Choisissez l'ID plutôt que l'IP. S'il te plaît.

Je prends beaucoup de photos. Parfois, j'utilise le WiFi. D’autres fois, je suis au bord de l’étang (en train de pêcher, si vous voulez savoir) et j’utilise ma connexion cellulaire. Même maison. Même endroit.

Et pourtant, les informations de géolocalisation intégrées dans les photos prises au même endroit varient selon que je suis connecté au Wi-Fi ou au réseau mobile. Parfois, je suis « près de Wrightstown ». D’autres fois, je ne le suis pas. Quand je suis sur une machine câblée, ça devient encore plus fou. Au moment où j’écris ces lignes, je me trouve à Appleton, dans le Wisconsin, à environ 32 kilomètres au sud d’ici. Mon iPhone, posé sur le même bureau, m’indique que je suis dans la ville de Lawrence (correct). Une photo que j’ai téléchargée sur Facebook indique que je suis près de Wrightstown, à environ 5 à 10 miles.

Il va sans dire que nous sommes tous conscients que la géolocalisation basée sur l’adresse IP peut parfois être autant un art qu’une science. Ayant travaillé dans le domaine des SIG (il y a bien longtemps, lorsque j’étais encore autorisé à coder), je suis bien conscient de la gymnastique mathématique nécessaire pour mapper les coordonnées aux noms de lieux avec précision sans introduire la précision douteuse d’une adresse IP. Considérez cette situation extraordinaire rencontrée à cause des aléas du géocodage par IP :

MaxMind fait correspondre les adresses IP, utilisées pour connecter les appareils à Internet, à des emplacements physiques. Il a déclaré que ces informations ne sont pas censées être précises.

James et Theresa Arnold affirment que leur domicile a été enregistré comme étant la position de plus de 600 millions d'adresses.

Ils affirment que cela a conduit de nombreuses personnes à croire à tort qu'une multitude de crimes ont été commis dans cette propriété.

« La première semaine après l'emménagement des Arnold, deux adjoints du département du shérif du comté de Butler sont venus à la résidence à la recherche d'un camion volé. « Ce scénario s'est répété d'innombrables fois au cours des cinq années suivantes », peut-on lire dans les documents déposés auprès d'un tribunal du Kansas.

http://www.bbc.com/news/technology-37048521

Je suis content de ne pas être les Arnold*. Et même si ce cas est extraordinaire, il illustre que dépendre de l’adresse IP n’est pas nécessairement une bonne idée – surtout si vous l’utilisez, en partie, pour autoriser l’accès aux applications.

Nous savons que de nombreuses institutions financières, en particulier, s’appuient autant sur l’adresse IP que sur l’appareil pour vérifier la validité des tentatives de connexion. C’est une bonne chose si vous utilisez presque toujours le même appareil depuis le même endroit, car votre adresse IP ne change pas beaucoup. Mais pour les applications mobiles, qui sont de plus en plus « le moyen » par lequel les gens communiquent avec les clients, cela pourrait être problématique. Mon adresse IP change lorsque je me déplace, sans parler du fait que parfois, même lorsque je ne le fais pas, en raison des limitations de la portée du Wi-Fi en dehors de chez moi. 

De toute façon, l’adresse IP en tant que moyen d’identification n’est plus utile. Auparavant, chaque personne utilisant cette connexion haut débit avait sa propre adresse IP, car elle l'obtenait directement du fournisseur, via DHCP. Mais cela a disparu comme le Dodo lorsque le nombre d’appareils connectés à Internet dans une maison a dépassé celui des personnes. Selon des enquêtes récentes , « il y a aujourd’hui 734 millions de personnes qui utilisent ce moyen de paiement aux États-Unis ». « Foyers Internet, avec une moyenne de 7,8 appareils connectés par foyer. » C'est deux fois plus que la moyenne de 3,14 personnes par ménage aux États-Unis en 2015 .

Ce qui signifie que l'idée d'une adresse IP par personne (et non par chose) est une option largement intenable, étant donné le nombre limité d'adresses IP publiques IPv4 que les fournisseurs doivent distribuer. En général, tout le monde utilise une seule adresse IP publique par foyer, et tous les autres sont acheminés via cette petite boîte noire.

La propriété intellectuelle, en tant que moyen d’identification faisant autorité, est morte.

Les informations d’identification, qu’il s’agisse de jetons, de nom d’utilisateur/mot de passe ou de toute autre méthode jusqu’ici inconnue, sont le meilleur moyen d’identifier – et donc d’authentifier – les utilisateurs. C’est également le meilleur moyen de protéger les applications aujourd’hui, étant donné l’utilisation abusive des adresses IP dans diverses attaques. Lorsque je peux usurper mon adresse IP aussi facilement que mon agent utilisateur, ce n’est pas une bonne idée de le considérer comme une source d’information faisant autorité.

Il n'est pas non plus approprié de l'utiliser pour autoriser ou refuser une adresse IP, car honnêtement, les adresses IP peuvent être modifiées en quelques secondes sur Internet. Des dizaines de millions d’adresses IP sont régulièrement identifiées comme participant à des attaques DDoS. Certains intentionnellement, d'autres par hasard en visitant le mauvais site ou en achetant le mauvais appareil. Le blocage par adresse IP entraîne des maux de tête pour les consommateurs. À l’avenir, l’utilisation de la réputation IP ne sera plus aussi efficace qu’elle l’était autrefois, lorsque l’Internet était jeune, innocent et rempli de personnes bien intentionnées. Maintenant qu’Internet est vieux, blasé et infesté d’attaquants qui sont aussi susceptibles d’abuser de vos appareils que de n’importe quoi d’autre, nous devons chercher autre chose.

Nous devons passer à l’identité comme nouveau pare-feu, pour sécuriser le nouveau périmètre qu’est l’application. Que ce soit par le biais d’une fédération ou d’une gestion traditionnelle des identités d’entreprise, nous devons nous appuyer davantage sur l’identité que sur l’IP pour sécuriser nos activités sans frontières et fournir un accès à un ensemble d’utilisateurs de plus en plus mobiles, tant professionnels que particuliers.

* Il est intéressant de noter que la famille de ma mère est celle des Arnold. Aucun rapport, j’en suis sûr, mais bon…