Quel est le futur de l’identification et de l’authentification numériques?

Julien Ducerf
20 min readSep 30, 2022

Dernièrement, le service d’authentification promu par le gouvernement, « France Connect », a fait la une de l’actualité suite à une problématique de sécurité liée au compte de l’Assurance Maladie (voir mon post sur Linkedin : “L’Assurance Maladie et France Connect” : https://bit.ly/3emUlnr). Un simple identifiant et mot de passe suffisent pour se connecter à des services publics officiels contenant des données personnelles sensibles.

Bien sûr, il existe de nombreuses solutions pour renforcer la sécurité d’une authentification, comme la double authentification. Cependant, en plus de ne pas être parfaites à 100% (https://bit.ly/3Ry9Jfc), nous oublions également que l’expérience utilisateur fait partie intégrante de l’authentification.

Si l’on contraint un utilisateur à utiliser un système d’une certaine manière et si ce système est trop complexe, il sera mal utilisé ou rejeté, entraînant l’abandon… Les mots de passe sont souvent soit trop simples, soit trop complexes à mémoriser, etc.

Pourtant, les besoins d’authentification ne cessent de croître pour des services qui deviennent de plus en plus connectés, que ce soit dans le digital ou le phygital : comptes clients, paiements, utilisation d’un service ou d’un produit (voiture, smartphone, etc., voire même une porte de maison), preuve d’identité, etc.

Nous devons centraliser ces problématiques d’authentification afin de simplifier les usages et d’améliorer la sécurité.

L’authentification est fortement liée au principe d’identité. S’authentifier sur un service numérique revient à certifier de la véracité de l’identité de la personne qui utilise ce service. Or, la définition de l’identité varie selon les besoins.

Nous connaissons l’identité dictée par l’État (nom, prénom, adresse, etc.), l´identité régalienne, qui a été suffisante jusqu’à présent pour nos activités “classiques” et physiques. Nous avions l’habitude de partager cette même identité avec des services commerciaux, au risque de voir nos données utilisées à mauvais escient.

Avec la multiplication des services numériques, des activités et des “avatars” que nous leur donnons, l’identité n’a plus besoin d’être la même d’un service à l’autre. Il est même possible qu’elle n’ait plus besoin d’être “visible”.

“L’identité du futur” sera donc différente selon les besoins, mais surtout entre les mains de l’utilisateur.

Projetons-nous dans cette réalité…

IDENTITE NUMERIQUE

Que constitue une identité numérique?

Les données constituent l’identité ou le profil de l’utilisateur, et donc son portefeuille numérique, et le choix de ces données dépend des usages. Un service public a besoin de connaître votre identité « personnelle » via des données considérées encore aujourd’hui comme « officielles » : nom, prénom, adresse, etc. Ces données sont ce que l’on appelle des “attributs”. Lorsqu’on parle d’”identité numérique” et d’”attributs”, on utilise souvent le terme de “Verifiable Credentials” (Credentials = certificat ou identité).

Un service privé, dans un commerce par exemple, peut n’avoir besoin que d’un seul attribut, comme le prénom, pour personnaliser le service. Dans ce même cas, le prénom et le nom ne serviront plus à terme pour l’authentification (dans le sens « pour vous retrouver dans notre fichier client ») et ne seront donc plus nécessaires. Cependant, certains services commerciaux/privés peuvent avoir besoin d’attributs « officiels » de l’identité pour des raisons juridiques (une adresse, un âge… pour une banque, une location de vacances…). Mais pas de tous les attributs…

Par conséquent, une identité n’est donc plus constituée d’une liste fixe d’attributs (nom, prénom, adresse, date et lieu de naissance…). Ce qui constitue une identité a changé culturellement et continuera à changer, à s’adapter, en fonction des besoins et des usages.

