Dossiers
Chroniques
Guides et carnets
Évènements
Podcast
Alliancy TV
Alliancy Connect
What’s next CIO ?
Les trophées Alliancy
Tous nos articles
Cybersécurité
Data & IA
DSI & transfo IT
International
Guerre des talents
Nominations
Numérique responsable
Politique publique
Alliancy Studio
Alliancy Le Mag
Alliancy Les Cercles
Dossiers
Chroniques
Guides et carnets
Poussée par de nombreux gouvernements à travers le monde, de nouvelles identités numériques devraient investir la vie des citoyens à moyen terme. Les initiatives privées se multiplient également. Ces innovations pourront notamment permettre de remplacer les traditionnels identifiants et mots de passe pour augmenter la sécurité. Mais des risques existent autour de l’usurpation d’identité, des données ou de la biométrie.
En déplacement dans un bureau de Poste parisien jeudi 27 octobre, les ministres Stanislas Guerini, chargé de Transformation et de la Fonction publiques et Carole Grandjean, déléguée chargée de l’Enseignement et de la Formation professionnels, ont montré l’exemple en créant chacun leur propre compte sur la solution de La Poste : L’Identité Numérique. Cette dernière vise à faciliter les accès aux différents sites de l’administration publique. Mais il en existe de nombreuses autres souvent conçues par des start-up, qui permettent de nombreuses fonctionnalités tout en gagnant en sécurité. “Ça doit être facile à utiliser, sécurisé, privé, tout en laissant le choix aux utilisateurs”. C’est la vision que David Mahdi, chief strategy officer chez Sectigo, société spécialisée en cybersécurité et ancien vice-président du département analyse, sécurité et privacy chez Gartner, a d’une identité numérique. Ces solutions prennent une importance majeure dans les parcours digitaux qu’ils soient commerciaux et ou liés au services publics. Avec à la clé, la coexistence de nombreuses initiatives… et une certaine complexité qui met en exergue, aussi, de nouveaux risques.
L’exemple canadien
De nationalité canadienne, David Mahdi explique ainsi comment le gouvernement de son pays a mis en place à grande échelle des possibilités d’accéder au site des impôts avec ses identifiants bancaires. “Le Canada a fait quelque chose d’intéressant, c’est un partenariat public-privé. Ils ont rendu ça simple sans forcer personne à utiliser ce système.” Ainsi, il est désormais possible de payer ses impôts par des identifiants bancaires pour les clients de plus d’une quinzaine de banques présentes dans le pays.
De notre côté de l’Atlantique, l’Union Européenne souhaite également mettre entre place une identité numérique à l’échelle continentale, afin de garantir un minimum de cohérence et de confiance pour l’ensemble des citoyens dans leurs démarches numériques quotidiennes. Ce « Digital ID Wallet » Européen devrait faire ses armes dans nos pays d’ici les trois prochaines années, porté par chaque Etat membre, à la manière d’un passeport plus traditionnel.
En parallèle, des solutions innovantes sont aussi portées par des acteurs privés. A3BC est l’une de ces start-up qui poussent leur propre solution d’identité numérique. “Trustme est une application qui permet à chaque citoyen de se créer une identité numérique en replissant un certain nombre d’informations et de documents. Ils peuvent ensuite consommer cette identité quelle que soit la nature de la transaction”, explique Dinesh Ujoodah, CEO et co-fondateur de la jeune entreprise.
“C’est une extension de vous–même dans le monde digital”, vulgarise-t-il. Au-delà des simples informations liées à l’état civil d’une personne, les utilisateurs de Trustme peuvent ajouter d’autres documents comme des feuilles de salaires, des quittances de loyer, dans le but de prendre un crédit ou encore trouver une location. Cette application est en cours de certification auprès de l’Anssi (Agence nationale de la sécurité des systèmes d’information). Mais au-delà de ce gage de confiance potentiel, d’autres questions se posent. Comment ces différentes identités numériques vont coexister ? Comment s’assurer de la véracité des informations transmises dans ces différentes applications ? Comment certifier que les documents n’ont jamais été modifié ? Que se passe-t-il en cas de vol d’un smartphone ?
Une multiplication des systèmes
“C’est surtout l’ensemble des contrôles qui permet d’augmenter le niveau de confiance auprès de tierces parties”, indique Dinesh Ujoodah. “On ne peut pas tout vérifier mais on peut s’assure qu’une fiche de salaire ou qu’un justificatif de domicile n’a pas été modifié. On s’appuie sur un certain nombre de partenaire dont la mission est de pouvoir vérifier l’authenticité des documents”. Malgré tout une fois l’identité d’une personne certifiée et validée dans l’application, des risques existent au moment de l’utilisation directe de celle-ci, en cas de vol d’un smartphone. Plusieurs systèmes d’authentifications ont été mis en place, qui tentent de minimiser les risques que ce phénomène intervient.
“Au Canada, les banques ont massivement investi dans des systèmes anti-fraude et notamment des technologies qui permettent d’apprendre du comportement de leur client. La connaissance des clients s’affine au fur et à mesure et augmente le niveau de confiance”, raconte David Mahdi. Dinesh Ujoodah, ajoute : “Avec Trustme, il existe plusieurs mécanismes d’authentification en temps réels et en fonction de la nature de la transaction. On utilise aussi une authentification forte multi facteur.”
La biométrie fait partie des technologies ajoutant un niveau de sécurisation élevé des applications. Et contrairement à une crainte souvent évoquée, lorsque l’on utilise la biométrie, ni nos empreintes digitales, ni une photo de notre visage ne reste stockée sur le serveur d’une entreprise. “Le téléphone génère une formule mathématique dont le visage ou les empreintes sont la clef. La photo est directement détruite”, explique David Mahdi qui ajoute : “Cette clef est une combinaison entre la biométrie et le téléphone d’une personne”. Tous ces systèmes mis en place par les fournisseurs, ne sont cependant pas liés à ceux utilisés pour déverrouiller un smartphone et conçus par les différents fabricants. Encore une fois, c’est la coexistence de multiples systèmes se chevauchant qui vient compliquer le paysage de l’identité numérique pour l’utilisateur. D’autant plus dans un contexte où le risque d’une usurpation d’identité, notamment dans le cadre d’une cyber-malveillance, est de plus en plus important.
Une anticipation des attaques
En la matière, le constat fait par A3BC est simple. “La question n’est pas de savoir si on risque d’être attaqué mais plutôt quand ? Et comment faire pour empêcher un usage frauduleux des données lorsque celles-ci sont exfiltrées ?”, précise Dinesh Ujoodah. “On identifie principalement trois natures de menaces : l’attaque sur les terminaux, sur le transport et sur le stockage. On doit se protéger à tous les niveaux. On a déposé et obtenu des brevets sur des mécanismes de sécurité, soumis à des tests trimestriels par des sociétés spécialisées et certifiées, et en matière de stockage des données. L’objectif est de respecter à la lettre la réglementation RGPD et que seul l’utilisateur ait accès à ses données et puis donner le consentement pour les utiliser”. La certification espérée par Trustme existe d’ailleurs pour l’ensemble des acteurs souhaitant mettre en place une solution d’identité numérique. A terme, ces solutions pourraient être interopérables. “On doit être surs que ces technologies fonctionnent, soient sécurisées et parlent le même langage”, explique David Mahdi. Mais pour le moment, l’utilisateur, client et citoyen, est encore loin de pouvoir bénéficier de la simplicité d’une identité unique, simple à comprendre, à utiliser, et donc à protéger. Le prix de cette complexité pourrait demain peser lourdement sur les organisations qui développent de nouveaux parcours digitaux.
