6. Groupes et identité sur le web


6.4. L’identité sociale en ligne

6.4.1 L’évolution de l’identité sur les réseaux

L’identité a une longue histoire sur le réseau Internet. Cette section se veut une façon d’en retracer les principaux jalons.

L’introduction de l’identité dans les systèmes informatiques

L’identité technique est née bien avant l’expansion d’Internet, à l’époque des ordinateurs centraux. Dans un contexte de réseau informatique, l’accès à certaines ressources informatiques (sur un ordinateur central partagé, par exemple) nécessite un certain contrôle. Ce contrôle s’effectue sous la forme de comptes individuels, associés à des utilisateurs particuliers ou à des rôles distincts. Le compte de l’utilisateur constitue une sorte de « passeport » lui donnant certains droits, contrôlés de façon centrale. L’administrateur contrôle les accès et dispose souvent de privilèges spécifiques. Voilà la base de l’identité, d’un point de vue technique.

Ce type d’identité ne nécessite minimalement que quelques données pour fonctionner. L’identité de chaque compte ne comporte que ce qui est nécessaire à l’authentifier sur le système en question : un nom et un mot de passe. Les mots de passe étant bien entendu masqués, les noms d’utilisateurs sont la seule partie visible de l’identité. Qui plus est, ces noms d’utilisateurs sont souvent limités dans le nombre ou le type de caractères. Dans un tel contexte, l’identité peut se limiter à une chaîne de huit caractères alphanumériques, déterminée par l’administrateur d’un système donné.

Dans certains cas, l’accès à certaines ressources est exclusif. De l’espace disque sur un serveur peut par exemple être réservé à l’usage d’un utilisateur et le contenu de cet espace disque peut être masqué de la vue des autres utilisateurs. Les ressources contenues sur cet espace disque sont donc « privées », en ce sens que seuls certains comptes y ont accès dans une structure hiérarchique qui permet à un « superutilisateur » (ou à un utilisateur de niveau supérieur à celui d’un compte donné) de contrôler l’accès à ces diverses ressources.

La distribution de l’accès aux ressources n’est pas nécessairement uniforme : certains utilisateurs (à quelque niveau hiérarchique que ce soit) peuvent avoir un accès plus étendu que celui des autres. Les différences dans l’accès aux ressources constituent une forme d’inégalité. Il n’est donc pas surprenant que la gestion des comptes d’utilisateurs puisse faire l’objet de processus proprement politiques, y compris de véritables conflits sociaux.

La création de comptes utilisateurs permet la gestion des ressources et procure une certaine protection contre les actes malicieux. Si seuls ceux qui y sont habilités peuvent modifier des éléments importants d’un système informatique, ce système dispose d’une protection relative contre les intrusions. Les comptes utilisateurs permettent également de personnaliser l’expérience de l’utilisateur. L’utilisation des comptes utilisateurs s’est généralisée aux ordinateurs personnels après que l’accès à Internet fut devenu monnaie courante.

Le réseau anonyme et l’identité privée

C’est en 1972 que Ray Tomlinson envoie le premier courriel, en introduisant le symbole @ entre le nom d’utilisateur et l’institution du destinataire. L’identité des utilisateurs de courriel cesse alors d’avoir un sens limité au réseau local et prend un sens plus global. Parallèlement à la diffusion de la technologie de courriel, le réseau ICQ attribue à qui en veut un UIN (Universal Internet Number or Unified Identification Number), qui permet la messagerie instantanée sur Internet. En 1975, la première liste de diffusion (mailing list) voit le jour, et les groupes de discussion (newsgroups) apparaissent en 1979. Il est important de noter qu’avec ces moyens de communication de type « plusieurs-à-plusieurs », Internet exhibe déjà plusieurs dimensions sociales, tant sur le plan de l’interaction entre les individus que sur celui de la gestion de l’identité sociale.

Au tout début du web, les visiteurs d’un site ne laissent que des traces ténues (essentiellement des adresses IP et des référants) accessibles seulement à l’administrateur du serveur. Dans un tel contexte, la dimension sociale du web est presque inexistante. Le modèle de base du web est celui des serveurs de pages plus ou moins statiques visitées par des utilisateurs presque anonymes.