L’identité numérique est aujourd’hui plus complexe que l’identité traditionnelle que la société nous a imposée, ou que les organismes officiels nous ont arbitrairement attribuée. L’identité, avec l’évolution des activités digitales, phygitales et de leur interconnexion, devient bien plus complexe qu’elle ne l’était. Nos activités forment notre identité, car leur somme est unique.

Des scientifiques travaillent sur l’analyse du comportement physique et de la modulation de la voix comme cartographie unique d’une personne permettant de signer celle-ci et de donner un nouvel attribut à son identité. D’autres vont plus loin avec des projets d’IA via la cartographie issue de l’analyse des activités. Une sorte d’électrocardiogramme de notre vie numérique et physique !

Enfin, qu’en est-il des avatars que nous utilisons pour nous représenter dans les divers mondes numériques ? Ils ne sont pas une fausse identité. Ils peuvent être considérés comme une sorte de costume qui fait partie intégrante de ce que nous sommes et doivent être pris en compte dans notre identité numérique.

L’affichage des données de l’identité numérique n’est plus obligatoire

Dans de nombreux cas où les données personnelles-officielles d’identité ne sont pas nécessaires, cette identité n’a pas besoin d’être « visible » auprès du service. C’est ce que l’on appelle la “SSI” pour “Self-Sovereign Identity”, ou “Identité auto-souveraine”.

Il faut prendre en compte un schéma d’interactions triangulaires entre 3 acteurs. Le premier, c’est vous, l’utilisateur, appelé le “Holder” dans le jargon de l’identité numérique. Le deuxième est le service auquel l’utilisateur veut se connecter/prouver son identité, nommé le “Verifier”, car son rôle est de vérifier votre identité pour utiliser/accéder à son service. L’objectif du “Verifier” est qu’il vous donne accès à ses services sans que l’utilisateur soit obligé de fournir des données personnelles. Pour cela, on compte sur le troisième acteur, “l’Issuer”, qui fournit la preuve de l’identité de l’utilisateur.

Au concept de “Self-Sovereign Identity”, on associe le dispositif de “Zero Knowledge Proof”. Si le premier est le concept général de la nouvelle identité numérique, le deuxième est sa solution technique. Il s’agit du nom du protocole cryptographique qui permet de “prouver” une identité ou un de ses attributs sans en avoir connaissance; c’est-à-dire sans voir la donnée.

Dans le cas de la “SSI”, “l’Issuer” va fournir une identité numérique sous forme d’une signature cryptée. Cette signature/identité cryptée/numérique sera stockée dans votre “wallet” d’utilisateur. Quand vous aurez besoin de prouver un attribut de votre identité sur une application, vous n’aurez pas besoin de montrer tous les attributs de cette identité. Votre wallet va se connecter à l’application (qui ne voit que des données cryptées), et l’application se connectera à son tour à l’application de “l’Issuer” qui confirmera votre identité.

On retrouve ce fonctionnement avec “France Connect” qui propose plusieurs systèmes d’identité numérique. Si vous utilisez “Mobile Connect”, c’est votre opérateur téléphonique qui fait office “d’émetteur”. Il peut donc autoriser une authentification à un service sans montrer vos vraies données d’identité, avec une couche importante de sécurité.

Avec ce système, les organismes et services privés/commerciaux ne peuvent plus utiliser vos données personnelles pour du marketing “éthiquement limite”. Au pire, les actions marketing sont liées à une identité cachée-cryptée que l’on peut gérer à sa guise.

En résumé, l’identité du futur est constituée de très nombreuses données et attributs uniques qui caractérisent la personne. Ces données sont à la main de l’utilisateur : il décide ce qu’il veut partager et ce qu’il veut rendre visible selon ses besoins. Des données innées et immuables, et d’autres qui sont le fruit de l’évolution de la personne et qui font de son identité une cartographie également unique.

