La pandémie de COVID-19 a considérablement accéléré la numérisation de l’économie et, avec elle, l’utilisation des outils d’authentification pour simplifier des tâches administratives autrefois chronophages, faciliter l’accès des citoyens aux services publics essentiels mais aussi de sécuriser les entrées en relation avec les institutions.
La Secure Identity Alliance, organisation à but non lucratif qui regroupe les acteurs majeurs de l'identité numérique comme Archipels, Thalès, IDEMIA, IN Groupe, Veridos, Entrust ou encore Signicat, a publié le 10 novembre dernier un livre blanc intitulé On the Road to User-Centricity: Digital ID in the E-Wallet Era (en anglais) qui fait un état des lieux sur les usages, les bonnes pratiques et les modèles d’identité numérique existants.
Dans notre article de blog, nous allons revenir sur :
- La définition de l'identité numérique
- La diversité des modèles d'identité et leurs applications dans des cas d'usage concrets
- Les dernières tendances des standards d'identité en vigueur
Qu'est-ce que l'identité numérique ?
Bien que la littérature à ce sujet soit fournie, il est toutefois bon de rappeler ce que recouvre la notion d'identité numérique.
L’identité est un ensemble d’attributs qui se réfèrent à une entité ou à un individu dans une situation ou un contexte donné et qui répond à un but précis.
L’identité numérique exploite ces attributs pour accompagner individus et entités dans leurs interactions économiques et sociales en ligne. L’utilisation d’une identité numérique peut faciliter plusieurs cas d’usage de la vie courante comme :
- L’inscription à un nouveau service
- L’accès à une ressource en ligne
- La signature d'un document électronique
- Prouver son éligibilité à un service
Dans de nombreux pays, ces exemples sont devenus courants et, s'ils ne l'étaient pas, les mesures sanitaires consécutives à la pandémie ont imposé l'impératif d'implémenter des systèmes de gestion d'identité numérique.
L'identité décentralisée
Le concept d’identité décentralisée est apparu avec l’émergence de la technologie Blockchain qui a actualisé la question de l’administration des attributs d’identité.
Si dans un système centralisé, les attributs d’identité sont propriété exclusive de l’émetteur (par exemple, l’ANTS pour les permis de conduire), dans un régime décentralisée, c’est le titulaire des attributs d’identité qui maîtrise la totalité de ses interactions avec ses émetteurs et ses vérificateurs.
La diversité des modèles d’identité et leurs applications dans le monde
Il y a trois modèles de gestion d'identité numérique qui se distinguent dans le paysage actuel :
Le modèle centralisé
Les modèles de gestion d’identité dits « centralisés » se caractérisent par l’existence d’une entité centrale - souvent publique - dans l’émission et le contrôle des attributs d’identité.
Dans ce système, les données sont contrôlées par des autorités publiques ou par un petit nombre d’acteurs doté du privilège de générer des attributs d’identité.
Si les avantages de ce modèle résident dans une gestion claire par des entités définies, les risques de défaillance peuvent coûter très chers… Un piratage des entités concernés pourrait mettre à mal la confidentialité de ces données et une utilisation frauduleuse…
Toutefois, de nombreux pays se sont engagés dans ce modèle comme l’Inde avec son système AADHAR qui répertorie l’ensemble des identités numérique de l’ensemble de la population indienne pour accéder à des services de confiance comme la signature électronique, les opérations de eKYC ou encore l’authentification pour des services bancaires.
Autre exemple d’utilisation du système centralisé de gestion des identités avec le Nigéria et son identité numérique appliqué à l’agriculture. Le NIMC ID (Nigeria’s National ID Management Commission) permet aux agriculteurs de faciliter les opérations d’ouverture de comptes en banque ou encore de transactions.
Le modèle fédéré
Les modèles dits « fédérés » donnent aux individus la possibilité d’accéder à de nombreux services en ligne en utilisant une seule combinaison d’attributs d’identité numérique. Si ce système facilite grandement l’expérience utilisateur (ce dernier n’ayant pas besoin de mémoriser des dizaines et des dizaines de mots de passes), la gestion des attributs est délégué à une autorité centrale - qui peut être publique comme privée.
Dans le secteur privé, l’exemple le plus connu étant celui des réseaux sociaux comme Facebook ou Twitter dont les identifiants et mots de passe permettent de créer des comptes ou d’accéder à d’autres services privés.
Dans le domaine public, les exemples sont divers. On peut citer par exemple France Connect qui permet aux français de pouvoir gérer leur assurance maladie, payer leurs impôts ou encore suivre leurs démarches administratives. Dans le livre blanc du SIA publié en collaboration avec Archipels, vous trouverez de nombreux autres cas d'usage qui font usage de ce modèle fédéré.
Le modèle décentralisé
Nous avons consacré un livre blanc sur l’identité décentralisée qui détaille les modalités de fonctionnement d’une gestion décentralisée de l’identité numérique. Sans rentrer dans le détail, rappelons simplement que ce modèle permet aux utilisateurs finaux de contrôler directement leurs identités numériques fondées sur une architecture distribuée.
