OAuth est une technologie permettant de gérer l’authentification d’un utilisateur d’un site à l’autre, c’est une pièce critique de la gestion de l’identité sur le web, et de plus en plus de grandes sociétés de l’internet l’ont adopté. Cette technologie est « libre », elle n’appartient à personne, elle est le fruit d’une longue collaboration impliquant une multitude de sociétés et d’acteurs du Libre, au sein d’une communauté « ouverte ».

A l’origine, OAuth est né de la volonté qu’avait Flickr de laisser des sites tiers accéder, de façon sécure, aux photos de ses utilisateurs, pour leur fournir des services d’impression, de publication ou de retouche.

Marshall Kirkpatrick a suivit pour nous au jour le jour l’incroyable bataille qui à opposé la communauté ouverte de OAuth aux Pirates (les vrais, pas des ados qui téléchargent de la musique, ceux qui dévalisent votre compte bancaire), ce billet est pour beaucoup une adaptation de son post de vendredi dernier, également publié dans le New York Times.

La bataille, outre qu’elle représente un petit moment d’Histoire pour les plus geeks, est néanmoins révélatrice d’un réequilibrage important dans l’économie numérique, et elle mérite à ce titre que l’on s’y attarde, même si les tenants et aboutissants technologiques vous rebuttent.

Précision importante, quand je parle d’économie (numérique), je parle de celle qui crée de la valeur, pas seulement de celle qui crée de l’argent.

Journalisme de guerre (numérique) ;-)

Le vendredi 17 avril dernier a été une journée particulièrement chaude à Sebastopol en Californie. Quand Eran Hammer-Lahav arrive en ville, cela fait à peine deux heures qu’on l’à informé d’une importante faille de sécurité dans OAuth, révélée par une implémentation particulière dans Twitter.

Eran, évangéliste « Open Web » (web ouvert) se rendait à ce moment à un FOOCamp dédié au web social (un Barcamp ‘élitiste’, réservé aux Friends Of O’Reilly), il comptait bien échanger avec ses pairs sur le sujet et y trouver de l’aide. Ce fût le cas.

Après une longue discussion, il était clair pour Hammer-Lahav que la faille allait bien au delà de la façon particulière dont Twitter avait implémenté le protocole OAuth. Son bébé avait de toutes évidence une grosse faille de sécurité. Les sociétés qui l’avait implémenté, comme Google, Netflix et Yahoo, ainsi qu’une multitude de petites startups, avaient elle aussi, un sérieux problème.

Il existe une assistance pour OAuth, mais elle n’est pas centralisée par une autorité quelconque, et n’a jamais eu à faire face à un tel problème. Pourtant, dans la semaine qui a suivit, la communauté OAuth remporté cette bataille. L’histoire fera date : cinquante personnes, travaillant pour trente sociétés différentes, se sont mobilisées pour répondre rapidement – et discrètement – au problème. Les grosse multinationale sont venues aider les petites startups, et Twitter – qui a interrompu une partie de son service – a subi les foudres du web tout entier pour protéger le secret, et défendre la communauté ouverte du Libre.
La communauté décentralisée du Libre, et en particulier celle de la portabilité des données, à travers ses portes paroles et ses ingénieurs, a trouvé comment sécuriser les données des internautes et a réussi a préserver la confiance du public et des entreprises dans ce nouveau protocole.

La nature du problème

Les services web utilisant OAuth laissent des sites tiers récupérer certaines données utilisateurs ; pour faire cela de façon sécure, le site tiers doit demander au site initial une permission. Cela peut prendre la forme d’un petit site web vous demandant la permission d’importer vos contacts Gmail ou de poster sur Twitter à travers leur site.

<GEEK>Le problème est lié à une vulnérabilité aux « Session Fixation Attack ». La faille de sécurité apparaît quand un site malveillant tente de vous faire remplir un formulaire avec vos login et password, se mettant ainsi en position de récupérer vos données de connection.Hammer-Lahav explique en détail le fonctionnement de cette faille et fourni des informations détaillées sur la nature technique du problème. Ce genre d’attaque n’est pas une première, Mitja Kolsek l’a détaillée dans un article publié en 2002 (pdf).</GEEK>

En bref : le problème n’est pas nouveau, c’est son apparition dans OAuth qui l’est.

