La confiance règne-t-elle? Parlons-en.

Par Randy Jones, Directeur principal, innovation technologique

La confiance est un concept intéressant auquel on songe rarement. Pourtant, sans elle, à quoi ressembleraient nos relations? Elle est ce qui cimente les collectivités. La confiance, dit-on, est ce sentiment que l’on peut compter sur quelqu’un, sur une organisation, sur une chose.

Difficile de quantifier pareil sentiment. Pourtant, savoir quand la confiance n’existe pas est un jeu d’enfant. Qualitativement, on pourrait décrire cela comme la mesure dans laquelle on peut se fier sur ou avoir foi en quelque chose. Il faut du temps pour gagner la confiance de quelqu’un et on y parvient en se comportant de manière cohérente et prévisible, selon ses attentes. Parallèlement, un seul incident peut ruiner la confiance qu’on a réussi à se mériter.

Comme c’est le cas dans la vie courante, la confiance est une facette essentielle des moyens employés pour contrôler la sécurité dans les systèmes de gestion des identités (GI). Beaucoup d’institutions de recherche et d’éducation (R-E) examinent attentivement les solutions GI envisageables, car une telle solution constituera un volet crucial de leur infrastructure numérique en permettant l’adoption plus rapide de services externes tels les sites de collaboration scientifique et les logiciels en tant que services (SaaS).

Depuis quelques années, les fournisseurs de services d’infonuagique ont gagné la confiance des entreprises et du commun des mortels. Avec la multiplication des applications qui migrent dans le nuage, les liens de confiance qui nous unissent à ces fournisseurs évoluent, en partie grâce aux protocoles d’authentification qui doivent franchir le pare-feu des organisations publiques et des entreprises. En effet, on répugne à ouvrir des ports supplémentaires dans le pare-feu pour les protocoles d’authentification, car cela augmenterait les risques sur le plan de la sécurité.

Que faut-il pour déployer des solutions fiables de GIA dans le milieu de la recherche et de l’éducation (R-E) quand les applications « locales » passent dans le nuage?

Il faudrait plutôt un moyen avec lequel on intégrerait de nombreux services externes, sans liens entre eux, aux services d’annuaire des institutions (bref, à leur annuaire dynamique) sans qu’on doive créer des ports supplémentaires dans le pare-feu pour cela. La gestion des identités et des accès (GIA) peut prendre diverses formes dans le nuage.

  1. La solution « On abandonne » : chaque service externe crée son compte d’utilisateur. Résultat? L’utilisateur doit dresser une liste de la foule de justificatifs dont il doit se rappeler. Pas génial comme idée, car cette solution réclame beaucoup d’efforts, même si les pirates informatiques en raffolent, ainsi qu’en témoigne l’abondance des attaques.
  2. L’entente bilatérale. Chaque service externe s’entend avec le fournisseur d’identité (IdP) de l’institution. L’avantage est que l’utilisateur n’a besoin de se souvenir que d’un jeu d’identifiants. Avec le protocole HTTPS, plus besoin non plus d’ajouter des ports au pare-feu. Vérifier l’authenticité des messages dans un amas de parties non apparentées nécessite néanmoins la formation d’un lien de confiance numérique bilatéral et distinct (en d’autres termes, des attestations ou certificats de sécurité) entre l’IdP de l’organisation et chaque service. La confiance est l’ingrédient qui fait défaut dans de telles activités, car il est rare qu’on s’entende à l’avance sur la manière dont l’intégration des deux parties fonctionnera. Adapter cette solution à un grand nombre de services requiert passablement de coordination, avec les délais qu’on imagine quand vient le temps d’en activer un nouveau.
  3. La gestion fédérée des identités. En vertu de cette solution, chaque participant n’enregistre ses métadonnées qu’une fois, auprès de la fédération qui exploite le service. Cette dernière diffuse ensuite l’information aux autres adhérents. Activer un service demande moins d’efforts, surtout si le fournisseur fait déjà partie de la fédération. Le contrôle de la sécurité s’en trouve donc allégé. Le transfert du pare-feu de l’entreprise par le protocole HTTPS met fin à la nécessité d’ouvrir de nouveaux ports. Cette solution facilite aussi la vie de l’utilisateur, qui n’a qu’un plus seul jeu d’identifiants à se rappeler. La Fédération canadienne d’accès (FCA) procure un service de gestion fédérée des identités au milieu R-E canadien.

Comment instaure-t-on la confiance dans une fédération GI de R-E?

Faire confiance à une fédération GI ne va pas sans ressembler à ce qui se passe dans un quartier résidentiel très soudé. Imaginez un groupe de voisins qui voyagent fréquemment et souhaitent qu’on garde un œil sur leur propriété pendant leur absence en vertu d’une entente réciproque. Un voisin digne de confiance – appelons le « Bob » – , qui aime être membre d’une communauté où il fait bon vivre et où l’on se sent en sûreté garde une liste unique de propriétés et de personnes à contacter qu’il remet aux participants. La confiance qui règne dans le groupe résulte d’un besoin commun, chacun sachant qu’il ne pourrait partir en voyage l’esprit tranquille s’il ne pouvait compter sur l’aide et sur la discrétion des autres participants.

À l’image de ce Bob, au Canada, la FCA dispense un service de gestion fédérée des identités qui s’adresse au milieu R-E. Dans cette collectivité, la confiance s’appuie sur un intérêt commun bien particulier : la nécessité pour les chercheurs et les étudiants de partager l’information et de collaborer au moyen de l’infrastructure numérique. La FCA établit un protocole standard pour le partage d’informations et des mécanismes de sécurité qui vérifient l’authenticité des messages. Elle fixe et applique aussi des exigences de participation minimales et diffuse les métadonnées aux participants pour qu’ils sachent que les interactions se conforment bien à ses normes. La confiance s’installe quand les participants épousent sans faillir les politiques de la fédération et appliquent les protocoles de sécurité qui garantissent l’authenticité des messages GI échangés entre eux.

Le milieu R-E canadien mise de plus en plus sur la collaboration internationale pour accélérer ses travaux. Par chance, beaucoup de pays développés possèdent leur propre fédération GI et celle-ci épouse les mêmes normes que la FCA pour la gestion fédérée des identités. C’est pourquoi le service interfédération eduGAIN autorise l’échange d’informations sûres entre les fédérations qui en sont membres. Grâce à eduGAIN, les chercheurs ont accès aux services fédérés mondialement en se servant des justificatifs que leur a attribués leur institution.

Plus vaste est la fédération, plus son utilité est grande pour les adhérents. Participer à la FCA est simple comme bonjour et n’importe quelle organisation qui appuie le milieu R-E au Canada ou en facilite les activités peut le faire. Pour en savoir plus, on visitera le site canarie.ca/identite.