Avec la commercialisation du web, le compte utilisateur apparaît, non pas dans une perspective sociale, mais dans une perspective transactionnelle avec, par exemple, les marchands ou les institutions bancaires. Le modèle de gestion de comptes utilisateurs demeure très similaire à celui de l’ère des ordinateurs centraux. La hiérarchie entre les administrateurs de systèmes et les utilisateurs est maintenue, voire renforcée. Certains membres de l’institution commerciale ou financière ont accès aux ressources associées à chaque utilisateur (client), mais l’utilisateur n’a pas le contrôle de cette communication et les contacts entre utilisateurs sont impossibles. Il n’y a d’interaction sociale directe que celle, asymétrique, entre les membres d’une institution et les visiteurs isolés. C’est un peu le modèle du confessionnal de l’Église catholique : le confesseur a des contacts avec chaque pénitent, mais les pénitents n’ont pas de conversations entre eux au sujet de leurs confessions. Pour chaque client, tout se passe comme s’il n’existait aucun autre client.

Sur le web public, quelques sites commencent à permettre aux visiteurs de laisser des traces sous la forme de texte. En l’absence d’identité, il est possible pour certains utilisateurs du web de se comporter de façon indésirable ou même malicieuse sur de tels sites. Les effets des comportements indésirables peuvent être considérables, tant sur l’infrastructure que pour les utilisateurs. Sous le couvert de l’anonymat, il est bien entendu plus facile de déranger sans en subir les conséquences.

Les identités publiques stables

Avec l’apparition des blogues et des communautés web, on commence à se doter d’identités persistantes, souvent associées à des pseudonymes. Ces identités sont presque toujours créées par l’individu en choisissant simplement un nom d’utilisateur et un mot de passe. Lors de visites ultérieures, la combinaison du nom et du mot de passe permet de s’identifier. Une adresse électronique est souvent associée à l’identité, mais si celle-ci n’est accessible qu’à l’administrateur du site.

L’identité basée sur les pseudonymes a une longue histoire sur Internet et les internautes de longue date ont parfois tendance à utiliser des pseudonymes dans des contextes où des noms personnels réels sont de rigueur. Par exemple, le fondateur du site Slashdot, Rob Malda, est généralement connu sous le nom de CmdrTaco, un pseudonyme assez typique de l’époque des babillards électroniques : huit caractères, forme abrégée par l’omission de voyelles, lettres majuscules pour distinguer des parties du nom, référence à la culture populaire.

Pour beaucoup de sites, la solution au problème des comportements dérangeants passe par l’association des contributions à une identité (qu’elle soit un pseudonyme ou associée à un nom réel). Ceci permet un certain contrôle, car on peut mettre sur une liste noire les identités indésirables. Les contributions anonymes continuent d’être acceptées, mais l’anonyme devient un citoyen de seconde zone. Des sites comme Slashdot attribuent les commentaires qui ne sont pas associés à un compte à un certain anonymous coward (« pleutre anonyme »).

Créé en 1995, le service eBay fait figure de précurseur du web social puisqu’il combine dès sa création des dimensions transactionnelles et sociales. Sur eBay, les comptes utilisateurs répondent aux mêmes besoins transactionnels que ceux des comptes sur, par exemple, un système bancaire. Mais ces comptes utilisateurs participent aussi à un système de « réputation », ce qui implique une dynamique nouvelle.

Sur eBay, acheteurs et vendeurs effectuent des transactions qui ressemblent à n’importe quelle forme d’achat en ligne. Les données associées à cette transaction sont protégées, tout comme celles associées à une transaction bancaire. Cependant, certains aspects de cette transaction sont visibles publiquement : après chaque transaction, les deux parties sont invitées à laisser des rétroactions publiques, chacune apparaissant sur la page de rétroaction de l’autre. Il y a donc un contact entre utilisateurs qui ne se connaissent pas nécessairement à l’avance. Les pages de rétroaction sont d’accès public. Avec eBay, la notion sociale de réputation fait donc son apparition sur le web (même si les utilisateurs utilisent généralement des pseudonymes).

