Microsoft a annoncé que son service d’authentification Passport supporterait bientôt le P3P, un standard défendu par le World Wide Web Consortium.
Microsoft et vie privée, deux mondes qui paraissent inconciliables, et pourtant. La firme de Seattle annonçait mercredi que Passport, son service d’authentification, serait bientôt compatible avec le P3P (Platform for Privacy Preferences), un standard défendu par le World Wide Web Consortium. Le P3P permet aux utilisateurs de définir quel type d’informations ils souhaitent donner, et à qui. Ceci dans le but de protéger les internautes des sites un peu trop curieux, mais aussi de leur éviter de ressaisir à chaque fois les mêmes informations sur différentes pages. Peu de sites ayant pour le moment adhéré au P3P, un avertissement apparaîtra lorsque l’internaute entre sur un site qui ne respecte pas le nouveau standard. Une seule contrainte cependant, pour profiter de la Platform for Privacy Preferences, il faudra passer à Internet Explorer 6. Annoncée pour le 15 août, la nouvelle version d’Internet Explorer (IE) n’incorporait pourtant pas cette fonctionnalité dans sa version Bêta.
Vie privée sauce Microsoft
IE 6 sera le premier navigateur à profiter du P3P, mais les utilisateurs de Netscape 6.1 ou d’Opera devront patienter... ou changer de browser. Même constat pour les internautes surfant avec d’autres versions d’IE. Passport, lancé en mars 1999, est un service qui permet de s’authentifier une fois pour toutes et de profiter des services proposés par Microsoft et les entreprises partenaires. Plus de 200 d’entre elles ont d’ailleurs adhéré au système, et Microsoft prétend que deux milliards d’authentifications par mois seraient facilitées grâce à Passport. Pourtant le service n’a pas bonne réputation en ce qui concerne la gestion de la vie privée : les "conditions d’utilisation" de ce service rendent Microsoft propriétaire de tout ce qui passe par ses serveurs. une dizaine d’organisations de défense de la vie privée ont d’ailleurs attaqué Microsoft en juin dernier pour violation de la vie privée. Quoi qu’il en soit, l’adhésion au P3P, devrait donc permettre à Microsoft d’étendre largement le nombre de site compatible avec Passport.
La sécurité en question
Plus encore que le fait de confier ses données personnelles à Microsoft, ce qui ne constitue pas forcément un gage de sécurité, les experts remettent en cause le mode d’authentification : l’adresse e-mail et le mot de passe sont les seules informations requises pour accéder à un compte qui contient des données autrement plus sensibles que des e-mails échangés entre collègues ou amis. D’ailleurs, la décision de Microsoft de convertir l’ID et le mot de passe de tous les utilisateurs d’Hotmail en informations d’authentification pour Passport est symptomatique du peu de cas que fait Microsoft de la sécurité. En réponse à cela, la firme de Seattle déclare concocter un deuxième niveau de sécurité pour les opérations plus sensibles comme l’authentification sur un site bancaire. "Un code secret à quatre chiffres, comme pour la carte bancaire, ou une série de trois questions personnelles auxquelles il faudra bien sûr répondre pourrait être la solution", expliquait Brian Arbogast, vice-président de la division services personnels de Microsoft dans les colonnes de CNet.