Nicoz

Je me penche aujourd’hui sur le protocole ouvert de SSO qu’est OpenID ; présentation de la chose, explications pour la création de compte et problèmes de sécurité posés par le protocole.

Qu’est-ce qu’OpenID ?

Le but est de pouvoir se connecter à plusieurs sites indépendants les uns des autres sans avoir à créer un nouveau compte pour chacun, mais en utilisant au contraire un seul et même compte centralisé sur un serveur OpenID. Concrètement, il faut créer un compte sur un serveur d’authentification OpenID en fournissant plusieurs informations et on obtient une adresse du style http://utilisateur.serveur-openid.tld. On peut ensuite se rendre sur un site qui prend en charge OpenID et s’identifier grâce à cette adresse.
L’identification est plutôt simple (mais, comme on le verra ensuite, il faut y prêter attention car elle peut facilement être détournée par un pirate) ;

1. L’utilisateur rentre son URI dans le champ prévu,
2. Il est redirigé vers une page de son serveur OpenID pour qu’il s’identifie, s’il ne l’est pas déjà,
3. Le serveur lui demande quel profil il veut appliquer pour le site qui l’envoi si c’est la première fois que l’utilisateur s’y connecte,
4. L’utilisateur est redirigé vers le site de départ, qui récupère alors les infos.

Obtenir un(e) URI OpenID

Certains sites internet font aussi office de serveur OpenID, comme WordPress.com, Orange, Blogger ou encore AOL, vous avez donc peut-être déjà sans le savoir un(e) URI (liste complète). Il est aussi possible de créer un compte chez des fournisseurs d’adresses OpenID qui ne font que ça. Le site officiel d’OpenID en recense 5 à l’heure actuelle, j’utilise personnellement myOpenID. Ce dernier a le mérite d’être simple et de proposer quelques parades aux risques de phising évoqués après. L’inscription ne requiert qu’un nom d’utilisateur et un mot de passe, bien qu’il soit possible de donner plus d’infos. Il est aussi possible de créer assez facilement des profils, de sorte que lorsque vous vous connecterez grâce à votre adresse OpenID à un site, vous pourrez choisir tel ou tel profil en fonction des informations que vous voulez fournir au site. Après l’inscription, on obtient son URI, dans mon cas : http://Nicoz.myopenid.com/.
À noter que l’adresse qui vous sert de login redirige aussi vers une page d’identité, en clair, quand vous la tapez dans un navigateur, vous arrivez sur une page personnalisable avec des informations sur le possesseur de l’OpenID.

Quels sites supportent OpenID ?

MyOpenID (le serveur OpenID présenté au-dessus, si vous avez suivi ), de même que le site officiel d’OpenID, propose un annuaire de sites qui prennent en charge OpenID (l’annuaire d’OpenID.net et l’annuaire de MyOpenID). Il ne faut pas se voiler la face, OpenID n’en est qu’à ses débuts et la majorité des sites qui le supportent sont anglophone. On retrouve cependant de plus en plus de sites francophones, parmi ceux-ci le site de memup, une marque française qui vend des disques durs externes et divers périphériques de stockage, ou encore WikiTravel, un guide de voyage libre (via cette page).
En fait, dès que vous verrez le petit logo OpenID, vous pourrez vous connecter ; il n’est pas impossible que ce blog propose bientôt ce mode de connexion.

Et la sécurité dans tout ça ?

Ah la sécurité… En fait, c’est là que le bât blesse. Le risque le plus important est le phising. Reprenons la procédure du début, c’est ce qui se passe quand tout le monde est gentil. Imaginons maintenant que le site qui vous propose une identification par OpenID soit le site d’un pirate, ça donnerait quelque chose comme ça :

1. L’utilisateur rentre son URI dans le champ prévu,
2. Il est redirigé vers une page qui imite celle de son serveur OpenID pour que le pirate récupère ses identifiants,
3. Le serveur lui demande quel profil il veut appliquer pour le site qui l’envoi si c’est la première fois que l’utilisateur s’y connecte,
4. L’utilisateur est redirigé vers le site de départ, qui récupère alors les infos.

