David Larlet : artisan, contributeur et citoyen.


Archives du site biologeek.com. Publications récentes.

Ouvert et décentralisé, est-ce suffisant ?

vignette

Prenons le cas pratique du micro-blogging. Comme un irréductible gaulois j'ai résisté des mois à twitter. Ils ont eu raison de moi et j'ai cédé à un moment où tout le monde parle d'un #BigSwitch. Chacun incite ses contacts à migrer vers identi.ca, et éventuellement on publie sur les deux plateformes pendant un moment.

Note : ce billet a été rédigé par Éric Daspet.

Où on part

Vous avez certainement déjà connu ça quand une connaissance est passé de hotmail à gmail. Il faut prévenir tous ses contacts afin qu'ils mettent à jour les coordonnées. Trop souvent un message part à l'ancienne adresse ou un contact n'a pas fait attention à la migration. Il y a des pertes, et à terme il y aura une coupure entre les anciens restés sur twitter et les nouveaux passés sur identi.ca.

Du coup j'ai regardé identi.ca. Il y a du mieux fonctionnellement mais le grand argument c'est l'ouverture, appelée à permettre plus d'innovation et d'interopérabilité. Pour assurer cette ouverture et cette innovation, la plate-forme est décentralisée : Chacun peut monter son propre serveur laconi.ca (nom du logiciel lui-même) et se connecter avec les autres, qu'ils soient sur le même serveur sur identi.ca, ou sur le leur.

Vous avez à peu près le contrôle sur vos données, vous pouvez faire évoluer la plate-forme, mais est-ce vraiment suffisant ?

Où on recommence

Sauf que je suis pénible, et que les migrants ne semblent pas apprendre de leurs erreurs : ils créent majoritairement un compte sur le serveur "officiel" d'identi.ca. Que ce passera-t-il quand ce serveur ne sera plus innovant ? quand il ajoutera de la publicité dans les messages ? quand il s'arrêtera par faute de sous ? ou simplement qu'il proposera des évolutions peu appréciées ?

Il y aura un second big switch. Tous ces gens vont changer de serveur, trouver un nouvel identifiant, demander à tous leurs contacts de se connecter à nouveau (et dans le pire des cas arrêter de suivre ceux qui sont sur l'ancien serveur, scindant la communauté). C'est déjà pénible de le faire une fois, de voir chaque contact pendant un mois te demander de changer l'adresse à suivre, mais si c'est pour recommencer tous les ans, là, non !

Rien ne permet d'imaginer que ce qui arrive aujourd'hui à twitter n'arrivera pas demain à identi.ca, rien. Ou plutôt tout permet de penser que ça risque d'arriver de nouveau. Personne de votre entourage n'a changé d'adresse email deux fois ? peut être même en moins de deux ans. Nous y voilà. Si c'est pour se lier à un autre prestataire, nous sommes condamnés à recommencer.

Où on décentralise, mais tous au même endroit

La décentralisation n'est utile que si on s'en sert, et vous ne vous en servez pas camarades. Pour bénéficier de la décentralisation il faut contrôler son serveur. Cela implique d'avoir un serveur connecté 24/24, d'y installer et configurer le logiciel, et d'opérer la maintenance régulière. Là vous contrôlerez votre identifiant et serez à l'abri de l'enfermement d'un prestataire.

Entendons nous bien, il existe des serveurs laconi.ca gratuits, plus qu'ils n'en faut, mais cela ne résoudra rien. En fait ça peut même être pire car au lieu d'avoir un big switch une fois que identi.ca dérape, on aura plein de bascules en permanence à chaque fois que c'est un serveur mineur qui tombe ou qui fait quelque chose de mal.

Certains auront leur propre serveur, comme je le fais moi pour mon blog par exemple, mais ils seront rares et on ne peut guère demander à tous de jouer l'informaticien. Même pour ces derniers c'est pénible et chronophage.