AUTHENTIFICATION NUMÉRIQUE

L’authentification est souvent perçue comme la « clé » qui permet d’accéder à un service. Cependant, cette vision est réductrice. En effet, l’authentification va au-delà de cela, c’est l’expression d’un utilisateur qui souhaite interagir, échanger ou transférer des données avec un service ou même avec une personne ou une organisation par l’intermédiaire de ce service. S’authentifier, c’est prouver qu’une identité possède les droits d’interaction. Ces droits sont uniques à chaque identité. Il est donc essentiel de différencier l’identification de l’authentification.

Traditionnellement, la clé d’authentification est constituée de données différentes de celles de l’identité. Par exemple, si l’ID d’authentification est une adresse e-mail, cette dernière peut être considérée comme une donnée d’identité, à l’instar d’une adresse physique. Toutefois, si on utilise un système pour masquer son adresse e-mail par une fausse ou temporaire (comme le fait iCloud d’Apple), ce n’est plus le cas. En ce qui concerne le mot de passe, cette donnée n’est pas du tout liée à l’identité.

Les systèmes d’authentification ont évolué avec le temps pour devenir plus sécurisés, bien que cette évolution soit assez lente et que des systèmes de sécurité « basiques » soient encore proposés par certains services. Par exemple, « France Connect », le système officiel proposé par l’Etat, permet de s’authentifier via les comptes de l’Assurance Maladie ou des Impôts, qui fonctionnent uniquement via le duo « identifiant + mot de passe ». Ce système est facilement piratable, que ce soit techniquement (par force brute) ou par ruse (phishing).

Pourtant, de meilleures solutions sont déjà disponibles :

  • Double authentification (ou « A2F », ou « MFA » pour « Multifactorielle ») : connexion classique par ID + mot de passe + utilisation d’un code numérique temporaire envoyé par SMS, Email ou généré par une application mobile.
  • SIM Verify : également une double identification où la carte SIM du smartphone de l’utilisateur prouve qu’il s’agit bien de ce dernier (la SIM est liée aux données opérateur de notre compte client téléphonie) ; à laquelle on ajoute également un code numérique connu uniquement par l’utilisateur.
  • Un support physique supplémentaire (ou « U2F ») : comme une clé USB qui remplit un rôle similaire à celui de la carte SIM.
  • Un service supplémentaire comme une « clé digitale » : par exemple dans le cas d’un paiement bancaire, où l’authentification/validation passe par le service propriétaire de la banque.

Utiliser de nos jours un système d’authentification classique « ID + mot de passe » est une aberration en matière de sécurité. Pourtant, ces systèmes sont encore bien trop présents dans de nombreux services, y compris les plus officiels.

LES PROBLÉMATIQUES

La garantie de sécurité n’est jamais absolue. En dépit des nombreuses solutions existantes, aucune n’est techniquement infaillible. En outre, l’expérience utilisateur joue un rôle clé dans la sécurité. Lorsqu’un système d’authentification est trop simple à utiliser, les utilisateurs ne sont pas « forcés » d’utiliser des données complexes. Pourtant, dans le cas du système ID + mot de passe, la complexité du mot de passe est essentielle à la sécurité.

À l’inverse, un système d’authentification complexe peut mener à des erreurs, voire à un rejet du système. Les systèmes de double authentification mentionnés précédemment offrent un niveau de sécurité relativement élevé pour un public large. Cependant, leur utilisation peut s’avérer fastidieuse.

C’est également le cas de la phase d’enrôlement. Pour créer une clé d’authentification, s’inscrire sur un service, enregistrer une combinaison « ID + mot de passe + double authentification », etc., une phase d’enrôlement est nécessaire. Cette phase peut être plus ou moins complexe en fonction de ce que l’on partage de notre identité.

Certains services numériques « simples » n’ont pas besoin de données d’identité pour créer un compte d’authentification. Pour utiliser une messagerie, un email et un mot de passe peuvent suffire, voire seulement un numéro de téléphone.

Dans d’autres cas, il est nécessaire de « prouver » son identité car le service repose sur des données d’identité pour fonctionner. C’est le cas, par exemple, d’un compte bancaire : des données d’identité officielles sont requises pour l’utilisation du service bancaire, en plus de la création d’un système d’authentification pour accéder à ce service.

