Le concept démocratique de la décentralisation et de l’identité auto-souveraine dans la confiance numérique

Préambule

Avez-vous entendu parler de l’affaire de la menteuse hors pair qui avait officié, pendant trois ans et demi, comme médecin du travail, puis en ophtalmologie, en usurpant l’identité de deux médecins ? Aucun diplôme de médecine, ni même un diplôme d’infirmière et pourtant elle semblait à l’aise dans sa blouse. Cette mère de famille s’est retrouvée à un moment de sa vie au chômage et en cherchant un emploi, elle découvre une offre de médecin du travail dans un centre à Champs sur Marne (Île-de-France).  Étonnamment, armée de son seul BTS en gestion immobilière, elle décide de postuler, après s’être fabriquée de faux diplômes de la faculté de Strasbourg et une fausse attestation d’inscription au tableau de l’ordre des médecins de Seine et Marne. Pire encore, elle est embauchée et accueillie à bras ouverts.

Pendant plus de trois ans et demi, elle officie en tant que médecin du travail, allant même jusqu’à vacciner elle-même au plus fort de la pandémie du Covid.

Tout se passait bien pour cette maman, jusqu’au jour où le centre porte plainte contre elle après l’avoir surpris en train de modifier des attestations à la place d’une infirmière. Elle utilisait un numéro RPPS (Répertoire Partagé des Professionnels de Santé) inconnu de l’ordre des médecins. Elle a été licenciée dès le lendemain. Mais à peine trois mois plus tard, elle récidive cette fois sous les traits d’une ophtalmologue. Elle effectue plusieurs vacations dans trois autres centres médicaux, en usurpant directement l’identité de deux praticiennes portant le même prénom qu’elle, l’une dans les Yvelines et l’autre à Nîmes.

J’ai voulu volontairement introduire cet article par ce cas de fraude et d’usurpation d’identité dans un secteur sensible qui est l’univers de la santé, mais malheureusement ce cas n’est pas un acte isolé. Ce même fléau touche d’autres activités. Je n’en citerai que deux pour illustrer mes propos dans ce qui suit : 1) les loueurs de voitures qui peuvent être exposés à de faux et de vrais-faux permis de conduire sans s’en rendre compte. Certains conducteurs dépourvus de leur permis peuvent constituer un danger pour notre sécurité routière. 2) les agences d’intérim où la demande est forte et récurrente, par exemple, dans le secteur aéroportuaire. Au niveau de ce dernier, sont regroupés un panel d’activités où se côtoient les métiers de la logistique, la sécurité, l'accueil, la maintenance, l'entretien, la vente, etc. Le secteur aéroportuaire constitue un centre d'activité dynamique très sensible. Ces agences d’intérim manipulent certainement de fausses pièces d’identité, de faux diplômes et/ou de faux certificats lors des embauches de certains intérimaires pour occuper des postes dans des zones sensibles des aéroports.

Le point commun, juste de ces deux cas, est le fait qu’ils sont liés aux problèmes récurrents des systèmes de vérification obsolètes et à la sécurité réduite proposés par un système de gestion d'identité centralisé.

Quel est le problème avec le mécanisme d’une identité centralisé ?

Malheureusement il n’y en a pas qu’un seul, le problème est multiple et c’est ce que nous vivons au quotidien sur le web sans peut être s’en rendre compte. Je me focaliserai au niveau de cet article que sur les plus importants, à savoir : l’expérience utilisateur, la sécurité des données et la protection des données personnelles.

L’expérience utilisateur : pour des processus donnés sur le web, certains peuvent se permettre d’annoncer "parcours fluide", "parcours sans couture" mais la réalité est autre : l’expérience est inadaptée. Généralement, il faut disposer d’un e-mail et d’un mot de passe, et d’ailleurs nous disposons de plusieurs mots de passes sur plusieurs sites web dont il faut souvenir. Les mots de passes peuvent facilement se perdre et par conséquent, à notre insu, une personne malveillante peut accéder à nos comptes sans notre consentement. Certains sites sécurisés nous proposent de recevoir un OTP-mail ou un OTP-sms voir un 2FA pour s’assurer de la bonne personne et que ce n’est pas quelqu’un d’autre qui s’est procuré nos identifiants. Vous l’avez constaté, c’est long, voire même pénible. C’est plutôt un parcours de combattant.