Où on contrôle son identifiant

Avec la décentralisation ce qui est important c'est le contrôle de l'identifiant. Un identifiant doit être pérenne, et passer d'un serveur à l'autre sans avoir à changer. Cela veut dire que si demain je change de prestataire pour mon micro-blogging, les gens pourront continuer à me suivre, de façon presque transparente.

Le système laconi.ca ne permet pas d'identifiant pérenne indépendant du serveur. Voilà la faille.

Une solution serait que l'identifiant pérenne soit le nom de domaine sur lequel tourne votre serveur laconi.ca. Vous achetez et contrôlez votre nom de domaine pour une somme modique (5 à 15 euros par an) et vous pourrez le faire pointer vers le prestataire que vous souhaitez. C'est déjà ainsi que je procède pour mes pages web, mon adresse mail, mon identifiant de messagerie instantanée, etc. Concernant laconi.ca il suffirait d'un changement léger dans le code du logiciel pour qu'il sache quel domaine utiliser suivant comment on y accède, compatibilité totale avec l'existant non modifié.

C'est la voie royale, qui vous permet de garder toujours contrôle de votre identité, quel que soit le média. Plus que le contrôle de mes données passées, c'est le contrôle de mon identité elle-même que je sauvegarde. Pour une dizaine d'euros par an (le prix d'un nom de domaine), ce n'est vraiment pas cher payé.

Où on indirectionne

L'indirection est la voie du pauvre, mais c'est aussi celle qui pourra toucher le plus grand monde. C'est par exemple ce qu'utilise la délégation OpenID.

Pour joindre le serveur OpenID d'un correspondant, je regarde son identifiant et je vais chercher la page web associée. Là je regarde s'il y est indiqué quel prestataire OpenID je dois utiliser pour cet identifiant. Pour changer de prestataire mon correspondant n'a qu'à mettre à jour sa page web.

Pour laconi.ca il suffirait d'aller regarder la page de profil de mon correspondant, repérer l'adresse de la page personnelle, et y récupérer l'adresse du prestataire de micro-blogging. Si identi.ca ne me convient plus, je peux modifier ma page personnelle. Le serveur de micro-blogging de mes correspondant lira mon ancien profil identi.ca, ira trouver ma page personnelle et y verra mon nouveau serveur. Tout peut être mis à jour en toute transparence sans avoir à avertir tout le monde et à risquer des coupures. Cette vérification peu facilement être réalisée une à deux fois par semaine sans pénaliser les performances.

On ne résout pas tout. En particulier seul le contrôle d'un nom de domaine propre me permettrait de palier un arrêt total d'identi.ca, mais on éviterait exactement ce qu'il se passe actuellement lors de la migration de twitter vers identi.ca.

Où on pose plein de questions

Il reste à définir comment déclarer le serveur de micro-blogging dans ma page web, et c'est là que je fais appel aux informaticiens. Par quel système est-il préférable de faire la déclaration ? une balise <meta> ? un fichier XRDS ? un fichier FOAF ? (et si oui quelles balises)

L'expérience OpenID m'incite à penser qu'une balise <meta> ou <link> est ce qu'il y a de plus simple mais un fichier FOAF reste très tentant. On peut envisager les deux, mais il faut décider des balises et du mécanisme exacte de découverte. Quid ? j'attends vos commentaires et vos propositions.

Articles peut-être en rapport


Commentaires

idoric le 15/06/2009 :

Réflexion très pertinente. Il y a juste un point qui me laisse perplexe :

> « Avec la décentralisation ce qui est important c'est le contrôle de l'identifiant. Un identifiant doit être pérenne, et passer d'un serveur à l'autre sans avoir à changer »

Dans un tel système, qui s'assurerait de l'unicité de l'identifiant si ce n'est le serveur ? L'identifiant pourrait reposer sur un couple clé publique/privée, mais ça serait lourd à gérer et sensible aux avancées dans la science du déchiffrage… une autre idée ?

