IAM, 30 ans de tergiversations »), il en est un qui risque de faire passer quelques nuits blanches aux administrateurs et RSSI : le BYOID, ou « Bring your own ID », venez avec vos propres identifiants.
Il ne s’agit là pour l’instant que d’une ébauche de mouvement, mais il est pratiquement certain que le phénomène deviendra aussi important que celui du BYOD. Dans les grandes lignes, il s’agit de prendre en compte les identifiants et environnements «personnels et provenant de la vie privée » des administrés afin que ceux-ci puissent être pris en compte dans les multiples mécanismes de gestion des identités et des crédences de l’entreprise. Du point de vue de l’utilisateur, cela revient à dire « j’ai une identité Facebook/Linkedin/MS-Live que j’emploie tous les jours et que je connais, pourquoi ne l’utiliserais-je pas dans le cadre de mon travail ? ». Retenons le « j’ai une identité » et non « j’ai un identifiant ». Car ce qui est important, dans l’idée du BYOID, c’est la notion d’environnement virtuel, de contenu lié à la personne (fichiers dans le cloud, messagerie en ligne, liaison inter-machines via des vpn, carnets d’adresses et liens sociaux, publications de blogs et autres « objets de l’internet »). Plus personne ne se déplace avec un jeu de clefs usb ou de disques durs amovibles. Les informations glanées au fil des jours sont stockées dans des appareils mobiles (les éléments constitutifs du BYOD) puis exportées dans des espaces personnels cloudifiés. Phénomène d’autant mieux rentré dans les mœurs qu’il existe de plus en plus de « réseaux sociaux d’entreprise » qui viennent, sur l’intranet, servir de plaque d’échange. Seuls quelques vieux films de science-fiction genre 2001, Minority Report ou Johnny Mnemonic nous rappelleront que nos arrière-grands-parents liaient la notion de données à celle d’un conteneur statique, se présentant généralement sous la forme d’un cube de plexiglass irradiant une couleur bleutée.
Cet environnement numérique personnel constitue une partie de la richesse de chaque collaborateur d’une entreprise. La nier, c’est amputer ladite entreprise de l’apport potentiel de ces richesses (contacts, connaissances, références), c’est faire preuve d’une attitude relativement schizophrène qui veut absolument réduire le collaborateur au rang de simple rouage n’ayant d’existence binaire qu’au sein de l’entreprise, amputé de tout passé et de tout présent cybernaute. Bien souvent, cette vision autistique de « l’employé numérique modèle » est la source de bien des failles de sécurité qu’exploitent les spécialistes du phishing et du social engineering. Car les escrocs de tous types ont rapidement compris que cette dichotomie de l’individu numérique interdit aux RSSI et CSO de prendre en compte l’existant « civil » de chaque administré. Une vision restreinte qui leur masque une grande partie des vulnérabilités numériques individuelles. Gardons à l’esprit qu’il n’a pas fallu plus qu’un compte Facebook et la candeur d’un haut fonctionnaire d’Etat pour « intruser » l’intranet de l’Elysée.
Le BYOID, c’est aussi, c’est surtout, pour les grandes infrastructures commerciales Internet, la possibilité de voir se fédérer des « clusters d’identités » dont on imagine bien le potentiel d’achat et la richesse en termes de ressources d’analyses comportementales. Derrière le BYOID, il y a aussi des montagnes d’espoirs marketing, des Himalaya de sondages politiques, religieux, consuméristes de tous poils. Tout comme le Byod, le bring your own ID apportera son lot de failles de sécurité et de risques de flicage d’autant plus critiques qu’aucune CNIL au monde n’est préparée à (ou n’a la volonté politique de) veiller aux risques de débordements ou abus d’usage.
Une idée vieille comme la microinformatique
Il faut dire que le BYOID n’a rien d’une génération spontanée. La fédération des identités (et la mainmise sur les techniques de gestion associées) est un rêve longtemps caressé par les éditeurs. L’un des premiers à lancer l’idée s’appelait Eric Schmidt, patron de… Novell à l’époque. Le projet avait pour nom Digital Me, et visait à la création d’une sorte de carte d’identité numérique nationale d’identité, Sésame-Vitale, badge d’ouverture de portes, de ticket de métro et de mécanisme d’ouverture de session réseau. Un melting-pot de clefs binaires ouvrant sur de multiples services, imaginé par quelques ingénieurs vivant dans un pays qui ne connaît pas la CNIL et ne possède pas de carte d’identité nationale. A la même époque, Microsoft également cherche à conquérir le marché d’un IAM global et personnel. Et ceci bien avant l’arrivée du projet Passport, sorte de formidable annuaire destiné aux administrations des Etats-Nation et qui, faute d’acheteur, a dû finir ses jours comme simple moteur d’annuaire de la branche MSN/Microsoft Live. Ces deux projets ont souvent été assimilés, à tort, à de simples plateformes de fédération d’identités, à des super-annuaires destinés à des informatico-informaticiens de grandes entreprises. Non, le but a toujours été de créer un point central où viendraient se confondre les vies numériques publiques, professionnelles et privées. Le cauchemar des administrateurs était inéluctable et fomenté depuis belle lurette par ceux-là même avec lesquels l’administrateur croyait être allié. La seule chose à laquelle personne ne s’attendait, c’est que ce BYOID arrive non pas du fait de ces éditeurs, mais par le biais de fournisseurs de services, d’entreprises généralement très jeunes et dont la pérennité est on ne peut moins sûre. Ce que l’on n’avait pas non plus prévu, c’est que la naissance du BYOID se verrait imposé par un mouvement bottom-up, et non imposé par une hiérarchie en vertu d’une prétendue simplification des mécanismes de gestion. Tout comme le BYOID est la négation même du terminal mobile standardisé imposé par une direction informatique toute puissante, le BYOID est le refus d’une prise en charge de l’espace virtuel personnel par les tenants de la sphère professionnelle ou administrative.
A peine la machine BYOID s’est-elle mise en marche que l’on s’interroge. Que seront, dans 20 ans, les Facebook, Linkedin et autres réseaux Google ? Que deviendront les fonds de commerce de ces grands data brokers lors des inévitables opérations de fusion-croissance externes et autres aléas économiques ? Ces questions ne sont pas nouvelles et prennent, avec l’arrivée du BYOID, une importance jusqu’à présent jamais atteinte. Le BYOID ne joue pas avec de simples numéros de téléphones, adresses postales ou numéros de comptes bancaires. Il regroupe tout ça et bien plus encore, garantissant aux professionnels de sécurité de nombreuses années de prospérité et aux fournisseurs d’équipements et de logiciels de protection des années de projets probablement discutables mais certainement très rémunérateurs …