Résultat des courses, le pirate est en possession des identifiants. Un phising en bonne et due forme. Heureusement pour nous, MyOpenID propose l’identification par certificat. En plus de ça, il est possible d’afficher une « image personnelle », qui permettrait éventuellement de se rendre compte d’un phising. Le risque est donc bien canalisé (l’utilisation de certificat est une parade sûre), mais il demeure tout de même présent.
On peut aussi se méfier des attaques XSS. Il est vrai qu’elles sont, de nos jours, bien connues, et donc que les webmasters ont peu de mal à les traquer, mais je considère que la meilleure solution reste d’installer l’extension NoScript.
En clair, ce n’est pas un protocole parfait au niveau de la sécurité, mais si on fait un peu attention, on peut considérer OpenID comme quelque chose de sûr.

Depuis le 8 août, date de la cérémonie d’ouverture des JO de Pékin, les journalistes remarquent de nombreux mensonges et, pire encore, des tricheries du côté chinois. Qu’est-ce qu’ils ne feraient pas pour impressionner le monde !
Tout commence lors de la cérémonie d’ouverture. Les organisateurs de cette mascarade avaient choisi une petite fillette de 7 ans, Yang Peiyi, pour chanter l’« Ode à la Patrie ». Sa voix a effectivement résonné au cœur de l’immense nid d’oiseau, et il faut avouer qu’elle chantait bien. Cependant, elle n’était pas assez belle, pas assez parfaite pour « l’image de [leur] musique nationale » (dixit le directeur musical de la cérémonie), alors ils l’ont remplacée par une autre fillette de 9 ans, Lin Miaoke, qui chantait en play-back sur la voix de Yang Peiyi. C’est pour l’« Intérêt national » (directeur musical de la cérémonie)…
Incroyable, mais il y a mieux. D’après le Telegraph, les images de feux d’artifices diffusées aux milliards de téléspectateurs le 8 août ont été retouchées par ordinateur. Elles auraient apparemment été enregistrées à l’avance afin que les Chinois y insèrent des images de synthèse.
Et vous n’êtes pas aux bouts de vos surprises ! Afin de garantir un temps optimal, la Chine a demandé à son très officiel bureau pour la modification de la météo de tirer des roquettes dans les nuages, afin d’éviter les orages. Le parti communiste chinois vivrait mal une annulation d’épreuves dans ses olympiades qu’il rêve impeccables, mais aujourd’hui 14 août, malgré les 1 104 roquettes tirées à partir de 21 sites de lancement pékinois depuis le début des jeux, de nombreuses épreuves ont été annulées, comme l’aviron. On connaît désormais l’inutilité de cette arsenal de guerre contre les orages, mais on ne connaît pas son impact sur l’environnement, qui pourrait bien être désastreux.
Pire encore, de nombreux journalistes rapportent être victimes de la police chinoise, qui gênerait leurs reportages. Hier matin, un journaliste britannique a ainsi subit ce qu’il faut bien appeler une agression (lui même parle de « véritable agression ») de la part des autorités locales, alors qu’il tentait de couvrir une manifestation pro-tibétaine.
Mais le summum de la mauvaise foi réside dans une réelle tricherie des chinois. Alors que l’âge minimum requis pour participer aux épreuves de gymnastique est de 16 ans, la Chine a usé de fraudes pour inscrire des athlètes surentraînées âgées de 14 ans. Ce comportement confirme bien l’idée de la délégation de la RPC, résumée par la devise de son équipe de tir à la carabine : « mourir pour la lutte pour l’or plutôt que survivre pour seulement participer ». Il est beau, l’esprit olympique.