Comment la bataille s’est déroulée

Eran Hammer-Lahav était au FOOCamp quand il a réalisé que le problème allait bien au delà de la faille révélée par Twitter. Les 30 sociétés qui avaient implémenté OAuth étaient potentiellement menacées. MySpace, Yammer, PhotoBucket, Google, Netflix, Yahoo… Les comptes utilisateurs de millions d’internautes étaient vulnérables.

Si OAuth était un logiciel, un patch distribué à chaque site aurait suffi à régler le problème, mais ce n’est pas le cas. OAuth est juste un standard, une spécification, implantée par les membres d’une communauté ouverte, et personne n’est particulièrement en charge de quoi que ce soit. Quelqu’un devait pourtant faire quelque chose, et vite.

La première décision de Hammer-Lahav fut d’appeler Alex Payne, le patron des API chez Twitter. Bien que Twitter ait parfaitement respecté l’implémentation de OAuth, c’est eux qui avaient révélé la faille, et celle-ci n’était visible que depuis quelques jours.

« 30 secondes après ce coup de fil, le protocole OAuth était désactivé sur Twitter » rapporte Hammer-Lahav. Ils l’ont désactivé sans poser la moindre question, et ont gardé le silence sur les raisons de cette désactivation pendant le délai demandé par Hammer-Lahav.

Les développeurs ont immédiatement hurlé, Twitter désactivait une technologie essentielle pour leurs propres développements, sans avertir qui que ce soit, et sans autre forme d’explication : une première pour Twitter. Robin Wauters a écrit un billet canalisant la colère des développeurs sur Techcrunch (nous même sur RWW n’avons pas été en reste).

Une période très difficile pour Twitter : même si la société a déjà traversé de telles crises, ses récentes levées de fonds et restructurations technique et RH étaient censées régler les problèmes récurrents d’interruption de service.

Twitter a été critiqué de toutes part, et a malgré tout gardé le secret, se contentant de clamer que le problème était temporaire et serait résolu sous peu. « Je ne peux que souligner l’intégrité de Twitter » rapporte Hammer-Lahav. « Taper sur Twitter est un sport, et un sport qui rapporte de l’audience ».

Techcrunch, qui n’était pas au courant du problème de sécurité, a mis Twitter dans une position où parler aurait mis une multitude de sociétés en danger », « ils ont fait un travail fantastique. Les emails envoyés par les autres sociétés utilisant OAuth pour remercier Twitter d’avoir encaissé seul le coup ont été incroyables. »

Après avoir contacté Twitter, avec l’aide de Chris Messina, Hammer-Lahav a envoyé des emails à l’ensemble des 30 sociétés ayant implémenté OAuth. La moitié d’entre elles avaient envoyé un représentant au FOOCamp transformé en cellule de crise. Il leur expliqua le problème en leur demandant de garder le secret jusqu’au jeudi 23, soit une semaine, tout en sachant que le secret serait difficile à garder avec autant de personne impliquées dans la communauté OAuth, pourchassés, qui plus est, par une foule de développeurs en colère, tentant par tous les moyens d’accéder à une API fournissant le protocole OAuth.

« Au début, il me fallait une demi heure pour expliquer le problème » raconte Hammer-Lahav, « mais dès le lendemain, je savais expliquer la situation en 30 secondes ».

Dans les douze heures qui ont suivit la découverte du problème, le groupe de travail savait que la solution ne serait pas simple, elle nécessiterait probablement des changements de la part des sociétés fournissant le protocole OAuth ainsi que de la part des sociétés tierces utilisant les API de ces premières. Une coordination importante devait être mise en place et orchestrée.

