TL;DR

  • un pas dans la bonne direction
  • attention Ă  la dĂ©finition des attributs minimums nĂ©cessaires
  • particulièrement adaptĂ© Ă  la situation en France
  • on pourrait dĂ©jĂ  plus utiliser Shibboleth

Nathalie Clot attire mon attention sur un dĂ©bat en cours autour d’un effort pour crĂ©er une norme NISO pour la gestion de l’accès aux ressources Ă©lectroniques.

La recommendation est RA21: Resource Access for the 21st Century, et le billet sur lequel pointe Nathalie est What Will You Do When They Come for Your Proxy Server?. De quoi s’agit-il?

RA21 est une initiative conjointe de STM Assoc, qui représente les éditeurs scientifiques, et de NISO, qui a pour objectif

de faciliter la fluiditĂ© de l’expĂ©rience utilisateur pour ceux qui utilisent la littĂ©rature scientifique. (… et de) rĂ©soudre les obstacles complexes, anciens, et gĂ©nĂ©ralisĂ©s dans les domaines de la sĂ©curitĂ© rĂ©seau et des donnĂ©es privĂ©es.

ConcrĂ©tement il s’agit de s’Ă©loigner des systèmes d’autorisation sur la base des adresses IP, reverse proxies inclus, et de promouvoir l’utilisation de l’authentification individuelle dĂ©lĂ©guĂ©e dans le cadre de fĂ©dĂ©rations d’identitĂ©s.

Le billet de blog de Scholarly Kitchen est assez critique Ă  l’Ă©gard de cette initiative. L’auteur craint principalement deux choses :

  • que les fournisseurs cessent d’accepter la reconnaissance IP comme moyen d’accès
  • qu’une authentification personnelle des utilisateurs ouvre la porte Ă  la collection d’informations personnelles par les fournisseurs.

Je pense que ces craintes sont en grande partie (mais pas totalement) infondées, et que RA21 est un développement souhaitable. Souhaitable en général, et souhaitable en France tout particulièrement.

Allons-y…

SAML/Shibboleth et RA21

L’architecture de base proposĂ©e par RA21 existe dĂ©jĂ  : c’est un mĂ©canisme de fĂ©dĂ©ration d’identitĂ© classique, type SAML2/Shibboleth. Petit rappel sur son fonctionnement.

  1. L’utilisateur arrive sur le site web d’un fournisseur de documentation Ă©lectronique, qu’on va considĂ©rer ici comme Service Provider (SP) : il fournit le service en ligne, mais a besoin de savoir s’il doit ouvrir la porte Ă  l’usager (Mlle Chibaulette) qui se prĂ©sente. Il ne le fait pas lui-mĂŞme, il fait confiance Ă  ses clients, qui participent Ă  la fĂ©dĂ©ration d’identitĂ©.
  2. quand Mlle Chibaulette clique sur le bouton “connect”, elle est redirigĂ©e vers une page sur laquelle elle doit choisir son Ă©tablissement de rattachement, page dite Where Are You From (WAYF)?
  3. en fonction de son choix Mlle Chibaulette est redirigĂ©e vers la page d’authentification de son Ă©tablissement, qui a sans doute un annuaire ldap, un CAS, etc. permettant de valider par login / mot de passe, que Mlle Chibaulette est bien affiliĂ©e Ă  l’institution, avec un compte valide, etc. L’Ă©tablissement fournit des informations sur l’identitĂ© de Mlle Chibaulette (il est donc Identity Provider, ou IdP)
  4. L’IdP renvoit au SP les informations nĂ©cessaires (je reviens lĂ -dessus plus bas)
  5. Le SP donne son accès à Mlle Chibaulette

RA21 vise d’une part Ă  la gĂ©nĂ©ralisation de cet usage. Et d’autre part Ă  quelques amĂ©liorations marginales.

Ils souhaitent amĂ©liorer la dĂ©couverte de l’IdP via la page WAYF. En gros, en fonction de votre gĂ©olocalisation, de votre email, d’autres indices, ne pas vous prĂ©senter une page de sĂ©lection d’institutions oĂą on vous prĂ©sente la terre entière, mais juste les 2 ou 3 institutions les plus probables pour vous. Et une fois que vous avez fait ce choix, l’enregistrer dans un cookie qui vous dispenserait d’avoir Ă  refaire ce choix, la fois suivante chez le mĂŞme prestataire, ou la première fois chez un autre prestataire membre de la fĂ©dĂ©ration RA21 qui lirait ce cookie pour deviner: WAYF?