Au total, on est inscrit sur plusieurs sites auprès desquels nous avons communiqué plusieurs de nos données personnelles et en répétant les mêmes procédures d’onboarding chronophage. Je n’évoquerai même pas le fait qu’il faut prouver notre identité et qu’on est vivant, avec les notions de vidéo document, vidéo selfie, face matching et liveness.

La sécurité : comme évoqué ci-dessus, le fait d’avoir des credentials d’accès sur différents sites nous expose au risque de piratage. Nos données peuvent être volées et d’autres personnes peuvent se faire passer pour nous. Le plus grand danger est que ça peut être un accès financier avec toutes les conséquences que cela peut engendrer en termes de transactions frauduleuses pour l’un (titulaire de compte) et légitimes pour l’autre partie (la banque).

Les données personnelles : côté expérience utilisateur, nous avons tendance, y compris moi-même, à utiliser l’identification et l’authentification fédérée : au lieu de se connecter avec nos credentials habituels (adresse e-mail et mot de passe) on utilise le bouton proposé sur certains sites de type bigtechs (Google, Facebook, Twitter) et FranceConnect : "se connecter" ou "s’inscrire".

Certes avec le protocole d’OpenId Connect ou autre on peut se connecter ou s’inscrire au niveau de plusieurs plateformes de services avec un seul compte. C’est pratique, mais ça pose un problème sur la sécurité et la confidentialité de nos données personnelles.

En effet, les géants de la tech et les agrégateurs de fournisseurs d’identité numérique, en plus de nos attributs d’état civil et des éléments de contacts, continueront à collecter plus d’informations sur nos habitudes de vie, de consommation, les sites que l’on fréquente et ce qu’on effectue au niveau de ces derniers, etc. Moralité, ils vont centraliser énormément de données sur nous, sur notre comportement. Sur le volet sécurité, si quelqu’un s’empare de nos comptes chez les bigtechs ou chez les fournisseurs d’identité numérique, il pourra accéder non seulement à notre compte auprès de ces derniers mais à un panel de services autour, avec lesquels nous avions eu l’habitude de s’authentifier.

Les points évoqués ci-dessus montrent que ces pratiques ne sont plus adaptées à l’ère du numérique et comportent des risques sur la vie privée des utilisateurs et sur la propriété intellectuelle (fuite d’informations personnelles, usurpation d’identité, contrefaçon).

Ce qui est centralisé pour les Corporates est tout sauf centralisé pour les utilisateurs finaux qui doivent se souvenir de chaque identifiant et mot de passe.

La révolution numérique s’accélère et notre avenir deviendra de plus en plus digital. On aura de plus en plus à prouver notre identité et à s’identifier sur des sites web avec un outil plus puissant, plus rassurant et plus sécurisant qu’avec une simple adresse électronique et un mot de passe.

En quoi la gestion des identités décentralisées diffère-t-elle de la centralisée ?

Une gestion d’identité numérique doit redonner du pouvoir à l’utilisateur et en particulier sur ses données à caractère personnelle. Celui-ci doit être le seul garant de l’accès à ces dernières et de leur sécurité. Une capacité, qu’en général, les systèmes actuels de gestion des identités numériques (centralisé et fédéré) ne peuvent pas garantir. Ils sont en fait extrêmement limités en termes d’autonomie pour les utilisateurs, ces derniers ne disposant d’aucun moyen de contrôle de leurs identités numériques, ou du moins, ce qui en est fait.