Un autre exemple plus simple : l’application de location de trottinettes électriques « Tiers » demande une copie du passeport pour prouver la majorité de l’utilisateur. L’expérience peut être compliquée (qui n’a jamais perdu son identifiant ? Qui n’a jamais eu marre de remplir de longs formulaires ou de chercher un mot de passe avec 12 caractères, un caractère spécial, une lettre, une majuscule, etc. ?) sous prétexte de sécurité.

Enfin, où sont stockées mes données d’identité et d’authentification ? Comment sont-elles transférées ? Comment sont-elles validées ? Même si elles sont stockées sur un serveur crypté, le risque est grand compte tenu des fuites de données de plus en plus fréquentes.

Un mot de passe, en fin de compte, est au mieux un mot inventé par l’utilisateur qui n’existe dans aucune langue (technique utilisée par un faible pourcentage d’utilisateurs), ou au pire (technique la plus couramment utilisée) un mot courant de la langue française, piratable par force brute ou par hameçonnage (phishing).

LE MEILLEUR DES MONDES : LA BIOMÉTRIE?

Les données biométriques représentent la mesure numérisée de caractéristiques biologiques ou comportementales uniques à un individu. Cela peut inclure l’empreinte digitale, le rythme cardiaque, la rétine de l’œil, etc. Chaque donnée biométrique est relativement unique, bien que cette unicité puisse varier en fonction de la typologie de la donnée (source biologique telle que le visage, la main, etc.) et de la méthode de capture de cette donnée.

Contrairement à un mot de passe, une donnée biométrique n’est pas une invention volontaire et non naturelle. En fait, il n’y a pas besoin de créer ou de mémoriser une donnée biométrique, ce qui élimine de nombreux risques associés. Nous ne sommes pas le mot de passe que nous créons, tandis que les données biométriques font partie intégrante de ce que nous sommes.

De plus, la capture de données biométriques est généralement quasi immédiate, à l’inverse de la nécessité de taper un mot de passe ou un code.

En résumé, les données biométriques présentent les avantages suivants :

  • Elles sont naturelles, ne nécessitent pas de création et ne comportent donc pas de risque d’erreur. Elles sont ainsi automatiques.
  • Elles sont rapides à capturer.
  • Elles sont uniques et pratiquement impossibles à copier.

En effet, la biométrie est une technologie qui offre la possibilité d’associer les mondes de l’authentification et de l’identification en utilisant les mêmes données. Ces données sont généralement cryptées par les services qui les utilisent et peuvent être difficiles à récupérer lors d’un piratage. Cependant, comme vous l’avez mentionné, il est important de comprendre que ce sont toujours des données numériques et donc, elles ne sont jamais à 100% sécurisées.

Traditionnellement, la plupart des systèmes biométriques enregistrent des données en « 2D », par exemple une empreinte digitale ou une photo du visage. Ces données sont considérées comme « fixes » et ne changent pas avec le temps, ce qui signifie qu’elles peuvent potentiellement être copiées ou falsifiées.

Pour améliorer la sécurité et l’efficacité des systèmes biométriques, plusieurs avancées sont envisageables :

  1. Intégration des axes de temps et d’espace : Les systèmes pourraient évoluer pour cartographier les visages en 3D ou pour prendre en compte les changements naturels qui se produisent avec le temps (par exemple, le vieillissement, la croissance de la barbe, etc.). De plus, ils pourraient surveiller les données biométriques sur une période de temps, comme l’enregistrement du rythme cardiaque pendant une certaine durée.
  2. Validation du « live » : Il pourrait également être possible de vérifier que les données biométriques sont capturées en temps réel, ce qui signifie que l’individu est réellement présent et vivant au moment de la mesure. Cela pourrait impliquer la détection des mouvements ou de l’attention de l’individu, ou la surveillance de micro-variations dans le rythme cardiaque.