Au début du XXIe siècle, la participation poursuit sa croissance et les contributions anonymes sont de moins en moins acceptées. Même si quelques exceptions demeurent [1], l’identification devient à beaucoup d’endroits une condition de la participation. Aujourd’hui, bien peu de services peuvent être utilisés sans connexion authentifiée (login).

Vers 2002, notamment avec la croissance des blogues, on assiste sur le web à un virage : de plus en plus de gens utilisent leur vrai nom pour s’identifier. Une forte proportion des premiers blogueurs sont des concepteurs de sites web. Le blogue fait en quelque sorte office de carte professionnelle virtuelle, ce qui fournit une bonne raison d’y mettre son vrai nom.

Fondé en 2004, Le réseau Facebook exige l’utilisation de vrais noms. On peut dire que c’est à ce moment que l’identité sur Internet commence à se rapprocher de l’identité au sens courant. Les vrais noms semblent encourager le discours civilisé : Martin Varsavsky constatait en 2009 qu’il n’y avait « pas de trolls » sur Facebook, contrairement à ce qu’il constatait dans les commentaires laissés sur son blogue.

En Corée du Sud, le populaire service Cyworld impute une grande part de son succès à l’utilisation de vrais noms :

The key point in Cyworld is its ’real-name policy’. Basically you need to use your real name associated with your official ID number to register. This has become more or less a standard among South Korean Internet services. It is a bit counter-intuitive, but real name policy does not damage free speech, it brings responsibility, courtesy and a lot of benefits for users themselves in terms of trust in the information they can find. We faced the same elements when doing a benchmark of best practices in online ’serious dating’ services : trust and reliability brings a very high value to services.

Source : Alan Moore. Cyworld Insight from +8*.. Communities Dominate Brands.

6.4.2 La multiplication (et la division) des comptes utilisateurs

Avec l’émergence des services web 2.0 on assiste à une multiplication des comptes utilisateurs. Chaque service nous demande de créer un compte, ce qui devient problématique pour l’utilisateur, et ce, à plusieurs niveaux.

L’obstacle de la connexion

Tout d’abord, la procédure de création de compte occasionne un délai dans l’utilisation du service : avant de commencer à utiliser le service, l’utilisateur doit se soumettre à une routine qui consiste à fournir diverses informations, parfois en répondant à quelques questions obligatoires, ou même à accepter les conditions d’utilisation du service. Bien que cette procédure d’inscription puisse ne durer que quelques minutes, elle n’en constitue pas moins une sorte de barrière entre l’internaute et le service. L’expérience d’utilisation, même à l’essai, ne peut commencer qu’à la fin du « rituel initiatique » de la création du compte.

Cette situation est particulièrement problématique lorsque l’utilisateur désire ne participer que de façon ponctuelle et rapide. Sur plusieurs sites, il est nécessaire de créer un profil avant de laisser un commentaire. On ne devient participant qu’après avoir été reconnu comme utilisateur du service. Puisque la procédure d’inscription, même simplifiée, peut être plus longue que l’envoi d’un commentaire isolé, l’impact négatif de ce délai dans l’expérience d’utilisation est loin d’être négligeable.

Les noms et les espaces de noms

La création de comptes divers est aussi problématique en fonction de la multiplication des noms d’utilisateurs. Il est parfois possible d’utiliser le même nom d’utilisateur pour divers services, surtout lorsque ce nom d’utilisateur est rare ou si l’utilisateur se situe dans la première vague de nouveaux utilisateurs du service. Mais il est souvent nécessaire de créer un nouveau nom d’utilisateur pour un service spécifique, ce qui rend plus difficile la mémorisation des données relatives aux comptes liés à ces services. Des internautes portant des noms assez répandus comme Chantal Gagnon ou Jean Tremblay, qui utiliseraient leurs vrais noms comme base à des noms d’utilisateurs, auraient probablement à utiliser diverses variantes pour divers services : « ChanGag », « GagnonC74 », « Jean.Tremblay.22 », etc.