David, biologeek le 15/06/2009 :

> Dans un tel système, qui s'assurerait de l'unicité de l'identifiant si ce n'est le serveur ?

Dans le système web, l'URI garantie l'unicité de cet identifiant.

idoric le 15/06/2009 :

Je me suis mal exprimé. Mon inquiétude porte sur le fait de réussir à éviter l'usurpation d'identifiant. Pour éviter de se faire piquer son URI, il faut soit posséder le serveur dans le cas d'une URL, ou alors il faut… s'identifier auprès d'un tiers de confiance. On n'a alors fait que déplacer le problème qui continue à se poser exactement dans les mêmes termes : comment s'identifier sans serveur et sans clés publiques/privées ?

Florent V. le 16/06/2009 :

Pour ma part, j’ai écarté l’idée d’utiliser identi.ca pour la raison suivante: tous les messages publiés le sont sous une licence Creative Commons. Le site est relativement évasif là-dessus, la seule information explicite est dans la page «Privacy», donc je ne sais pas si ce genre de mention est réellement valable, mais dans le doute je préfère m’abstenir.

Je suis un fan des licences Creative Commons, mais je n’aime pas le principe de placer tout ce qu’on publie sous ce type de licence, de manière automatique. Je trouve ça déjà limite pour des billets de blogs, et ridicule pour des messages de 140 caractères. Je préfère identifier clairement quels œuvres, contenus ou ressources je partage avec ce type de licence.

Nicolas Hoizey le 16/06/2009 :

Opera Unite à la rescousse ?

Eric le 16/06/2009 :

@Idoric: "il faut soit posséder le serveur dans le cas d'une URL, ou alors il faut… s'identifier auprès d'un tiers de confiance"

C'est bien tout le sujet du billet. Tu n'as pas besoin de détenir le serveur. Par contre tu as besoin de détenir ton identifiant.

Si l'identifiant est une URL cela impose au choix
1. d'avoir un prestataire de confiance pour cette URL
2. ou de la gérer toi même.

Pour le (1) ce n'est pas si difficile. Trouver un prestataire qui te permet d'avoir une page web que tu contrôles et que tu peux modifier est simple. Si cette page n'est pas gérée par le même prestataire que ton serveur laconica, tu peux t'estimer libre. Si tu veux changer de serveur laconica tu peux changer ce qu'il y a dans ta page web. Si tu veux changer d'URL tu peux changer ton profil laconica.

Le problème n'arrive que si tu dois changer les deux en même temps (ou sur une très courte période), mais c'est tout l'intérêt d'avoir deux prestataires différents.

Pour le (2) c'est loin d'être si complexe ou "geek" que ça n'y parait. Il s'agit juste de se payer un nom de domaine et de trouver un hébergeur qui accepte de l'héberger. Tu peux trouver ça pour 5 à 15€ par an, et je serai étonné qu'il n'y ait pas de prestataires qui te permettent d'héberger ton profil FOAF et OpenID sur ton nom de domaine gratuitement (ou presque) sans rien connaitre à la technique (ni même ce qu'est une page web ou un ftp).

Le nom de domaine te permet de garantir que tu contrôleras toujours ton URL et qu'elle ne changera pas tant que tu payes les quelques euros par an (si un jour l'architecture DNS s'écroule, tu auras bien plus grave que la perte de ton identifiant laconica puisque quasiment tous les identifiants Internet se basent dessus, du mail au web en passant par la messagerie).

Tu peux changer à l'envie de prestataire pour l'enregistrement/paiement de ton nom de domaine, de prestataire pour l'hébergement de ta page web, et le contenu de ta page web pour le choix du serveur laconica.

