TL;DR

  • un pas dans la bonne direction
  • attention à la définition des attributs minimums nécessaires
  • particulièrement adapté à la situation en France
  • on pourrait déjà plus utiliser Shibboleth

Nathalie Clot attire mon attention sur un débat en cours autour d’un effort pour créer une norme NISO pour la gestion de l’accès aux ressources électroniques.

La recommendation est RA21: Resource Access for the 21st Century, et le billet sur lequel pointe Nathalie est What Will You Do When They Come for Your Proxy Server?. De quoi s’agit-il?

RA21 est une initiative conjointe de STM Assoc, qui représente les éditeurs scientifiques, et de NISO, qui a pour objectif

de faciliter la fluidité de l’expérience utilisateur pour ceux qui utilisent la littérature scientifique. (… et de) résoudre les obstacles complexes, anciens, et généralisés dans les domaines de la sécurité réseau et des données privées.

Concrétement il s’agit de s’éloigner des systèmes d’autorisation sur la base des adresses IP, reverse proxies inclus, et de promouvoir l’utilisation de l’authentification individuelle déléguée dans le cadre de fédérations d’identités.

Le billet de blog de Scholarly Kitchen est assez critique à l’égard de cette initiative. L’auteur craint principalement deux choses :

  • que les fournisseurs cessent d’accepter la reconnaissance IP comme moyen d’accès
  • qu’une authentification personnelle des utilisateurs ouvre la porte à la collection d’informations personnelles par les fournisseurs.

Je pense que ces craintes sont en grande partie (mais pas totalement) infondées, et que RA21 est un développement souhaitable. Souhaitable en général, et souhaitable en France tout particulièrement.

Allons-y…

SAML/Shibboleth et RA21

L’architecture de base proposée par RA21 existe déjà : c’est un mécanisme de fédération d’identité classique, type SAML2/Shibboleth. Petit rappel sur son fonctionnement.

  1. L’utilisateur arrive sur le site web d’un fournisseur de documentation électronique, qu’on va considérer ici comme Service Provider (SP) : il fournit le service en ligne, mais a besoin de savoir s’il doit ouvrir la porte à l’usager (Mlle Chibaulette) qui se présente. Il ne le fait pas lui-même, il fait confiance à ses clients, qui participent à la fédération d’identité.
  2. quand Mlle Chibaulette clique sur le bouton “connect”, elle est redirigée vers une page sur laquelle elle doit choisir son établissement de rattachement, page dite Where Are You From (WAYF)?
  3. en fonction de son choix Mlle Chibaulette est redirigée vers la page d’authentification de son établissement, qui a sans doute un annuaire ldap, un CAS, etc. permettant de valider par login / mot de passe, que Mlle Chibaulette est bien affiliée à l’institution, avec un compte valide, etc. L’établissement fournit des informations sur l’identité de Mlle Chibaulette (il est donc Identity Provider, ou IdP)
  4. L’IdP renvoit au SP les informations nécessaires (je reviens là-dessus plus bas)
  5. Le SP donne son accès à Mlle Chibaulette

RA21 vise d’une part à la généralisation de cet usage. Et d’autre part à quelques améliorations marginales.

Ils souhaitent améliorer la découverte de l’IdP via la page WAYF. En gros, en fonction de votre géolocalisation, de votre email, d’autres indices, ne pas vous présenter une page de sélection d’institutions où on vous présente la terre entière, mais juste les 2 ou 3 institutions les plus probables pour vous. Et une fois que vous avez fait ce choix, l’enregistrer dans un cookie qui vous dispenserait d’avoir à refaire ce choix, la fois suivante chez le même prestataire, ou la première fois chez un autre prestataire membre de la fédération RA21 qui lirait ce cookie pour deviner: WAYF?

Cette amélioration passerait aussi par un meilleur échange de métadonnées entre membres de la fédération RA21 permettant non pas de savoir individuellement, cette fois, qui est qui, mais de savoir quels sont les bons indices d’appartenance à tel ou tel IdP.

RA21 a fait un programme pilote qui explique assez bien les tenants et aboutissants de cette démarche.

Craintes sur les données privées

Lisa Hinchliffe, dans son billet What Will You Do When They Come for Your Proxy Server?, exprime plusieurs réticences.

D’abord, elle pense que le système par IP ne fonctionne pas si mal. Evidemment, elle concède que l’accès à distance par reverse proxy n’est pas optimum, mais l’un dans l’autre, ça va : on cherche à régler un problème qui n’existe pas vraiment.

Hum… C’est vrai tant que la situation locale est assez simple : quelques tranches d’adresses IP bien déterminées et stables, une population à desservir à distance qui soit elle aussi bien claire et propre, etc. Mais dès que vous avez plein de campus, des partages de bâtiments, des populations à desservir un peu trop mouvantes, les difficultés de gestion des accès par IP deviennent très réels. Bref, mon point de vue est qu’il peut y avoir des situations simples où la question ne se pose pas, mais qu’elle se pose malgré tout très vite dès que la taille et la complexité de l’institution augmente.

Par ailleurs, c’est transparent pour l’usager qui est sur le Campus, certes, mais dès qu’on est hors Campus c’est tout sauf transparent, et encore une fois selon le contexte, la proportion d’accès hors campus peut devenir très importante. A Paris par exemple. Ou pour les chercheurs qui se déplacent beaucoup ou n’ont pas de bureau sur le Campus, etc.