Le caractère centralisé de la gestion d’identité numérique n’offre pas la possibilité aux utilisateurs de limiter l’accès et l’usage des données collectées sur eux. Le modèle fédéré, quant à lui, permet aux entreprises (bigtechs et fournisseur d’identité centralisée) de suivre, de collecter des données comportementales à l’insu des utilisateurs et grâce à cette richesse de données collectées, de développer des modèles d’Intelligence Artificielle pour modéliser certains phénomènes avec la possibilité de les monétiser auprès des grands donneurs d’ordre publics et privés.

L'identité décentralisée connue sous le terme Decentralized Identiy a attiré l'attention comme un moyen de remédier aux lacunes citées ci-dessus des systèmes actuels de gestion d’identité. Elles ont fortement motivé le développement du modèle d'identité auto-souveraine (Self Sovereign Identity #SSI) pour gérer les identités numériques et établir ainsi la confiance au niveau des interactions en ligne entre les utilisateurs et les plateformes de services proposées par les Corporates publiques et privées.

Identité auto-souveraine, comment fonctionne-t-elle ?

Le terme identité décentralisée est utilisé de manière interchangeable avec l’identité auto-souveraine. Cette dernière repose sur un concept démocratique où chaque utilisateur a le contrôle total sur ses données. Dans cette optique, il aurait le droit et le pouvoir de décider quand, comment et avec qui ses informations peuvent être partagées.

L’idée principale est d’avoir un système décentralisé et sans organe de contrôle, sur lequel l’utilisateur crée et gère lui-même son identité numérique. Les différents services et applications devraient alors se connecter à ce système et demander la permission pour accéder à l’identité des utilisateurs. Ce changement de paradigme permettrait aux utilisateurs de partager, à travers un portefeuille numérique décentralisé (Decentralized Identity Wallet #DIDW), seulement les informations souhaitées (principe de divulgation sélective), de choisir quand révoquer leurs accès et d’avoir réellement la main sur leurs données, sans nécessité un tiers de confiance.

Sans plus tarder, nous allons aborder et comme le présente la figure ci-dessous les piliers fondamentaux d’une identité auto-souveraine à savoir : la Blockchain, le portefeuille numérique décentralisé (Decentralized Identity Wallet #DIDW), les identifiants décentralisés (Decentralized Identifiers #DIDs), les identifiants vérifiables (Verifiable Credential  #VC).

Blockchain : dans le concept de l’identité décentralisée, un registre distribué de type blockchain est utilisé pour stocker de manière immuable les preuves d'identité, donnant naissance à un nouveau paradigme d’identité numérique décentralisée. Une blockchain d'identité fournirait un domaine de confiance commun pour l'identité numérique et réduirait le rôle des grandes entreprises dans la gestion des informations personnelles de leurs clients.

À noter que pour des raisons de sécurité, aucune donnée d’identification vérifiable n’est enregistrée dans la blockchain. Seules les preuves d’identité (hachage cryptographique) sont enregistrées dans la blockchain. Les données d’identification vérifiables sont à la main du titulaire via son portefeuille numérique décentralisé.

Portefeuille d'identité décentralisé : une application mise à disposition du titulaire lui permettant de créer leurs identifiants décentralisés (DIDs) et de gérer leurs informations d'identification vérifiable (VC).

Identifiant décentralisé (DID) : actuellement, la plupart d’entre nous utilisent des identifiants centralisés tels que nos e-mails, nos mots de passe et nos noms d'utilisateur pour accéder à des plateformes de services. Mais ces identifiants, comme détaillé dans les sections précédentes du présent article, posent des problèmes de piratages de données, de partage avec d’autres parties à notre insu, vol d'identité, etc. Les DIDs résolvent bon nombre de ces problèmes. En effet, un Identifiant Décentralisé (DID) : 

• Est un identifiant unique composé d'une chaîne de lettres et de chiffres qui correspond à une adresse d'identification sur la blockchain et reste indépendant de toute organisation.
• Active une norme universellement acceptée pour l'échange et la vérification des informations d'identification numériques.
• Permet au propriétaire de prouver le contrôle cryptographique sur ces informations.
• Livré avec une ou plusieurs paires de clés privées et de clés publiques.
• Ne contient pas de données personnelles ou d'informations sur le portefeuille numérique décentralisé.
• Permet des connexions privées et sécurisées entre deux parties et peut être vérifiée n'importe où et à tout moment.

