Entretien avec Ludovic Poitou (ForgeRock, conférence OpenAM)

Bonjour Ludovic ! Tout d’abord, pourrais tu te présenter pour les futurs visiteurs des RMLL : formation, parcours, centres d’intérêts ?

Bonjour, je m’appelle Ludovic Poitou et je suis chef de produit chez ForgeRock. J’ai une formation universitaire : un Magistère en Informatique et Sciences de l’Ingénieur, obtenu à l’Université de Nice Sophia Antipolis (formation qui existe encore sous l’enseigne Polytech Sophia-Antipolis après s’être appelée ESSI). J’ai commencé ma carrière dans une startup dans le domaine des serveurs de messagerie et d’annuaires, E3X, rachetée par TéléSystèmes puis Sema (maintenant Atos). En 1995, j’ai été embauché comme développeur logiciel chez Sun au centre Recherche et Développement de Grenoble, où j’ai principalement travaillé sur les serveurs d’annuaire LDAP, aussi bien au niveau produit (Sun Directory Server) que standardisation à l’IETF, ou l’évangélisation de projets open sources comme OpenDS. Après 15 ans, et suite au rachat par Oracle, j’ai rejoint ForgeRock en tant que chef de produit pour les produits d’annuaire et le projet OpenDJ, et directeur du centre recherche et développement en France, basé à Grenoble. Depuis toujours, je suis intéressé par le développement de logiciels de réseau et communication et les langages de programmation, notamment Java que j’ai découvert en entrant chez Sun en 1995, ainsi que par la problématique de l’identité sur Internet avec ses différentes facettes : sécurité, vie privée et diversité.

Peux tu nous expliquer la génèse de ForgeRock, société pour laquelle tu travailles désormais ? Quels sont ses objectifs ? Comment fonctionne sa structure multinationale malgré sa petite taille ? Quel est son modèle de développement ?

ForgeRock est née du rachat de Sun par Oracle, et des changements de stratégie qui en ont découlé sur les technologies et projets open source initiés par Sun. Elle a été créée par des anciens de Sun qui déployaient les technologies chez les clients, principalement OpenSSO. Elle a pour but de développer une offre complète de logiciel de gestion d’identité, basée entièrement sur des logiciels libres et commercialise une offre de support pour ces technologies. Pour développer des technologies et des projets en open source, il est plus facile de chercher et d’utiliser les compétences là où elles sont. Donc, dès le premier jour, ForgeRock s’est voulu une société multinationale : fondée en Norvège, avec des filiales en Angleterre, aux États-Unis et en France, elle emploie des informaticiens en Allemagne, Hongrie, Espagne, Suède, Nouvelle-Zélande, etc. Notre infrastructure est dans le cloud, nous communiquons par email, Skype et SIP, et la seule chose dont nous avons besoin pour travailler est une connexion internet. Cette flexibilité et cette répartition géographique nous permettent aussi d’offrir à nos clients un support 24h sur 24h. ForgeRock est pour l’instant auto-financée. Comme nous travaillons sur des projets entièrement en open source, la valeur de la société réside intégralement dans les hommes et leur expérience sur ces technologies. Pour nos clients, il n’y a pas de coût d’entrée (pas de licence d’utilisation) ni de coût de sortie. Ce qui veut dire que nos services doivent être supérieurs et de meilleure qualité que nos concurrents. Les souscriptions de support intègrent une part pour financer le développement des projets, garantissant les évolutions et la pérennité de la solution pour les clients.

2 ans après l’acquisition de Sun par Oracle, peux tu nous donner ton sentiment sur ce rachat et l’attitude d’Oracle vis à vis des projets et investissements OSS de Sun ?

Je pense que la philosophie et les valeurs d’entreprise d’Oracle sont assez éloignées de celles de Sun, et cela se traduit immédiatement sur les projets OSS initiés ou investis par Sun. Mais surtout, j’ai l’impression qu’Oracle a découvert un monde qu’il ne connaissait pas, et n’a pas cherché à comprendre dans un premier temps. J’ai été surpris par le manque de communication d’Oracle vis-à-vis des projets open sources au lendemain du rachat officiel, alors que celui-ci a été tellement long à être conclu. Cela a abouti aux différents clashs de communauté et aux "forks" des projets : OpenSolaris et Illumos/OpenIndiana, OpenOffice et LibreOffice, Hudson et Jenkins... D’un autre côté, certains projets continuent comme avant ou presque avec le soutien d’Oracle. Citons par exemple GlassFish et NetBeans. Un grand nombre de projets ont retrouvé un second souffle ou une nouvelle communauté en dehors d’Oracle. C’est le cas pour OpenAM, qui est la continuation du projet OpenSSO, et OpenDJ, un fork de OpenDS initié par Sun pour remplacer Sun Directory Server, deux des projets maintenant supportés par ForgeRock, mais aussi de Jenkins ou LibreOffice. On remarquera que tous ces projets avaient une importante communauté d’utilisateurs qui avaient investi dans ces technologies et souhaitaient les voir continuer librement.