OpenID fonctionne ainsi. Tu choisis un serveur OpenID, un identifiant sur ce serveur, et tu références les deux sur ta page web. Au lieu de donner ton identifiant réel tu donnes toujours l'URL de ta page. Quand tu veux changer de serveur ça changera aussi ton identifiant sur ce serveur mais peu importe, tu changeras ça sur ta page web (ce que les gens utilisent réellement) et ça sera transparent. Le reste c'est de la sauce technique.

Eric le 16/06/2009 :

@Florent:

Sauf erreur ce problème de licence existe pour identi.ca, pas pour laconi.ca. Rien ne peut t'imposer la licence des contenus que tu publies chez toi. Sauf erreur de ma part rien dans l'AGPL (licence de laconi.ca) ne peut t'imposer la licence des contenus distribués par le logiciel (et quand bien même AGPL le ferait, je doute que ce serait une licence CC).

Tu ne fais justement que renforcer l'idée que même après un changement, tous les migrants risquent d'avoir envie de migrer à nouveau, et donc que des identifiants stables et indépendants sont nécessaires.

Eric le 16/06/2009 :

Sur le même sujet :
http://www.identitywoman.net/personal-anchors-on-the-web-for-digital-identities et http://iwantmyname.com/

Il y en a qui ont tout compris et qui prouvent que chacun peut contrôler son identifiant sans être informaticien.

Neovov le 16/06/2009 :

Je suis d'accord avec toi Éric, mais je me pose d'autres questions.

Tu dis qu'il est simple et qu'il ne coute rien d'acheter un nom de domaine. Là je te suis, mais à partir de ce moment, on restreint énormément les utilisateurs. Madame Michu n'a pas à acheter un NDD, elle n'en ferait rien et cherche à se simplifier la vie.

Si je continuais dans ce sens (à l'extrême), je dirai même que l'identifiant est encore trop geek…

Ensuite, il faut entretenir ce NDD, penser à le renouveler, ne pas se le faire piquer. C'est peut-être absurde, mais ça peut arriver (par exemple le NDD de Monique qui s'est fait squatter). Dans ce cas, on perd tout.

David, biologeek le 16/06/2009 :

@Neovov :

> Ensuite, il faut entretenir ce NDD, penser à le renouveler, ne pas se le faire piquer. C'est peut-être absurde, mais ça peut arriver (par exemple le NDD de Monique qui s'est fait squatter). Dans ce cas, on perd tout.

Remplace "NDD" par "carte d'identité" dans ta phrase ;)

Eric le 16/06/2009 :

@Neomov:

Le nom de domaine est le bon stade d'indirection, mais il a effectivement des contraintes. Je crois réellement que 10 euros par an est abordable pour un internaute convaincu. Cela représente 3% des frais de connexion annuels habituels en France.

Cela lui permet d'avoir une adresse email et, une adresse de messagerie instantanée stables, sans être enfermée par un prestataire. Franchement ça concerne aussi Mme Michu.

Combien de mme Michu ont eu à subir des désagréments importants parce qu'elles ont utilisé l'adresse email de leur FAI, ou un netcourrier quelconque, et qu'elles ont du changer ensuite ? Contrairement aux geeks, prévenir tout le monde a été impossible à Mme Michu. Une adresse pérenne, si elle avait su, elle aurait peut être payé 5 à 10 euros par an.

Maintenant :

- Mme michu n'est pas sur twitter, et encore moins sur identi.ca, donc c'est plus à toi qu'à elle que je m'adressais

- Plus bas je définis justement un mécanisme par indirection (passer par une page web quelconque) qui permet d'éviter de forcément passer par son propre domaine (même si ça reste mieux). Le tout est de définir comment doit être faite la découverte.

- le cas de Monique est spécial justement parce qu'elle est dans les geeks, le domaine de mme michu, s'il n'est utilisé que pour ses mails et/ou son twitter-like, je doute qu'il soit suffisamment intéressant pour être cybersquatté.