Une personne peut créer autant de DIDs qu'elle le souhaite pour ses relations avec les différentes plateformes de services, par exemple : 

• L’Autorité de Régulation de la Communication Audiovisuelle et Numérique (ARCOM) et dans le cadre de la protection des mineurs, interdit l’accès à certains sites à ces derniers . L’utilisateur doit créer un DID dédié pour prouver que son âge (plus de 18 ans) l’autorise à y accéder.
• Accéder à une plateforme de paris en ligne et/ou de jeux du hasard. Dans la même optique l’utilisateur doit prouver qu’il a l'âge légal pour effectuer des mises et éventuellement retirer ses gains.
• À des fins professionnelles où un utilisateur peut user de son DID pour montrer des diplômes ou des certificats professionnels à une agence d’intérim.
• Accéder à des services financiers, ces derniers ont l’obligation de vérifier l’identité de l’utilisateur et d’autres Due Diligence avant tout Onboarding #KYC_Onboarding, etc.

Informations d'identification vérifiables (VC) : comme expliqué ci-dessus, l'identité numérique décentralisée permet à un utilisateur de conserver ses identifiants numériques dans son portefeuille numérique décentralisé. Pour s'assurer que les informations d'identification ne peuvent être ni falsifiées ni modifiées, les preuves des informations d'identification sont stockées dans la blockchain. Une fois qu'un justificatif (d'identité, permis de conduire, certificat d’immatriculation, diplôme, etc.) est présenté à une autre partie dite vérificateur, le justificatif concerné peut être facilement contrôlé en vérifiant sa preuve dans la blockchain. Ce processus rend les informations d'identification et leurs présentations inviolables et, par conséquent, elles sont appelées respectivement informations d'identification vérifiables et présentations vérifiables. Pour être considérées comme informations vérifiables, ces dernières doivent être conformes à la norme (modèle de données) établie par le W3C (World Wibe Web Consoortium). Il définit le standard de structuration des informations d'identification sur le web d'une manière cryptographiquement sécurisée, respectueuse de la vie privée et vérifiable par machine.

La figure ci-dessous montre comment un justificatif vérifiable et sa présentation peuvent être mis en œuvre. Par exemple, l’ANTS (émetteur) délivre à un utilisateur (titulaire) un permis de conduire numérique (identifiant vérifiable), puis publier son hachage cryptographique (preuve) sur la blockchain. Le titulaire présente ensuite son permis (présentation vérifiable) à un loueur de voiture (vérificateur) pour louer un véhicule. Le loueur vérifie alors que le permis de conduire numérique est bien valide en vérifiant que le hachage cryptographique de l'identifiant présenté est identique au hachage publié dans la blockchain.

La cryptographie joue un rôle essentiel dans le développement des DIDs, fournissant un moyen sécurisé et vérifiable de stocker des informations.

Les informations d'identification vérifiable (VC) offrent des fonctionnalités de confidentialité avancées permettant à un utilisateur de :

1. Choisir, selon le principe de la divulgation sélective, les informations qu’il souhaite partager plutôt que d'afficher l'ensemble de ses informations d'identification. Exemple : un utilisateur peut partager son numéro de permis de conduire avec un loueur de voiture sans révéler son année d’obtention.
2. Prouver, selon le principe des informations d'identification anonymes, quelque chose sur lui-même sans montrer des détails spécifiques. Exemple : un candidat à un poste peut prouver qu'il a un diplôme universitaire sans montrer aucun détail sur le diplôme lui-même (la mention, année d’obtention, etc.).