Le groupe des sociétés fournissant des services OAuth via leurs API a créé une liste de diffusion pour discuter du problème, réunissant ainsi 50 personnes de 30 sociétés différentes. La décision de donner la priorité aux sociétés qui fournissait un service OAuth (plutôt qu’à celles l’utilisant) devait être prise : « vous devez faire un tri parmi les sociétés impactées par le problème » dit Hammer-Lahav. Les fournisseurs de service OAuth ont besoin de plus de temps pour gérer le problème, car elle ne peuvent pas arrêter brusquement le service. FireEagle, par exemple, repose entièrement sur son API OAuth, il n’y a aucun autre moyen d’accéder au service.

OAuth a été mis au point et maintenu par une communauté décentralisée de développeurs et de sociétés, mais Hammer-Lahav a toujours été son porte parole le plus brillant. Il a des années d’expérience dans différentes batailles pour défendre et promouvoir différents standards ouverts, il a eu l’occasion de parler avec toutes les sociétés ayant implémenté OAuth, notamment avec celle fournissant le service via leurs API : il s’est tout naturellement proposé comme volontaire pour être le point de contact dans la gestion de cette crise.

Yahoo, son employeur, lui a immédiatement proposé de prendre tout le temps nécessaire à la résolution de la crise (en continuant de la payer, bien entendu), Yahoo a également désigné Allen Tom pour gérer la crise au sein de Yahoo déchargeant ainsi Hammer-Lahav, et lui permettant de consacrer tout son temps à la gestion de la crise au sein de la communauté OAuth. « Si j’avais été employé par une autre société, cela aurait été impossible » confit-il. « Yahoo ! avait une équipe dédié sur le problème gérant le problème de son coté ».

Les 30 sociétés se sont lancées dans une course effrénée afin de résoudre le problème. Il faut neutraliser au plus vite le risque que cette faille de sécurité fait peser sur des centaines de millions d’internautes. Ils ont commencé par rameuter leurs forces. Clay Loveless, l’un des cofondateurs de Mashery a rassemblé toutes les forces disponibles et enchainé les nuit blanches. Tout le monde participait sur un pied d’égalité, travaillant ensemble, de la plus petite startup à la tentaculaire multinationale.

« Yahoo et Google ont mis à disposition des ingénieurs spécialistes de la sécurité pour aider les petites startups afin de passer en revue les solutions qu’elles avaient imaginé » raconte Hammer-Lahav. « Habituellement, les grosses sociétés cherchent les solutions de leur coté, et laissent les autres sur le coté. Là, on avait le sentiment d’une réelle communauté. Il n’y avait pas de responsabilité clairement établie, car ce n’était que des conversations informelles. Les experts en sécurité coûtent cher, et certaines startups qui ne font qu’utiliser le service n’ont même pas d’ingénieurs en interne, tout y est outsourcé ».

Les uns après les autres, les fournisseurs de service OAuth ont désactivé leurs API, les uns après les autres, ils ont implémenté des solutions.
Mercredi 22 avril, un jour avant la fin de la période de silence demandée par Hammer-Lahav, la pression était à son maximum. Alex Payne, le responsable des API de Twitter, qui portait sur ses épaules une part significative de la pression, commençait à se sentir frustré : « la vue de l’autre coté du miroir est impressionnante » lança-t-il sur Twitter.

Quelques minutes après minuit, le jeudi 23 avril, Caroline McCarthy de CNet a publié un article annonçant que Twitter et d’autres fournisseurs d’authentification OAuth avaient suspendu le service pour des raisons de sécurité, précisant dans son article que « dans l’intérêt de la sécurité de l’internet, CNet avait choisit de ne pas détailler la faille de sécurité ». McCarthy était présente au FOOCamp et a probablement entendu parler dès les premiers instants du problème, mais a décidé de (presque) respecter la période de silence qui avait été annoncée alors. Un choix gagnant, tant par le respect qu’elle a obtenu de la part des développeurs de la communauté d’OAuth (et de bien d’autres) que par le nombre de pages vues que son article a généré.

Dans les minutes qui ont suivit, Twitter a publié l’histoire sur son blog. Chris Messina a rapidement mis à jour le blog officiel d’OAuth et coordonné les réponses de la communauté.