Neovov le 16/06/2009 :

Oui, ça marche pareil :)
Mais (j'suis chiant, je sais), un NDD on le choisit et c'est quand même assez limité… Un autre Larlet serait bien feinté et devrait prendre Larlet1olkthxbye…

Neovov le 16/06/2009 :

Mince, tu as posté en même temps que moi Éric.

Je ne discute pas pour le prix, et je pense aussi que 10€ par an n'est pas inabordable pour une personne convaincu.

Justement, il faut convaincre :), et dans le cas d'une madame Michu c'est très dur (en fait je pense à ma mère, qui n'a pas envie de s'emmerder).

C'est un peu une conversation HS, puisque moi je suis convaincu. J'imagine juste que nos usages se généraliseront plus tard…

Stéphane Deschamps le 17/06/2009 :

@Florent,

Je ne suis pas sûr qu'on soit obligé de cocher la case "publier en CC". Je l'ai cochée, mais je n'ai pas tenté de créer de compte sans la cocher. Vous connaissez des gens qui ont essayé, les uns ou les autres...?

Stéphane Deschamps le 17/06/2009 :

@Neovov,

Cela dit le FAI que je fréquente génère automatiquement l'OpenID de ses clients. Exit, le problème de Madame Michu. Suffirait d'une bonne page d'aide pour lui expliquer en quoi c'est son identité tant qu'elle est chez ledit FAI. (réflexion jetée comme ça, mon cerveau est à 10% de ses capacités, je dis peut-être des bêtises, pardonnez-moi d'avance)

Stéphane Deschamps le 17/06/2009 :

PS : et pour tout le reste je suis complètement d'accord avec toutes les remarques d'Éric, et je me pose la même question.

Pour moi une balise méta comme le fait OpenID (les link rev="canonical" sont un bon exemple, aussi) serait sans doute très bien : ce qui est très simple à implémenter est plus facilement adopté.

(voilà, j'arrête là ma salve de commentaires) :)

David, biologeek le 17/06/2009 :

@Stéphane Deschamps : je ne le répèterais jamais assez mais je pense que les FAI et/ou les organismes publics ont un bon coup à jouer s'ils réalisent rapidement le potentiel qu'ils ont dans ce domaine. Tout est dans le "rapidement" qui est oxymorique dans ma phrase ;).

Cela dit, le fait de perdre mon identité lorsque je change de FAI ne m'emballe pas du tout. C'est un peu comme la perte du numéro, ça devrait pas être possible... (hormis intentionnellement).

Stéphane Deschamps le 17/06/2009 :

David,

En même temps plus j'y pense et plus je me dis que là encore, Madame Michu change vachement moins souvent de FAI que nous autres déglingos.

D'ailleurs maintenant qu'on en parle, même les geeks bougent beaucoup moins maintenant qu'il y a dix ans.

Mais pour le reste, je suis d'accord. Evidemment on ne peut pas rêver de forwarding d'openID, ce serait monstrueux à mettre en place et à maintenir, et encore plus dangereux sur les risques d'usurpation.

Éric le 18/06/2009 :

J'ai la même crainte qur David sur l'enfermement par le FAI. Quitte à s'enfermer chez un presta je préfère que ce soit google ou yahoo, parce que le risque de perte du compte est plus faible.

On ne change pas souvent de FAI (quoique, définir "pas souvent, desemmerdements liés au changement d'email lors du changement de Fai j'en ai vu plus d'une fois chez des gens normaux, et au pire moment : pendant les déménagements, là où l'email devrait être facteur de stabilité) mais c'est plus un problème de contrainte ( changement d'email, de numéro de tel, d'habitudes, ...) que de manque de volonté. Ajouter l'identité à l'enfermement du FAI ne ferait qu'empirer ces contraintes ( et quand il y en a trop on finit par ne plus vouloir s'y confrnter mais ne transformons pas ça en succès)

Je suis plutot de ceux qui conseillent de toujours creer un email indépendant du fai, toujours (et dans l'ideal un openid indépendant du mail quand on n'en controle pas l'identifiant)

Ray le 18/06/2009 :

Bof, il faut arrêter de tout le temps aller vers le nouveau truc à la mode. La mode ça passe de toute manière alors autant avoir une boite perso fixe et éventuellement faire des redirections vers le dernier truc à la mode si on y tient vraiment. Sinon c'est toujours la mer... et ça fait chi... tout le monde.