Lorsqu’un nouveau service fait son chemin sur le web social, certains tentent de réserver leur nom d’utilisateur. Comme le nom de domaine au cours de la période de commercialisation du web (la bulle « dot com »), certains noms d’utilisateurs deviennent parfois très désirables. La logique est la même que pour les noms de domaine : un nom court, facile à mémoriser et significatif vaut plus cher que les autres. Comme avec les noms de domaine, certains utilisateurs peu scrupuleux en viennent à « squatter » des noms d’utilisateurs pour les revendre plus tard. Certains services tentent d’enrayer cette pratique, du moins pour ce qui est des marques de commerce enregistrées officiellement : si une entreprise désire se tailler une place sur un service du web social alors que le nom qui lui est associé est déjà utilisé par un utilisateur individuel de ce service, les administrateurs de ce service sont en mesure de forcer le passage du nom de l’utilisateur individuel vers l’entreprise.

Exercice 6A : Identités corporatives



En utilisant le nom d’une entreprise que vous connaissez, vérifiez la disponibilité de son nom sur divers services. L’entreprise contrôle-t-elle son identité en ligne ? Quels seraient les effets d’un contrôle exercé par une tierce personne ?

La multiplication des identités

Un autre problème se pose pour l’utilisateur individuel. Les principes de base de la sécurité informatique nécessitent la création de mots de passe distincts pour chaque service. Si la mémorisation de multiples noms d’utilisateurs utilisés pour divers comptes est ardue, la mémorisation de divers mots de passe associés à divers services dépasse la capacité de la plupart des internautes.

Certains outils et services permettent de conserver des mots de passe dans la mémoire de l’ordinateur (dans un « trousseau » ou keychain) ou de générer des mots de passe différents en fonction des services eux-mêmes (SuperGenPass en est un exemple). Mais ces solutions ont certains désavantages. Par exemple, lorsque le même utilisateur utilise plusieurs ordinateurs ou plusieurs navigateurs, son trousseau ne le suit pas.

L’unification des identités

« Ne serait-il pas génial de pouvoir s’identifier auprès d’un seul site, et que cette identité soit ensuite acceptée ailleurs ? » Voilà la question que se sont posée le chercheur Stephen Downes et le développeur Brad Fitzpatrick vers 2005. Ils ont proposé (en parallèle) un mécanisme permettant à un site de valider une identité auprès d’un autre site.

En gros, le mécanisme OpenID permet à l’utilisateur, lorsque vient le temps de fournir son identité à un nouveau système, de lui fournir non pas un nom d’utilisateur et un mot de passe, mais plutôt une URL sous son contrôle. Pour valider l’identité, le système effectuera une vérification auprès du serveur associé à cette URL. Si l’utilisateur s’est préalablement identifié auprès du serveur, ce dernier répondra favorablement à la requête, et l’identité sera réputée valide. L’utilisateur peut ainsi se connecter à de nombreux sites seulement en fournissant son URL OpenID.

Visionnez les diapos 1 à 88 de la présentation qui suit, par Simon Willison, pour avoir plus d’explications sur ce que fait OpenID.

Différentes critiques ont été émises à l’endroit d’OpenID, parmi lesquelles la complexité, les problèmes potentiels de sécurité et la concentration entre les mains d’une poignée de compagnies. Les répliques de Chris Messina aux critiques d’OpenID valent la peine d’être lues pour se faire une idée des controverses associées.

Une personne, dix votes ?

À l’heure actuelle sur le web, on peut dire que « l’identité ne coûte pas cher ». En effet, il est facile pour une personne de se fabriquer des douzaines d’identités. Des sites comme Jetable.org permettent de créer des adresses électroniques temporaires en un tournemain. Puisque l’adresse électronique est le passeport vers un compte utilisateur pour la plupart des services, partant de là, il est facile de créer des comptes multiples un peu partout.

Rien ne force une identité numérique à avoir quoi que ce soit à voir avec la personne qui la crée. C’est l’observation à la base d’un dessin de Peter Steiner qui est devenu célèbre, intitulé On the Internet, Nobody Knows You’re a Dog (« Sur Internet, personne ne sait que vous êtes un chien. »)

L’une des conséquences de cet état de fait est l’émergence des faux-nez (en anglais sock puppets), des comptes multiples que contrôle une seule personne sur un service donné. Ces comptes peuvent, par exemple, lui permettre de donner l’illusion d’être soutenu lors d’un vote ou d’une argumentation.