Prenons l’exemple d’une demande de crédit à une banque en utilisant ce modèle d’identité décentralisée :
Si les sceptiques mettront le doigt sur le relatif manque de maturité de cette technologie, les avantages de ce modèle sont nombreux :
- Il offre une sécurité inégalée en termes de gestion des données personnelles
- Il repose sur des standards interopérables permettant aux entités privées comme publiques de rajouter des couches fonctionnelles aisément (le W3C a construit des standards open-source accessibles)
- Il donne à l’utilisateur final le contrôle total de ses attributs d’identité.
Bien qu’avant-gardiste dans sa proposition technologique, c’est une solution qui est adopté par des pays comme la Suisse qui est en train de construire une architecture décentralisées pour la gestion des identités numériques au niveau de ses cantons. Pour plus d'informations à ce sujet, n'hésitez pas à consulter l'exemplaire du livre blanc du SIA intitulé On the Road to User-Centricity: Digital ID in the E-Wallet Era (en anglais).
Les standards d’identité à l’épreuve du monde de demain
ISO 18013 -5
Déployée en Septembre 2021, la partie 5 de ce standard portant sur les informations personnelles concerne les permis de conduire. Grâce à ce standard qui se veut interopérable, sécurisé et respectueux de la vie privée, le permis de conduire mobile (mobile driving licence - mDL) sera désormais contenue dans une application mobile comprenant une version digitale du permis de conduire.
L’autorité habilitée à délivrer le permis de conduire (en France, l’ANTS) émettra le titre au titulaire qui le stockera sur l’application mobile pour présentation auprès de l’instance vérificatrice (une agence de location de véhicule par exemple).
Comme tout standard qui se respecte, l’utilisation de cette dernière sera soumise à son adoption par les autorités en charge de la délivrance des permis mais aussi aux titulaires qui devront télécharger l’application mobile en question.
ICAO DTC
L’ICAO (International Civil Aviation Organisation) a développé un guide pour le développement d’un Digital Travel Credential (DTC) facilitant les opérations d’identification aux aéroports, ainsi que les services annexes liés aux voyages.
L’émission de ce DTC est générée par l’utilisateur final depuis son smartphone ou depuis un kiosque à l’aéroport. Le DTC est constitué de deux parties :
- Une composante virtuelle qui contient les données structurées de l’identité de l’individu (comme le passeport biométrique par exemple).
- Une composante physique qui intègre de la cryptographie et qui est capable de communiquer (comme par exemple une montre connectée, un smartphone ou un passeport électronique). Cette composante physique est détenue par le passager.
Le DTC est émis par l’utilisateur et est soumis à une signature électronique d’une autorité indépendante en charge de l’émission du passeport et qui certifie donc de l’authenticité du document de voyage.
Le W3C - les Verifiable Credentials et les DIDs
Avec l’émergence des identités numériques dans la vie courante, la question de leur monétisation par des entreprises privées, aux standards technologiques propriétaires, est devenue un sujet central de débat.
Avec le développement des technologies blockchain et des registres distribués, l’idéal d’un Internet décentralisé, auto-souverain et respectueux de la vie privée s’est popularisée.
C’est sur cette promesse d’entrée dans l’ère du web3 que le W3C s’est appuyé pour le développement des standards de solutions décentralisées pour l’authentification et la vérification : les Decentralized Identifiers (DIDs) et les Verifiable Credentials (VCs) dont vous trouverez des définitions précises dans notre article portant sur ces sujets.
Si les Verifiable Credentials sont des certificats numériques, standardisés, émis par une entité qui certifie des propriétés sur un individu (un État on un organisme de formation par exemple), les DIDs permettent de faciliter l’identification sous le contrôle de l’utilisateur final.
L'identité au coeur des interactions dans le Web3
Si les approches sur les modèles d’identité numériques sont aussi multiples que les zones géographiques qui les adoptent, force est de constater que la question de l’identité numérique est devenue primordiale.
Simplifiant grandement l’accès aux services publics et, plus largement, entre le secteur privé et le secteur public pour des cas d’usage variés, l’identité numérique requiert désormais des standards de sécurité très élevés puisqu’elle permet de gérer des activités sensibles comme le paiement des impôts, la justification de l’éligibilité à un crédit conso ou encore au téléchargement de ses attestations médicales.
Dans cette optique, il est plus que jamais indispensable de se renseigner sur les technologies permettant de gérer l’identité numérique des individus, de la certification de leurs attributs à la vérification de ces derniers.
Nous pensons que la technologie Blockchain est la mieux à même de répondre à ces objectifs de simplification des interactions en ligne mais aussi de sécurisation grâce à la certification.
Si vous avez des questions ou si vous souhaitez explorer des cas d'usage spécifiques pour l'implémentation d'une stratégie de gestion d'identité numérique, n’hésitez pas à nous contacter !