Cette amĂ©lioration passerait aussi par un meilleur Ă©change de mĂ©tadonnĂ©es entre membres de la fĂ©dĂ©ration RA21 permettant non pas de savoir individuellement, cette fois, qui est qui, mais de savoir quels sont les bons indices d’appartenance Ă  tel ou tel IdP.

RA21 a fait un programme pilote qui explique assez bien les tenants et aboutissants de cette démarche.

Craintes sur les données privées

Lisa Hinchliffe, dans son billet What Will You Do When They Come for Your Proxy Server?, exprime plusieurs réticences.

D’abord, elle pense que le système par IP ne fonctionne pas si mal. Evidemment, elle concède que l’accès Ă  distance par reverse proxy n’est pas optimum, mais l’un dans l’autre, ça va : on cherche Ă  rĂ©gler un problème qui n’existe pas vraiment.

Hum… C’est vrai tant que la situation locale est assez simple : quelques tranches d’adresses IP bien dĂ©terminĂ©es et stables, une population Ă  desservir Ă  distance qui soit elle aussi bien claire et propre, etc. Mais dès que vous avez plein de campus, des partages de bâtiments, des populations Ă  desservir un peu trop mouvantes, les difficultĂ©s de gestion des accès par IP deviennent très rĂ©els. Bref, mon point de vue est qu’il peut y avoir des situations simples oĂą la question ne se pose pas, mais qu’elle se pose malgrĂ© tout très vite dès que la taille et la complexitĂ© de l’institution augmente.

Par ailleurs, c’est transparent pour l’usager qui est sur le Campus, certes, mais dès qu’on est hors Campus c’est tout sauf transparent, et encore une fois selon le contexte, la proportion d’accès hors campus peut devenir très importante. A Paris par exemple. Ou pour les chercheurs qui se dĂ©placent beaucoup ou n’ont pas de bureau sur le Campus, etc.

Ensuite, et c’est son argument principal, Lisa Hinchliffe pense qu’on fournit avec SAML/RA21 des donnĂ©es personnelles sur nos usagers aux prestataires de documentation Ă©lectronique.

Ma rĂ©ponse sur ce point? Pas forcĂ©ment, et surtout ça dĂ©pend en grande partie de nous. En effet, dans les aller-retours dĂ©crits ci-dessus, Ă  l’Ă©tape 4. L’Ă©tablissement IdP renvoit au SP les informations nĂ©cessaires, c’est l’Ă©tablissement qui dĂ©cide des informations Ă  renvoyer. Elles peuvent ĂŞtre absolument minimales, y compris se contenter de dire : je connais cette personne, c’est bon, mais je ne vous en dit rien d’autre. Je ne vous donne pas son mail, ni son sexe, ni son tĂ©lĂ©phone, ni je ne sais quoi d’autre. l’IdP peut aussi limiter la durĂ©e de validitĂ© de ce “ticket” : mon autorisation n’est valable que, mettons, 3 heures, et au-delĂ  merci de me renvoyer cette personne pour une nouvelle authentification.

L’objection de Lisa Hinchliffe Ă  cette rĂ©ponse est qu’elle n’a pas confiance dans ses services informatiques : ils voudront, dit-elle, SAML/Shibboleth parce que c’est commode et sĂ©curisĂ©, mais ils se moquent souvent des donnĂ©es privĂ©es. Peut-ĂŞtre. Mais je connais aussi beaucoup de bibliothĂ©caires qui se moquent des donnĂ©es privĂ©es, et qui collectent plein d’infos sur la base de l’accès via IP. Et c’est mal aussi. La rĂ©ponse ne peut pas ĂŞtre de refuser l’amĂ©lioration du service par principe, elle doit ĂŞtre de travailler avec les partenaires internes (juridiques, techniques) de l’institution pour bien dĂ©limiter ces transferts d’information Ă  ce qui est nĂ©cessaire et juste ce qui est nĂ©cessaire (mais pas moins non plus… certains IdP se prennent pour Fort Knox aussi.)