Enfin, se pose la question cruciale du stockage.

Habituellement, nous utilisons un système de comparaison et de correspondance : lors de l’enrôlement des données biométriques, c’est-à-dire lors de la première mesure, ces dernières sont enregistrées sur le serveur du service et servent de modèles de comparaison lors des mesures ultérieures, pendant une phase d’authentification ou d’identification.

Comme nous l’avons évoqué précédemment, les systèmes biométriques officiels n’exploitent pas des données biométriques en « 3D » ou en « live ». Ils s’appuient sur des données biométriques en « 2D ». C’est le cas, par exemple, pour les documents d’identité comme le passeport. Il est donc impératif d’avoir confiance dans le stockage, le transfert et la validation des données.

Cependant, les systèmes qui mesurent les données biométriques captées « en direct » stockent les informations localement et hors ligne sur l’appareil qui effectue la mesure (par exemple, un iPhone avec Face ID). Contrairement au stockage sur serveur, le stockage local offre une flexibilité accrue en matière de gestion de la sécurité :

  • il n’y a pas de possibilité de piratage par intervention volontaire ou involontaire de la part de l’entreprise du service,
  • il est « déconnecté » du réseau et du reste du matériel de l’appareil grâce à une puce spéciale qui gère le stockage et le traitement (comme le Secure Enclave chez Apple),
  • les données sont supprimées en cas de restauration ou de changement d’appareil.

Certainement, des systèmes de stockage locaux tels que Secure Enclave utilisent également une sorte de système de correspondance entre les données stockées lors de la première mesure et les mesures ultérieures. Cependant, comme il s’agit de données mesurées en temps réel et en constante évolution, le modèle stocké est continuellement mis à jour.

Finalement, ces données sont, comme pour de nombreux services récents, utilisées avec un système de chiffrement asymétrique. Sans entrer dans les détails techniques, cette solution est de plus en plus mise à profit, notamment avec l’émergence de nouvelles technologies comme la blockchain. Nous y reviendrons plus tard…

Dans le cas d’une authentification pour déverrouiller un appareil (comme un smartphone), la biométrie ne pose pas de problème, car tout se passe au sein du même écosystème matériel et logiciel. Il en va de même pour l’authentification sur une application. Le système de mesure biométrique reste celui de l’appareil (l’iPhone, par exemple) et l’application n’accède pas aux données.

Dans le cas de l’utilisation d’un service cloud (un site web, par exemple), il est nécessaire d’envoyer une « clé » pour prouver qu’il s’agit bien du bon utilisateur et pour accéder aux droits associés. Comme nous l’avons vu plus haut dans le paragraphe sur l’authentification, il n’est pas nécessaire que les données liées à notre identité biométrique soient visibles.

Ainsi, le chiffrement asymétrique crée une clé privée sur l’appareil personnel. Cette clé est unique, car elle est signée, et une clé publique qui est connue et transférée de l’utilisateur au service. Le destinataire (le service) possède également une clé privée qui a la capacité de déchiffrer cette clé publique. La clé publique prouve l’identité de l’utilisateur sans dévoiler cette identité. Le contenu de cette clé publique respecte des règles établies entre services, entre appareils, entre utilisateurs.

(Pour en savoir plus, la meilleure explication reste celle de Wikipedia : https://bit.ly/3eQl0tm)

LA MORT DES MOTS DE PASSE

Habituellement, nous utilisons la biométrie sur un smartphone (ou un ordinateur plus généralement) pour deux usages :

  • L’authentification afin de déverrouiller l’appareil. En cas d’erreur de mesure biométrique, il est possible d’utiliser un code.
  • L’authentification pour ouvrir un gestionnaire de mots de passe et permettre le remplissage automatique du champ de mot de passe d’un service.

Le premier cas peut sembler absurde quand on sait que FaceID chez Apple, par exemple, est un système biométrique très sophistiqué et qu’il peut être remplacé par un simple code alphanumérique de 4 caractères. Le deuxième cas est finalement une simple aide pour accéder et utiliser les données d’authentification sans avoir à les mémoriser.