Par la suite, le fournisseur d’API Mashery, la société qui fourni les services OAuth de Netflix et de beaucoup d’autres, a également publié un article sur le sujet, assurant les utilisateurs que le problème était contingenté et sous contrôle, et remerciant, comme tout le monde, Twitter, pour avoir assumé les foudres de l’internet durant une semaine entière sans révéler quoi que ce soit.

Enfin, Dave Winer, l’un des bloggeurs les plus critiques vis à vis de Twitter, a publié un billet demandant à tous de ne pas s’en prendre à Twitter et reconnaissant le sang froid et le professionnalisme avec lequel la société avait géré la crise.

Le lendemain, une semaine après que la crise ait été déclarée et qu’une période de silence d’une semaine ait été demandée, Twitter a annoncé le rétablissement du service OAuth via son API.

Le surlendemain, vendredi 24 avril, la quasi totalité des fournisseurs de service d’authentification OAuth avaient rétabli leurs services. A ce moment, deux solutions différentes étaient mise en place, Hammer-Lahav annonçait qu’une nouvelle spécification, mise à jour, de OAuth arriverait dans la semaine.
Voilà comment une communauté décentralisée a résolu une faille de sécurité critique dans une technologie de gestion de l’identité « ouverte ».

Rapidement et efficacement.

Une société (Twitter) a pris le risque d’implémenter cette solution, crée et défendue par l’employée d’une autre société (Hammer-Lahav de Yahoo), puis un ingénieur d’une autre société à découvert une faille de sécurité, les informations nécéssaires pour résoudre le problème ont été réunies sur un Wiki, la coordination a été faite via une liste de diffusion, les sociétés ont donné du temps de leurs employés pour aider à résoudre le problème, et tout le monde à su garder le secret le temps nécessaire (en particulier Twitter qui s’est fait très durement et injustement critiqué durant toute cette période).

Tout le monde a travaillé de concert pour trouver une solution en temps et en heure.

C’est une histoire qui mérite d’être raconté, non seulement parce qu’elle est sympathique, mais parce que c’est un morceau d’Histoire du mouvement « Libre », né dans l’Open Source il y a des décennies, et qui aujourd’hui touche à des domaines aussi variés que l’organisation du travail, la création de valeur ou bien encore la culture et le fonctionnement de la démocratie.

Les leçons pour l’avenir

Hammer-Lahav a incontestablement pris le leadership de la gestion de cette crise, et il l’a fait, selon ses propres mots, « en ayant en tête les futures crises que devront affronter les communautés ouvertes ». Créer un canevas pour les réponses aux crises futures ne sera pas facile « D’ici un an, cette approche ne marchera plus car trop de sociétés vont dépendre des fournisseurs de services OAuth, » dit-il, « si nous ne trouvons pas des réponses, les sociétés vont hésiter à implanter de telles solutions et à dépendre de sources d’informations et de services multiples ».

Il souhaite désormais créer une base de données référençant toutes les entreprises utilisant des technologies de ce type, en déterminant celles qui seraient des interlocutrices privilégiées en cas de crise, sachant que les priorités varient selon le type de crise.

Hammer-Lahav conclue qu’il est nécessaire que plus de sociétés consacrent du temps et des moyens, et en particulier dédient certains de leurs employés, afin de leur permettre de prendre le leadership sur ce type de technologie lors de crise similaires. La combinaison chez une même personne des compétences techniques et organisationnelles est rare, mais indispensable. « Ce n’est pas suffisant de se contenter de Chris Messina et de moi même, deux personnes, ce n’est pas assez » nous a t-il dit. « Nous savons besoin que les sociétés qui font parti de la communauté dédient des personnes de talent au projet. Yahoo m’a payé en me disant de prendre tout le temps nécessaire à la résolution du problème, et l’a fait dans un sens qui ne coïncide pas nécessairement avec ses intérêts ».

Les communautés ouvertes, qui plaident pour un internet libre et ouvert, peuvent elles répondre rapidement et efficacement aux inévitables risques de sécurité ? C’est plus facile à dire qu’à faire, mais de toutes évidences, c’est possible.

Le Libre en guerre ?