Par contre, et lĂ  je rejoins Lisa Hinchliffe, il doit y avoir un dialogue au sein de RA21 entre bibliothèques et fournisseurs sur la dĂ©limitation des infos nĂ©cessaires au service. Le mail individuel, par exemple, n’est sans doute pas absolument nĂ©cessaire au service de consultation de la documentation Ă©lectronique, et si un fournisseur en faisait une condition d’accès, il contreviendrait certainement Ă  l’esprit de la recommendation RA21 telle que je le comprends aujourd’hui. RA21 dĂ©clare bien que “la solution respectera les rĂ©glementations Ă©mergentes sur les donnĂ©es privĂ©es (…) et trouvera une balance optimale entre sĂ©curitĂ© et usabilitĂ©”. Mais il serait sans doute prĂ©fĂ©rable que soient explicitĂ©s ces choix et, par exemple, que des “niveaux de protection” soient dĂ©fini, le niveau maximum permettant toujours au minimum de consulter la documentation, sans autre service associĂ©.

Mais si Mlle Chibaulette souhaite avoir une alerte sur les nouvelles publications et donne pour ce faire volontairement son mail au fournisseur, c’est une autre histoire.

Contexte français

La situation française est particulière sur ce sujet. L’adoption de Shibboleth est très limitĂ©e dans le secteur de la documentation, mais sans doute pas pour les raisons de respect des donnĂ©es privĂ©es Ă©voquĂ©es par Lisa Hinchliffe. D’autres facteurs jouent un rĂ´le : le dialogue limitĂ© entre services informatiques et documentaires; l’usage intensif des reverse proxies, y compris pour les accès internes (on n’aime pas que les prestataires loggent le traffic de nos usagers, mais on n’est pas contre l’idĂ©e qu’on le ferait de notre cĂ´tĂ© : c’est pas pareil, c’est pour la bonne cause…).

Mais c’est paradoxal, parce que d’une certaine façon la France bĂ©nĂ©ficierait particulièrement d’un usage plus dĂ©veloppĂ© de Shibboleth et, dans le futur, de RA21.

Parce qu’il existe une infrastructure nationale solide autour de la fĂ©dĂ©ration d’identitĂ© Renater et qu’il serait plus facile que dans d’autres pays moins centralisĂ©s de mettre en place un dialogue national avec les prestataires sur ce sujet.

Aussi parce que le millefeuille institutionnel de l’enseignement supĂ©rieur et de la recherche en France est tout particulièrement complexe, pour ne pas dire carrĂ©ment bordĂ©lique. Comme dit Geoffrey Chaucer : “God woot, it is a shitshow”. Les universitĂ©s, grandes Ă©coles, qui divorcent, fusionnent, s’allient dans des COMUE, des Ă©tablissements publics, le CNRS partout, les licences nationales, les contrats communs avec les hĂ´pitaux, etc. Dans ce contexte, il est quasiment impossible Ă  Mlle Chibaulet de gĂ©rer correctement les accès auxquels elle a droit sur la seule base des adresses IP et de VPNs, elle y passe un temps fou et loupe sans doute plusieurs virages dans ce dĂ©dale, dont la complexitĂ© limite certainement son usage. Pour les institutions, c’est devenu une usine Ă  gaz dont le rapport coĂ»t de gestion / qualitĂ© du service n’est tout de mĂŞme pas terrible…

D’une certaine façon, RA21, parce qu’il gère l’accès plus finement au niveau de Mlle Chibaulet plutĂ´t qu’uniquement au niveau de son/ses institution(s) d’appartenance, serait particulièrement adaptĂ© Ă  la situation Française.

Mise Ă  jour 25/05/2019 Lisa Hinchliffe me fait remarquer Ă  juste titre que depuis la publication de son billet, un certain nombre de ses craintes ont Ă©tĂ© discutĂ©es par AR21, qui a Ă©voluĂ©. Pour autant, l’ARL vient de prendre position contre le projet, jugĂ© trop dĂ©sĂ©quilibrĂ© en faveur des Ă©diteurs. Finalement, mon billet Ă©tait “accrochĂ©” Ă  AR21, mais je pense qu’une progression de l’adoption de Shibboleth, sans la partie AR21, serait dĂ©jĂ  un gros progrès.