À noter que le principe des informations d'identification anonymes est rendu possible grâce à la technologie ZKP (Zero Knowledge Proof). Cette dernière est d’un grand intérêt pour l'authentification en ligne des utilisateurs, par exemple, dans des processus sensibles bancaires et de santé où la confidentialité et la sécurité sont indispensable. La ZKP peut être aussi utilisée dans un processus de vote électronique où l'anonymat des électeurs est nécessaire. Ces derniers peuvent prouver que leur vote a été compté sans montrer leur identité.

De quels avantages bénéficient les utilisateurs (titulaires) et les corporates (vérificateurs) ?

D’une méthode plus sécurisée et privée pour gérer l'identité : l’identité d'un utilisateur - y compris quand et avec qui elle est partagée - reste sous le contrôle de ce dernier.

De moins de comptes nécessaires : avec un portefeuille numérique décentralisé et un DID, les utilisateurs n'ont pas besoin de créer des comptes séparés pour chaque plateforme de services.

Des identifiants vérifiables : l’exactitude des informations contenues dans le portefeuille numérique est déjà vérifiée et signée par des sources tierces de confiance (émetteur), ce qui accélère potentiellement les processus de vérification de lutte contre la fraude.

Du transfert de responsabilité pour le traitement des données personnelles d’identifications : certaines responsabilités en matière de confidentialité sont prises en compte car les organisations ne reçoivent que des informations personnelles exactes que l'individu les autorise explicitement à utiliser. Les identifiants décentralisés ne sont ni stockés ni gérés par les organisations, ce qui réduit encore leurs responsabilités en matière de protection des données personnelles d’identification et de garantie de la confidentialité des utilisateurs.

De réduction des chances que les Corporates soient attaquées : si les Corporates adoptent une identité décentralisée, elles peuvent éviter d’être une cible attrayante pour les cybercriminels car elles ont moins de données utilisateurs stockées.

De problèmes de mot de passe atténués : étant donné que les identifiants décentralisés sont basés sur des clés cryptographiques au lieu de mots de passe, les problèmes de gestion des mots de passe et les attaques par mot de passe sont diminués.

Des avantages de la blockchain : l’utilisation de données décentralisées offre des avantages associés à la blockchain, tels que la transparence des transactions, la résistance à la falsification et à la fraude.

Conclusions : 

Il est évident que l’identité numérique décentralisée avec la blockchain a des vrais potentiels pour rendre la gestion de l’identité décentralisée, simple et transparente, transformant complétement le paysage actuel de l’identité numérique.

Le concept démocratique d’une gestion décentralisée rend le pouvoir à l’utilisateur sur le contrôle total sur ses données et assure la confidentialité (private by design). L’objectif est de responsabiliser les utilisateurs en ligne et de créer un univers au niveau duquel les acteurs impliqués partagent des données vérifiables avec des preuves d’existence.

L’implémentation, le développement technologique, la fiabilité ainsi que l’expérience utilisateur représentent de véritables défis techniques pour convaincre et généraliser l’adoption de l’identité auto-souveraine par le grand publique. Avec l’avancement et l’innovation technologique, des cas d’usages dans différents marchés (banque, santé, administration publique, loisirs, etc.) verront le jour.

Les avantages et la valeur ne se concrétiseront que lorsque des Corporates (privées et publiques) adopteront l’identité décentralisée, émettront, vérifieront les informations d'identification numériquement et institueront des normes pour permettre l'interopérabilité et la portabilité. L’atteinte de ces objectifs nécessitent le déploiement d’un nombre important de nouvelles infrastructures, de portefeuilles d'utilisateurs, de nouveaux registres de blockchain pour les DIDs, etc. ainsi que des APIs pour rapprocher les différents applicatifs et les différents acteurs au système décentralisé.

Mots clés : Confiance - Identité décentalisée - Blockchain - Identifiants vérifiables - Cryptograogie - World Wibe Web Consoortium