Dans le domaine du marketing en ligne, ceci permet de faire du « marketing de guérilla » en introduisant de fausses personnes pour mousser un produit comme s’ils étaient de vrais fans. Un exemple notable s’est produit à Montréal en 2009 dans le cadre d’une campagne pour les vélos Bixi. Lisez la chronique Bixi, blogue et bullshit de Patrick Lagacé pour connaître l’histoire [2].

Si l’identité en ligne est facile à créer, le véritable réseau social personnel et la réputation en ligne le sont moins. C’est pourquoi de plus en plus de systèmes permettent d’accéder facilement à l’historique d’activité d’un utilisateur. Un utilisateur nouveau qui n’a aucun historique ou aucun contact est souvent traité avec suspicion ; ses affirmations sont généralement prises avec un grain de sel, en particulier si elles concernent un produit ou une marque. Notons qu’il demeure cependant entièrement possible de « simuler » une personne dans le domaine numérique si l’on a suffisamment de temps et de ressources.

L’usurpation de l’identité

Si votre identité a une valeur pour vous, elle peut également en avoir pour d’autres personnes. Si vous n’avez pas encore pris en main votre identité en ligne, quelqu’un le fera peut-être avant vous, sans même connaître le moindre de vos mots de passe. Votre nom deviendra son pseudonyme, et votre identité en ligne lui appartiendra.

Dans les réseaux sociaux, on se définit notamment par ceux que l’on fréquente : « Dis-moi qui tu hantes, et je te dirai qui tu es. » En créant un profil pour quelqu’un et en obtenant une connexion avec ses amis, il est possible de faire boule de neige et de se retrouver avec des liens privilégiés avec beaucoup de ceux-ci. Pour illustration, lisez comment une jeune fille est parvenue à se faire passer pour la coqueluche de son école pendant six mois.

Ce n’est pas qu’un problème de cour d’école : sur Twitter, le rappeur Kanye West avait jusqu’en mai 2009 un usurpateur qui avait l’attention de plus d’un million de followers, et la même chose est arrivée en 2009 à plusieurs personnalités du monde des affaires et de la presse sur Facebook. Pour comprendre la dynamique à l’oeuvre, lisez cet article de Matthew Herper dans Forbes qui dévoile peut-être la pointe de l’iceberg en ce qui a trait à l’usurpation.

L’identité institutionnelle

Plusieurs comptes sur des services du web social appartiennent non pas à des individus mais à des institutions. Une entreprise, par exemple, peut avoir un compte principal sur un service de microblogging. Une équipe peut aussi décider d’utiliser un compte utilisateur commun dans le but de partager certaines données.

Un compte appartenant à plusieurs utilisateurs rend nécessaire une gestion qui peut s’avérer assez complexe. Par exemple, si deux utilisateurs accèdent au compte en même temps et effectuent des modifications sur le même objet, comment le serveur traitera-t-il ces modifications ? Comment l’utilisateur A peut-il savoir si l’utilisateur B a déjà envoyé une réponse a chacun des derniers messages envoyés au compte commun ? Les problèmes techniques liés à l’utilisation d’identités institutionnelles découlent de l’origine individuelle de la notion d’identité numérique.

Les problèmes liés à l’usurpation de l’identité sont encore plus troublants dans le cas des identités institutionnelles que dans les cas individuels. Plusieurs entreprises ne disposent pas d’identité en ligne. Il serait donc possible à un individu de prendre le contrôle de l’identité de l’entreprise. Les conséquences peuvent être désastreuses si la supercherie n’est pas découverte à temps et si l’entreprise en question ne réagit pas de façon adéquate.

6.4.3 L’interopérabilité

Les autorisations aux tiers partis

Imaginez la situation suivante : Facebook veut avoir accès à votre compte de courriel GMail, afin de me dire lesquels de vos contacts sont présents sur Facebook et vous permettre de devenir leurs « amis ». À cette fin, Facebook pourrait vous demander votre nom d’utilisateur et mon mot de passe pour entrer dans le compte et obtenir les informations.