L’objectif de l’authentification du futur est d’abandonner complètement l’utilisation du couple “ID + mot de passe”. Les données biométriques deviennent alors la signature d’authentification ; nous devenons nous-même le mot de passe.

Dans ce sens, Microsoft, Google et Apple (et d’autres) ont formé un consortium autour de l’alliance FIDO. Si cela ne vous dit rien, c’est une organisation qui existe depuis un certain temps et qui travaille sur des solutions de double authentification, comme une clé USB (comme nous l’avons vu précédemment dans le paragraphe sur les différents moyens “classiques” d’authentification). L’objectif de ce nouveau consortium est de proposer une solution commune d’authentification par biométrie en remplacement total du mot de passe, comme nous l’avons mentionné.

(Plus d’informations chez Apple : https://apple.co/3dWItJ7)

Apple a franchi le pas en premier, en annonçant lors de la WWDC 2022 le programme “Passkeys”, disponible sur le nouvel iOS 16. Apple propose une API aux sites web, applications et services qui permettra d’utiliser Passkeys pour leurs utilisateurs.

La solution est simple : lors de l’enrôlement (inscription au service), l’iPhone (ou le Mac) utilisera le système de chiffrement asymétrique et créera des clés spécifiques liées au service (la clé privée stockée en local sur l’appareil, la clé publique qui établit les règles et accords de chiffrement entre le service et l’appareil/utilisateur).

La clé privée assume le rôle d’un token ; c’est-à-dire une signature numérique unique comme le sont une authentification ou une identification. Lors de l’authentification sur le service, l’utilisateur valide son identité en tant que propriétaire de la clé via une mesure biométrique, et les clés sont déchiffrées pour prouver l’identité entre l’appareil et le service.

D’autres entreprises, plus confidentielles, proposent également cette solution que l’on appelle l’authentification multifactorielle invisible (iMFA).

Nicolas Diacono en parle dans son article “La fin des mots de passe est programmée” : https://bit.ly/3RI3tBm

[Mise à jour du 13/10/22]
Google propose à son tour aux développeurs d’implémenter l’authentification Passkeys sur leurs services pour les appareils Android. Les utilisateurs auront bientôt la possibilité de bénéficier d’un système sécurisé avec une expérience simple, qu’ils soient sur iOS ou Android. Pour plus d’informations, consultez : https://bit.ly/3RZefmP

LA BLOCKCHAIN, SOLUTION POUR LA SÉCURITÉ DE L’IDENTITÉ

Si nous souhaitons renforcer la sécurité, en particulier dans le cas de transfert en ligne de données d’authentification et d’identification, il est essentiel de se pencher sur la technologie blockchain. Ici n’est pas le lieu pour détailler son fonctionnement ; je vous invite donc, si besoin, à vous informer par vous-même. Les contenus pédagogiques sont nombreux.

Mais si nous devons résumer la blockchain, c’est une technologie qui offre un niveau de sécurité inégalé en termes de stockage, de gestion et de validation du transfert de données. Étant donné qu’elles sont décentralisées (non hébergées sur un serveur unique, mais majoritairement en peer-to-peer et en données segmentées), leur gestion n’est pas effectuée par une seule organisation (comme une entreprise), mais par des acteurs lambda. Les données sont cryptées (en chiffrement asymétrique et avec une technologie de hachage des données : https://bit.ly/3QHhNtb), et leur authenticité (contenu et propriété) est validée par un consensus de validateurs anonymes et sélectionnés aléatoirement (je simplifie, bien sûr).

À cela, nous pouvons ajouter la solution blockchain que sont les NFT. Les NFT ne sont pas qu’un moyen de spéculation ou de signature d’œuvres d’art. Ce sont des tokens, donc des clés/signatures/certificats, comme nous l’avons vu précédemment avec Passkeys et l’iMFA.