$date = mktime(0, 0, 0, 9, 10, 2008);
$reste = time()-$date;
$jours = floor($reste/60/60/24); ?>

Ça y est presque. Dans un communiqué de pesse diffusé la 7 août dernier, le CERN annonce officiellement que le LHC accélérera son premier faisceau le mercredi 10 septembre. En construction depuis 1994, cet accélérateur de particules va donc enfin rentrer en service, avec près de huit années de retards, détrônant le Tevatron américain de son statut de plus puissant accélérateur du monde. Le grand collisionneur de hadrons (Large Hadron Collider), long de 27 km, va en effet accélérer des protons jusqu’à une énergie de 7 TeV (soit une vitesse qui correspond à 99,9999991 % de la célérité de la lumière dans le vide). Avec une énergie d’injection de 450 GeV, le premier faisceau devrait être accéléré jusqu’à une énergie de 5 TeV. L’accélération de faisceau jusqu’à l’énergie maximale de 7 TeV est, elle, prévue pour 2010.

Le sprint final a commencé il y a quelques mois, avec le début du refroidissement de la machine. Il faut en effet amener les 8 secteurs à une température de 1,9 K, notamment grâce à l’hélium superfluide, afin de pouvoir exploiter pleinement les électro-aimants chargés de maintenir les protons sur leur trajectoire. Il a ensuite fallu synchroniser le LHC avec le SPS (Supersynchrotron à Protons). Le SPS est l’accélérateur qui va amener les faisceaux jusqu’à l’énergie de 450 GeV, avant de les injecter dans le LHC. Ces deux machines doivent être parfaitement coordonnées (la marge d’erreur est de l’ordre d’une fraction de nanoseconde, selon le communiqué). Les tests du système de transfert de rayon du SPS vers le LHC dans le sens des aiguilles d’une montre se sont déroulés avec succès le week-end dernier ; ceux destinés à tester le système d’injection dans le sens inverse des aiguilles d’une montre sont prévus le week-end du 22 août.

Les physiciens attendent beaucoup du LHC, qui sera exploité au travers de 4 détecteurs : ATLAS, CMS, LHCb et ALICE. Ils espèrent notamment découvrir le boson de Higgs, pièce qui manque au puzzle du modèle standard et qui expliquerait pourquoi certaines particules ont une masse, et d’autres, comme le photon, n’en ont pas. Ce qui est sûr c’est qu’en collisionnant deux faisceaux de 5 TeV, le LHC offrira aux yeux des physiciens un monde nouveau, encore inexploré et qui pourrait réserver bien des surprises (mais absolument sans danger, contrairement à ce que pourraient laisser entendre quelques troubles-fêtes à l’inculture latente).

C’était il y a jours !

• Le communiqué de presse

Que reste-t-il de l’esprit olympique ? Apparemment, pas grand chose ; trois jours après l’ouverture des olympiades de la honte, l’heure ne semble plus à la paix. Pire encore, « l’idéal olympique » a totalement disparu.
Et pourtant, ça commençait si bien ! Les médias avaient enfin de quoi passer sous silence les atteintes aux droits humains à travers le monde, la belle cérémonie repassait en boucles dans les JT, annonçant quinze jour d’une trêve de l’info. Plus question de parler du Tibet, plus un mot sur les 50 cyberdissidents emprisonnés en Chine, pas plus que sur les 29 journalistes qui croupissent dans les prisons de la dictature communiste. Que sont devenus ces innombrables moines arrêtés ? Personne ne saurait le dire… et de toute façon, personne n’en a envie. La belle cérémonie, c’est quand même plus important.
Plus important aussi que les petites tensions entre Géorgie et Russie. Pas de quoi en faire tout un plat, à peine quelques milliers de morts, il est tout à fait logique de parler avant tout des JO. Une médaille par ci, une autre par là. Un champions pour tel pays, une bombe pour cet autre. Quoi de plus normal ?
C’est l’idéal olympique qu’on assassine, et les géorgiens aussi.
Monsieur Bush regarde Michael Phelps gagner. Monsieur Poutine regarde les géorgiens crever. Et pendant ce temps là, tout le monde parle des grands, des beaux, des excellents JO, où l’essentiel tient plus, de nos jours, dans la victoire que dans la participation.
Qu’est devenue la paix olympique ? Que vaut désormais la devise des jeux ?
Il n’est plus question de trêve des armes. On assiste à une trêve de l’information, peut-être, des valeurs de l’olympisme, sûrement. Mais le peuple est content.
Panem et circenses.