Un autre exemple. YouTube vous offre d’émettre automatiquement un message sur votre compte Twitter à chaque fois que vous ajoutez une vidéo. À cette fin, YouTube vous demande de fournir votre nom d’utilisateur et votre mot de passe.

La version généralisée de ces scénarios va comme suit. Le service Y veut avoir accès à votre compte d’utilisateur sur le service X, pour consulter vos données ou même pour effectuer des activités en votre nom. Il requiert alors les éléments de votre authentification comme utilisateur sur le service X : nom d’utilisateur et mot de passe.

Le problème de sécurité est ici évident, puisqu’en fournissant ces informations, vous donnez au service Y (et à son créateur) la possibilité de « se faire passer pour vous ». Autrement dit, le fait de donner son mot de passe à autrui diminue grandement la protection offerte par ce mot de passe, même lorsque la communication des données est sécurisée. Qui plus est, le maintien du lien entre les services X et Y nécessite que le mot de passe sur le service X reste inchangé, ce qui est contraire à la pratique conseillée du changement régulier de mots de passe.

Plusieurs solutions à ce problème ont été élaborées. La première est celle de la clé d’interface de programmation (API key). Cette clé vous est fournie par le service X pour être utilisée par n’importe quel service tiers. En fournissant cette clé à un service tiers, vous lui donnez une « permission d’agir » à votre place. Vous pouvez cependant révoquer la clé et gardez le contrôle ultime sur votre compte.

OAuth est une solution similaire, créée à l’origine comme équivalent d’OpenID pour les applications liées à Twitter. L’analogie souvent utilisée est celle de la clé pour valet de stationnement, qui permet de démarrer mais n’ouvre pas la valise. Vous gardez la clé maîtresse, et fournissez au tiers parti une clé qui donne un accès restreint.

En utilisant ces solutions, l’utilisateur délègue au service Y certaines actions possibles sur le service X. Si X est un service de microblogging, par exemple, une telle solution permet au service Y d’envoyer des messages au nom de l’utilisateur.

Selon le service, les permissions accordées peuvent être décrites en plus ou moins de détail. Le degré le plus permissif pourrait être appelé « accès total » ; des accès plus restreints peuvent aussi être offerts, par exemple « accès en lecture seulement » ou « accès seulement à la liste de contacts ».

Les applications sur Facebook doivent déterminer de façon plus précise quels accès sont nécessaires au compte de l’utilisateur. En acceptant d’ajouter une application à son compte Facebook, l’utilisateur peut choisir d’empêcher cette application d’envoyer des messages sur son mur ou d’accéder à son graphe social. Cette granularité de l’accès est une réponse spécifique à un problème plus large.

Dans ce module, nous ne présentons qu’un survol très rapide des notions importantes qui entourent l’identité, et nous nous sommes concentré sur le web social comme terrain d’application. La question de l’identité numérique est plus large que le web social et elle est présentement dans une phase de maturation active. Visionnez la présentation Identity 2.0 de Dick Hardt pour avoir un petit aperçu des enjeux et des réflexions plus poussées qui sont faites autour de ce sujet. Ne vous attendez pas à tout comprendre parfaitement, mais vous devriez saisir une bonne partie des propos si vous avez lu le module jusqu’ici.

Les fournisseurs d’identité

Comme le suggère la présentation que vous venez de regarder, plusieurs entreprises ou organisations aimeraient bien être des fournisseurs d’identité. Ceci leur permettrait de se trouver en quelque sorte en un point central de l’activité en ligne de nombreux utilisateurs.

Le marché entre un fournisseur d’identité et un utilisateur est le suivant : le fournisseur simplifie la vie de l’utilisateur en réduisant son « fardeau d’identification » et, en retour, il gagne une relation privilégiée et durable avec ce dernier.

Facebook, avec Facebook Connect, et Google avec FriendConnect (basé sur OpenID), ont montré leur intérêt à aller dans cette direction. Visionnez la présentation de Derek Gallo ci-dessous pour avoir un aperçu des différences entre ces approches.

[1Les exceptions notables incluent Slashdot, Wikipédia, plusieurs forums et systèmes de clavardage.

[2Le cas Vichy survenu en France et 2007 et le Zero Movement (Australie, 2006) sont quelques précédents.