Blockchain + Identité = Identité Décentralisée

Revenons à l’ “Identité auto-souveraine” (Self-Sovereign Identity), la solution présentée plus haut. Lors de notre explication, nous avons dit que le “vérificateur” (le service auquel se connecte l’utilisateur ou auquel il doit prouver un attribut) devait se connecter à l’application de “l’émetteur” (celui qui a fourni l’identité numérique à l’utilisateur) pour vérifier l’identité de l’utilisateur.

Plus précisément, le “vérificateur” accède à un registre (une base de données) d’identités. Ce registre est un système fourni par “l’émetteur”. Même si les informations y sont cryptées, comme elles sont hébergées sur les serveurs de l’organisation émettrice, elles sont potentiellement piratables, même si cryptées.

Si ce registre est hébergé sur une blockchain, il n’est plus centralisé sur les serveurs d’une seule organisation. En effet, rappelons que le principe de base de la blockchain est que les “fichiers” qui y sont stockés sont fragmentés à travers l’ensemble du réseau (c’est du “peer-to-peer”). L’autre avantage de cette solution est que la blockchain permet une datation irréversible des transferts et des modifications de fichiers.

On parle alors de « DID » (« Decentralized Identity » ou « Identité Décentralisée ») ! « Hasheur », un grand vulgarisateur dans le domaine de la blockchain, l’a très bien expliqué : https://youtu.be/F5kNfTVm7KM

Associée à la technologie blockchain, l’authentification et l’identification biométrique constitueraient une solution sans précédent.

Je vous recommande de suivre une entreprise qui a su exploiter ce merveilleux duo :

Uniris est déjà à l’origine d’un projet de blockchain de nouvelle génération, plus rapide (pour permettre davantage de transactions de données) et encore plus sécurisée. Ils utilisent également un système de mesure biométrique de nouvelle génération :

  • Données biométriques à plusieurs niveaux en « 3D » et en « live » : veines par ultrason + veines par infrarouge + empreintes latérales + rythme cardiaque + analyse multi-spectrale (ces deux dernières mesures permettent de valider un utilisateur « vivant »). Le tout est couplé à une vérification du niveau de stress (peur, sommeil…), permettant de créer une carte d’identité unique.
  • Les données biométriques sont transformées en clés privées et en clés publiques.
  • Les données ne sont pas stockées. Les clés créées à partir des données biométriques sont (re)générées à chaque mesure.

Uniris a reçu un label officiel des Jeux Olympiques pour tester ses solutions blockchain et biométrie pour Paris 2024, dans le but de gérer l’accès à différentes zones, bâtiments et lieux.

Nous progressons donc dans notre recherche du système d’authentification et d’identification optimal. À ce stade, nous avons :

  • Les données biométriques en remplacement d’un ID et d’un mot de passe pour plus de simplicité et de naturel dans l’expérience utilisateur, mais aussi pour une sécurité accrue grâce à leur caractère unique.
  • Des données qui sont à la fois notre identité et notre moyen d’authentification.
  • Un stockage local « déconnecté ».
  • Une nouvelle solution de chiffrement.
  • Et même une décentralisation de la gestion des données grâce à l’utilisation de la blockchain.

Ces avancées nous rapprochent de plus en plus d’un système d’authentification et d’identification fiable, sûr et pratique pour tous les utilisateurs.