Passons à la gestion d’identités. En tant que professionnel du sujet, comment juges tu la maturité des entreprises, notamment les PME, vis à vis de ce type de projet ?

Il y a eu une grande vague de projets de gestions d’identité dans les grandes entreprises multinationales depuis quelques années, principalement suite à des textes législatifs sur la responsabilité des patrons quant à l’utilisation des ressources des entreprises. Cela couvrait la sécurisation des accès, avec le single sign-on, ainsi que les fonctions d’approvisionnement et déprovisionnement. Les PME n’ont pas suivi, de par le coût des solutions et de leur mise en oeuvre, la fragmentation des produits, et l’investissement en temps à prévoir pour un projet de gestion des droits et d’identité. Ce qui se traduit par un éclatement en silos des politiques de sécurité et surtout des mots de passe. Dans quelle entreprise ne trouve-t-on plus de post-it collés sur les claviers, ou de carnets remplis de mot de passe dans le premier tiroir du bureau ? Il faut remarquer que beaucoup d’entreprises ont démarré des projets de gestion d’identité avec des produits de première génération ; elles éprouvent de grandes difficultés, en essayant souvent de faire entrer le fonctionnement de l’entreprise dans le logiciel plutôt que l’inverse. Heureusement, une nouvelle génération de produits de gestion d’identité arrive : plus ouverte, elle s’appuie sur des standards reconnus qui facilitent l’intégration dans le système d’information et l’interaction avec l’extérieur. Certaines entreprises ont compris que l’on pouvait utiliser l’identité comme un service, en ayant un découplage entre les applications d’entreprise et les services d’authentification et d’autorisation, avec des produits comme OpenAM. Cela leur permet d’augmenter la flexibilité de leur système d’information, d’interagir plus facilement avec des partenaires ou fournisseurs, et donc d’augmenter leur compétitivité.

Les projets de gestion des droits et des identités évoluent à la frontière de la Direction des Systèmes d’informations et la DRH (voire la DG) des entreprises. Quels sont d’après toi les écueils à éviter et les leviers sur lesquels il faut jouer pour arriver à un succès ?

L’identité est au cœur de toutes les entreprises, il y a donc des interactions avec tous les services. Ce sont les ressources humaines qui ont la maitrise du référentiel des employés, des rôles, de la politique de sécurité. La direction des systèmes d’informations fait les choix technologiques, tant au niveau réseau qu’applicatif, et gère les autorisations au jour le jour. Pour le succès d’un projet de gestion des droits et des identités, il n’y a pas de mystère : cela passe avant tout par une grande planification, beaucoup de communication et une implication de tous les services de l’entreprise. Et les écueils sont nombreux. Beaucoup de projets ont échoué, étant sortis des limites budgétaires, revus à la baisse ou même abandonnés parce que démarrés comme des projets techniques, alors qu’il s’agit d’une stratégie d’entreprise qui doit obtenir le support de tous. Le manque d’expérience dans le domaine et les technologies est aussi un facteur d’échec. Il est donc important d’avoir une vision stratégique de la gestion des identités dans l’entreprise, mais aussi de concevoir l’implémentation comme une suite progressive d’étapes poursuivant cette stratégie. D’un point de vue technique, la première étape, souvent déjà réalisée dans les entreprises, est la mise en oeuvre d’un annuaire global, qui est le référentiel d’identité. Viennent ensuite les deux principales fonctions que sont le single sign-on et l’approvisionnement, puis les fonctions d’autogestion des mots de passe. Enfin, il y a l’ouverture vers l’extérieur avec la fédération d’identité, c’est-à-dire l’échange d’information d’identité avec des partenaires.

Un point qui m’interroge : que penses tu des DSI qui choisissent d’utiliser leur annuaire technique (le plus souvent Active Directory) comme référentiel unique d’identité, de gestion de droits, de SSO ? Est ce une bonne pratique, un choix parmi d’autres ou une erreur de fond ? Quels avantages à maintenir un référentiel dans des outils dédiés comme OpenDJ/AM ?

Je pense que c’est une bonne pratique que d’avoir un référentiel unique d’identité pour les droits d’access et le SSO. Et Microsoft est bien placé pour offrir tous les services sur sa propre plateforme avec Active Directory comme point d’intégration. Ceci dit, l’intégration avec AD n’est pas toujours possible pour diverses raisons, aussi bien techniques que politiques. Techniques d’abord parce que les solutions Microsoft sont fortement focalisées sur l’environnement Windows et n’interopèrent pas toujours avec d’autres systèmes d’exploitation, même si cet aspect s’est grandement amélioré ces dernières années. Mais aussi parce que AD est avant tout un annuaire pour gérer le Réseau et l’OS, et n’est pas extensible pour intégrer des données nécessaires aux services complémentaires. Pour la partie SSO, Microsoft a choisi d’élaborer ses propres standards (WS-*), mais SAML2, défini par Liberty Alliance et supporté par de nombreux produits dont OpenAM, semble s’imposer comme le standard pour la sécurisation des échanges d’information d’identité. Politique aussi, parce que dans les entreprises ce ne sont pas les mêmes équipes qui gèrent l’intranet et les postes collaborateurs, et l’extranet, l’interaction avec les clients ou partenaires. OpenDJ et OpenAM s’appuient tous deux sur des standards reconnus et acceptés : LDAP pour OpenDJ, SAML et XACML pour OpenAM. Ce qui permet d’interagir avec un grand nombre d’applications et des solutions d’infrastructure. Ecrits pour la plateforme Java, ils s’adaptent aussi aux choix matériels faits par les entreprises au lieu de les imposer, et permettent une plus grande souplesse. Enfin, ces produits ont été conçus pour s’adapter plus facilement à la croissance des besoins et des données, et sont capables de gérer plusieurs dizaines de millions d’utilisateurs.