On s’interroge aujourd’hui sur une soi-disante ‘guerre’ entre trois mondes, celui du Libre, celui du « propriétaire », « fermé », et « confortable », et un troisième monde, fait de sociétés comme Google ou Yahoo, une zone grise…
La bataille remportée par l’alliance du Libre et de cette zone grise montre que si guerre il y a, elle n’est pas entre ces deux camps.
C’est plus – quoi de plus logique en période de crise – à un rééquilibrage auquel nous assistons… de loin.

Ici, malheureusement, on semble s’obstiner à vouloir revenir au Minitel.
Malgré une France championne du monde de l’Open Source, et une économie numérique qui mute sous nos yeux, les chiens aboient, et la caravane passe.

A l’heure où j’écris ces ligne, jeudi soir à la Cantine, une bande de geeks écoutent religieusement un gourou de chez Yahoo. Ca discute JSON et XML, d’échange de données et de service. On a tout ce qu’il faut pour réussir, tout n’est pas perdu !

A lire également :

1. Facebook n’aura pas encore tout gagné : U2 lance son nouvel album sur MySpace Les fans de musique et les détrac­teurs de Facebook peuvent se réjouir. Le réseau social de Palo Alto n’a pas encore gagné, tout du moins en terme de visi­bi­lité, car c’est bien sur MySpace que U2 vient de mettre en écoute gra­tuite et exclu­sive son nou­vel album jusqu’au 2 mars, date...
2. Musique et réseaux sociaux : une nouvelle bataille entre FaceBook et MySpace ? La guerre entre Facebook et MySpace a fait rage toute l’année pour savoir qui serait le lea­der en terme de tra­fic généré, et il sem­ble­rait que le pre­mier ait gagné cette bataille (source Alexa.com). Ce qu’il reste à déci­der main­te­nant est la bataille pour la moné­ti­sa­tion des uti­li­sa­teurs, et dans ce...
3. Comment Twitter change le monde du poker professionnel… et ses média Doyle Brunson est un vété­ran, soixante seize ans et encore un habi­tué des nuits blanches lors du World Series of Poker à Las Vegas auquel il par­ti­cipe. Dans une par­tie à 10.000$ au 24e jour de la com­pé­ti­tion, il a Twitté : “Encore un split a 10k”, puis “Pas beau­coup dormi,...
4. Comment internet s’apprête a redéfinir le monde de demain Alexis de Framasoft nous pro­pose un vidéo d’une inter­ven­tion de Serge Soudoplatoff (au CNAM, je crois bien) qui, après avoir constaté – peu de gens le nient aujourd’hui – que l’innovation sur inter­net déborde aujourd’hui sur la société toute entière, constate une série de ce qu’il appelle des ‘mau­vaises nou­velles’. Pour qui ? Pour...
5. Prix Netflix : le million de dollars sera-t-il gagné en 2009 ? Nous enta­mons sur ReadWriteWeb une nou­velle série d’articles por­tant sur les moteurs de recom­man­da­tion. L’année der­nière nous avions iden­ti­fié les moteurs de recom­man­da­tion comme l’une des 5 ten­dances à sur­veiller, et c’est encore plus vrai en ce début d’année 2009. Dans notre sli­de­show consa­cré aux tra­di­tion­nelles pré­dic­tion pour 2009, nous y fai­sions...
6. TwoBits : impact culturel du logiciel libre Ce livre parle du logi­ciel libre, plus connu sous l’appellation ‘open source’. Il est des­tiné à tous ceux qui veulent com­prendre la dimen­sion cultu­relle du logi­ciel libre. Two Bits explique com­ment le logi­ciel libre fonc­tionne et com­ment il a émergé en paral­lèle avec l’internet, aussi bien sous sa forme tech­nique...
7. Android vs. iPhone : chronique d’une bataille annoncée J’ai ten­dance a être par­tial quand il s’agit d’Apple, autan vous le signa­ler tout de suite, c’est plus qu’un dis­clai­mer clas­sique, cela peut tou­cher à la mau­vaise foi, mon entou­rage vous le confir­mera. Voilà pour le préambule. En marge du Facebook Garage de Paris, j’ai eu l’occasion d’avoir une fort...