[Mise à jour du 08/11/22]
Choix étonnant mais néanmoins sacrément intéressant, la Corée du Sud va proposer sa carte d’identité numérique sur la technologie blockchain. Il sera donc impossible de suivre l’utilisation de la carte d’identité, que ce soit sur une plateforme publique (gouvernement) ou privée (service).
Source : https://siecledigital.fr/2022/10/19/coree-du-sud-bientot-des-cartes-didentite-sur-la-blockchain/

L’AUTHENTIFICATION/L’IDENTIFICATION DU FUTUR AU SERVICE DE TOUS NOS USAGES

TOUS nos usages sont liés à une question d’authentification et d’identification. Que ce soit de la preuve d’identité, de l’accès à un lieu, à un service, à un outil, physique ou numérique, nous ne cessons de nous identifier des dizaines de fois durant la journée. Faites l’exercice et comptez le nombre de moyens d’authentification et d’identification. De mon côté:

  • 15 supports physiques : officiels (carte d’identité et passeport), professionnel (accès bureau et preuve d’identité), accès salle de sport, transport en commun, carte vitale, diverses cartes de fidélité,…
  • 3 cartes de paiement : CB, tickets resto…
  • 5 clés : maison, voiture, boîte aux lettres…
  • 5 comptes de services de paiements : Lydia, Paypal,…
  • 4 comptes d’identité numérique : Mobile Connect, L’Identité Numérique de la Poste, …
  • 298 comptes de services en ligne…

Au total, 330 services d’authentification et d’identification !!!

Imaginez maintenant que TOUS ces systèmes d’identification, qu’ils soient physiques, numériques ou phygitaux, soient TOUS remplacés par un système unique… Ce qui nécessite bien sûr de rendre connectés et numérisés des supports et objets tels que les portes de maison, les voitures,… qui ne le sont pas forcément. Mais les moyens existent et ne nécessitent pas de nouvelles inventions technologiques. Cette solution est celle que nous avons définie dans cet article. Qu’elle puisse ouvrir votre voiture, votre maison, payer votre baguette… Un parcours utilisateur ultra-fluide où la technologie, la solution, disparaissent au profit de l’expérience!

Tout cela à travers un seul outil comme un smartphone ou un objet connecté qui servirait de device de mesure biométrique et de portefeuille numérique connecté aux divers services physiques et numériques… Voyons même plus loin : aucun device intermédiaire… Ce sont les objets eux-mêmes qui sont le support de mesure biométrique. Le portefeuille numérique physique est remplacé par l’individu!

Il faut par contre savoir quelles solutions de connexions et de réseaux nous devons utiliser… Ces objets doivent être liés en 5G (4G, 3G…), wifi, etc… si nous espérons qu’une technologie blockchain porte la décentralisation et la sécurité; et cela veut donc dire qu’il y a une solution intermédiaire en réseau (la blockchain donc) entre le portefeuille numérique (smartphone ou smart objet personnel; voire nous-même) et l’objet. Quid de la nécessité d’une connexion en continu à un réseau dans le cas d’une défaillance de cette connexion?

La connexion directe entre le portefeuille numérique et l’objet est possible. Mais nous devons alors oublier la blockchain et valider les meilleures solutions sécuritaires avec des solutions de chiffrement vues précédemment comme le couple asymétrique “clé privée/clé publique”.

L’identité et l’authentification numériques de demain, et même d’aujourd’hui, sont des solutions d’usages et sociétales incroyablement intéressantes voire révolutionnaires pour notre quotidien. Faciliter le parcours d’expérience est un gage de sécurité pour les utilisateurs. C’est également une réponse à des problématiques d’éthique puisque nous reprenons la main sur nos données qui constituent notre identité. Une identité en constante évolution, modulable, grâce à nos nouvelles activités phygitales.

Si les nouveaux moyens d’authentification (comme la biométrie) amènent à de meilleures solutions sécuritaires, il faut être attentif à ne pas créer de nouvelles problématiques. Sur ce dernier point, je ne suis pas un spécialiste de la cybersécurité; mais mes nombreuses lectures et analyses me font penser que nous pouvons atteindre aisément le meilleur équilibre. Comme toujours avec de nouveaux sujets numériques majeurs, il faudra que des directions communes et des consensus soient pris; avec le soutien des grands acteurs (comme pour le consortium autour de la FIDO), voire l’appui des instances officielles.

--

--

Julien Ducerf

Innovation | Digital Experience and Emotional | IA | Human-Machine Interaction | Digital ID | Smart devices