A propos d’OpenAM/DJ : quels avantages apportent leur caractère OSS par rapport à leurs concurrents propriétaires ?

OpenAM et OpenDJ, de par leur caractère OSS, peuvent s’adapter à une plus grande variété de scenarii d’utilisation, la communauté de développeurs ou d’utilisateurs contribuant à ces scenarii, à faciliter l’utilisation ou encore l’extensibilité des produits. Ils sont donc généralement beaucoup plus facile à mettre en oeuvre que leur concurrent et s’adaptent à plus de plateformes. Par ailleurs, étant issus de projets supportés par Sun, OpenAM et OpenDJ ont été conçus pour répondre à des besoins d’échelle qui dépassent les PME. Ce sont des technologies qui ont été déployées chez des gros opérateurs telecoms avec des dizaines de millions d’utilisateurs. Mais leur architecture leur permet de s’adapter à des projets de plus petite ampleur, avec un coût diminué d’autant. Et puis il y a les avantages liés à la nature des projets open sources : pas de (ou très faible) coût d’acquisition, possibilité d’évaluer le produit et le code avant d’investir, coût de sortie réduit : si vous n’êtes pas content de votre fournisseur de support, vous pouvez continuer à utiliser le logiciel, choisir un autre fournisseur pour le support, ou choisir d’investir pour maintenir vous-même le produit. Enfin, les cycles de production dans les projets en logiciel libre sont plus rapides, plus fréquents, et permettent à tout le monde, à tout moment, d’évaluer les produits, de tester une version, un correctif ou de proposer une amélioration qui facilitera le déploiement immédiat et dont les autres utilisateurs pourront également bénéficier. Le code étant public, les mécanismes de sécurité peuvent être (et sont) étudiés ; les technologies sont donc plus fiables dans ce domaine.

Une question autour de Java sur lequel fonctionnent les produits OSS de ForgeRock : les tensions actuelles autour de Java (Oracle vs Apache Foundation) peuvent elles d’après toi amener les entreprises à se détourner de Java comme plateforme de leur SI ? Quels impacts alors sur les produits de ForgeRock ?

Cette question pouvait se poser il y a quelques mois. Mais depuis, nous voyons que le rapprochement IBM Oracle autour de Java, ainsi que Apple sur OpenJDK est plutôt d’ordre à rassurer les entreprises et conforter le choix de Java comme plateforme de leur SI. En même temps, nous remarquons un nombre croissant de nouveaux languages s’appuyant sur la plateforme Java : Scala, Groovy, JRuby... qui, s’ils fragmentent la position dominante de Java comme langage de programmation, confortent le choix de Java en tant que plateforme. Pour ce qui est de ForgeRock, notre inquiétude se situe plutôt au niveau du risque d’un Java à deux vitesses, avec la JVM que l’on connaît, basée sur OpenJDK ; et un Java commercial pour les entreprises, avec des services et des fonctions disponibles uniquement pour ceux qui payent, comme par exemple la VM JRockIT. J’espère que ce ne sera pas le cas.

Un mot sur ta conférence sur OpenAM aux RMLL : quels sont tes objectifs ? Quel public souhaites tu toucher aux RMLL qui ne sont pas un événement avec un public spécialisé ?

C’est vrai que le public des RMLL est différent de celui des autres conférences auxquelles je participe régulièrement. On y retrouve beaucoup d’amateurs passionnés par le logiciel libre, mais aussi des professionnels curieux, avec des profils variés : universitaires, administrateurs systèmes, développeurs du soir, contributeurs sur des projets... Ma conférence s’adresse principalement aux administrateurs systèmes, mais aussi aux architectes et tous ceux qui ont en charge le système d’information de leurs entreprises. Mon objectif est de mieux faire connaître ForgeRock, ses produits et d’expliquer comment on peut utiliser des produits de gestion d’identité comme OpenAM et OpenDJ pour rendre l’infrastructure des entreprises plus flexible et évolutive, en permettant au système d’information de s’ouvrir vers l’extérieur, en échangeant des données d’identité en toute sécurité.

Merci Ludovic pour le temps que tu nous a consacré et à bientôt aux RMLL pour partager une bière ... libre (sic) ;-)

Cet entretien a été réalisé début Juin 2010 par email par Christophe Brocas, co-responsable du thème Sécurité des RMLL 2011.