Ensuite, et c’est son argument principal, Lisa Hinchliffe pense qu’on fournit avec SAML/RA21 des données personnelles sur nos usagers aux prestataires de documentation électronique.

Ma réponse sur ce point? Pas forcément, et surtout ça dépend en grande partie de nous. En effet, dans les aller-retours décrits ci-dessus, à l’étape 4. L’établissement IdP renvoit au SP les informations nécessaires, c’est l’établissement qui décide des informations à renvoyer. Elles peuvent être absolument minimales, y compris se contenter de dire : je connais cette personne, c’est bon, mais je ne vous en dit rien d’autre. Je ne vous donne pas son mail, ni son sexe, ni son téléphone, ni je ne sais quoi d’autre. l’IdP peut aussi limiter la durée de validité de ce “ticket” : mon autorisation n’est valable que, mettons, 3 heures, et au-delà merci de me renvoyer cette personne pour une nouvelle authentification.

L’objection de Lisa Hinchliffe à cette réponse est qu’elle n’a pas confiance dans ses services informatiques : ils voudront, dit-elle, SAML/Shibboleth parce que c’est commode et sécurisé, mais ils se moquent souvent des données privées. Peut-être. Mais je connais aussi beaucoup de bibliothécaires qui se moquent des données privées, et qui collectent plein d’infos sur la base de l’accès via IP. Et c’est mal aussi. La réponse ne peut pas être de refuser l’amélioration du service par principe, elle doit être de travailler avec les partenaires internes (juridiques, techniques) de l’institution pour bien délimiter ces transferts d’information à ce qui est nécessaire et juste ce qui est nécessaire (mais pas moins non plus… certains IdP se prennent pour Fort Knox aussi.)

Par contre, et là je rejoins Lisa Hinchliffe, il doit y avoir un dialogue au sein de RA21 entre bibliothèques et fournisseurs sur la délimitation des infos nécessaires au service. Le mail individuel, par exemple, n’est sans doute pas absolument nécessaire au service de consultation de la documentation électronique, et si un fournisseur en faisait une condition d’accès, il contreviendrait certainement à l’esprit de la recommendation RA21 telle que je le comprends aujourd’hui. RA21 déclare bien que “la solution respectera les réglementations émergentes sur les données privées (…) et trouvera une balance optimale entre sécurité et usabilité”. Mais il serait sans doute préférable que soient explicités ces choix et, par exemple, que des “niveaux de protection” soient défini, le niveau maximum permettant toujours au minimum de consulter la documentation, sans autre service associé.

Mais si Mlle Chibaulette souhaite avoir une alerte sur les nouvelles publications et donne pour ce faire volontairement son mail au fournisseur, c’est une autre histoire.

Contexte français

La situation française est particulière sur ce sujet. L’adoption de Shibboleth est très limitée dans le secteur de la documentation, mais sans doute pas pour les raisons de respect des données privées évoquées par Lisa Hinchliffe. D’autres facteurs jouent un rôle : le dialogue limité entre services informatiques et documentaires; l’usage intensif des reverse proxies, y compris pour les accès internes (on n’aime pas que les prestataires loggent le traffic de nos usagers, mais on n’est pas contre l’idée qu’on le ferait de notre côté : c’est pas pareil, c’est pour la bonne cause…).

Mais c’est paradoxal, parce que d’une certaine façon la France bénéficierait particulièrement d’un usage plus développé de Shibboleth et, dans le futur, de RA21.

Parce qu’il existe une infrastructure nationale solide autour de la fédération d’identité Renater et qu’il serait plus facile que dans d’autres pays moins centralisés de mettre en place un dialogue national avec les prestataires sur ce sujet.

Aussi parce que le millefeuille institutionnel de l’enseignement supérieur et de la recherche en France est tout particulièrement complexe, pour ne pas dire carrément bordélique. Comme dit Geoffrey Chaucer : “God woot, it is a shitshow”. Les universités, grandes écoles, qui divorcent, fusionnent, s’allient dans des COMUE, des établissements publics, le CNRS partout, les licences nationales, les contrats communs avec les hôpitaux, etc. Dans ce contexte, il est quasiment impossible à Mlle Chibaulet de gérer correctement les accès auxquels elle a droit sur la seule base des adresses IP et de VPNs, elle y passe un temps fou et loupe sans doute plusieurs virages dans ce dédale, dont la complexité limite certainement son usage. Pour les institutions, c’est devenu une usine à gaz dont le rapport coût de gestion / qualité du service n’est tout de même pas terrible…

D’une certaine façon, RA21, parce qu’il gère l’accès plus finement au niveau de Mlle Chibaulet plutôt qu’uniquement au niveau de son/ses institution(s) d’appartenance, serait particulièrement adapté à la situation Française.

Mise à jour 25/05/2019 Lisa Hinchliffe me fait remarquer à juste titre que depuis la publication de son billet, un certain nombre de ses craintes ont été discutées par AR21, qui a évolué. Pour autant, l’ARL vient de prendre position contre le projet, jugé trop déséquilibré en faveur des éditeurs. Finalement, mon billet était “accroché” à AR21, mais je pense qu’une progression de l’adoption de Shibboleth, sans la partie AR21, serait déjà un gros progrès.