Grégoire le 19/06/2009 :

"L'expérience OpenID m'incite à penser qu'une balise ou "

Ou quoi? Il manque la deuxième possibilité.

Eric le 19/06/2009 :

Le "ou" est en trop, désolé pour la coquille.
David, tu peux faire la correction s'il te plait ?

David, biologeek le 20/06/2009 :

Oups, désolé j'avais oublié d'échapper les balises html... c'est réparé.

tangi le 24/06/2009 :

Me voila surpris : je n'avais pas remarqué ce grand mouvement vers laconica. J'ai découvert cette application par hasard sur framasoft, juste avant de m'empresser de l'installer :)

Je serais tendance à mon insu ?

@Neovov : tu es obligé d'accepter la licence pour créer un compte.

L'identité numérique est un vaste débat, mais (malheureusement), je crois que c'est encore un débat de "spécialiste". Le commun des mortel est vraiment à mille lieux de ce type de notions.

D'ailleurs on a pu le remarquer avec les "url personnalisés" de facebook : au finale une petite poignée d'utilisateur à cédé à ce mécanisme, la grande majorité ne l'ayant peut être même pas remarqué.

Au finale la majorité des utilisateurs veulent du gratuit, n'ont aucune idée des coût de fonctionnement de tels services, et aller payer déjà 1à€ pour un nom de domaine leur semble aberrant. C'est un vrai travail d'éducation.

Alors de là à imaginer que la masse aille installer son petit serveur laconica (ou autre) sur un hébergement privatif pour sa petite famille, .... Se libérer pour mieux se concentrer en quelque sorte :)

Pour finir, petite question purement technique : la procédure pour connecter mon compte identi.ca avec celui de mon laconica perso ? (mais au faite pourquoi quitter twitter, laconica permet de twitter via laconica de façon native ^^)

Merci pour cet article en tout cas. bonne soirée

Clochix le 14/08/2009 :

Désolé de me réveiller beaucoup plus tard.

Quitte à lier son identité à un nom de domaine, pourquoi ne pas aller plus loin et tout stocker dans l'enregistrement DNS ? Les enregistrements SRV ( http://fr.wikipedia.org/wiki/Enregistrement_SRV ) servent plus ou moins à ça. Ca supprime un intermédiaire, la page web. Et la plupart de registars ont déjà des interfaces plus ou moins ergonomiques pour gérer ses enregistrements, donc ça ne devrait pas être trop compliqué à administrer.

Eric le 15/08/2009 :

Ca impose aux gens d'avoir un nom de domaine justement. L'immense majorité des gens ont un email, une page web, mais pas de nom de domaine.

L'indirection par la page web c'est l'indirection du pauvre, ça ne tient que le temps que dure la page web, mais c'est finalement assez efficace pour les besoins qu'on a.

(Par contre oui, pour ceux qui ont un nom de domaine, l'indirection devrait être possible dans les DNS)

Lecteur assidu le 20/08/2009 :

Cela fait bien trop longtemps qu'il n'y a plus de billets sur ton blog. J'espère qu'il y'en aura bientôt des nouveaux car c'est toujours un plaisir d'être informé par tes billets toujours très interessants.

Voiture occasion le 23/09/2010 :

Je ne connaissais pas Identi.ca (comme quoi on en découvre tous les jours !), mais je le trouve très intéressant à tout point de vue.

Reste que comme vu dans l'article, je suis déjà sur Twitter et j'ai peur pour la migration avec mes contacts.