L'identité numérique est la pierre angulaire de la confiance

Voilà maintenant environ 1 année que j'ai la chance d'échanger et de partager mes réflexions sur la sécurité des identités numérique avec Pascal Pascal Thoniel (CEO et responsable R&D de la société NTX Research - France). Nos échanges sont toujours très enrichissants et permettent chaque fois d'amener un nouveau morceau du puzzle sur ce sujet complexe.

En effet il n'est pas toujours simple de "naviguer" dans le monde des identités numériques et ces technologies associées tel que Liberty Alliance, OpenID, SAML, Infocard, fédération, IDP, etc.

Dans ce sens, je vous propose aujourd'hui un billet très intéressant, écrit par Pascal Thoniel, sur les identités numériques et l'authentification forte pour amener de la confiance dans nos activités sur Internet.

J'ajouterais à cette article que je pense que l'on peut mettre OpenID comme candidat supplémentaire:

"A l'échelle d'un pays, il existe deux approches principales :

- la fédération d'identité de type « Liberty Alliance »

- le sélecteur d'identité de type « InfoCard »

- OpenID (cf OpenID and Open Government)"

Bonne lecture

L'identité numérique est la pierre angulaire de la confiance

Par Pascal Thoniel

Avant-propos

L'identité numérique n'est pas une mais multiple. L'identité caractérise et représente aussi bien une personne, un professionnel, une entreprise, une administration, un groupe, une organisation, une marque...

En tant qu'individu, vous êtes unique au monde. Et votre identité est le nombre de signes nécessaires et suffisants pour vous distinguer des autres dans un environnement et/ou un contexte donné. Selon vos activités sur Internet, vous serez successivement : le citoyen de la confédération, du canton, de la commune ; l'administré ; l'élève, l'étudiant, le professionnel, ou le retraité ; le consommateur ; l'assuré social ; le patient ; le membre d’une association, d'une communauté, de votre famille ; l’ami ; l'automobiliste ; etc.

Le développement considérable de nos activités numériques sur Internet et l’augmentation de leurs enjeux doivent faire prendre conscience à chacun de l’importance de ses identités numériques et de celles des autres.

1. L'identité numérique est universelle

L’identité numérique concerne tout et tout le monde. L’identité concerne les personnes et les organisations humaines mais pas seulement. Elle s’applique aussi aux animaux, aux plantes et aux autres organismes vivants.

Par exemple, un animal de compagnie est tatoué et ce numéro est enregistré dans une base de données accessible sur Internet. Grâce à la gestion de son identité, il pourra être soigné ou restitué à ses maîtres en cas de disparition. Un animal d’élevage est également tatoué pour assurer informatiquement sa traçabilité alimentaire.

Elle s’applique également aux objets lorsqu’ils sont sérialisés, aux systèmes, aux programmes, aux processus, aux procédures, etc.

Par exemple, l’identité d’un véhicule est composé du type (marque, modèle, année) et de son numéro de série (unique dans le type considéré). Sa plaque minéralogique suppose sa mise en circulation. Le marquage des produits et la gestion informatique de leur identité permet de lutter contre le vol. Un produit de luxe doit être identifié pour éviter la contrefaçon. Le suivi numérique des lots de médicaments est indispensable. Les versions de Windows ont un certificat d'authenticité...

L'identité numérique est plus complexe pour une personne. Elle a pour but de relier un individu, personne physique, à ses actions de nature multiple sur Internet. L'identité numérique est tout aussi complexe lorsqu'il s'agit d'une entreprise, d'une administration ou d'une organisation car les droits d'accès, d'action et de communication sont directement liés aux fonctions, aux rôles et aux habilitations des personnels. La gestion des identités et des accès ou IAM (Identity and Access Management) devient incontournable dans le monde professionnel. Elle correspond à l'ensemble des politiques, des procédures, des processus et des applications qui aident une organisation à gérer l'accès à l'information.

2. L'identité numérique est la pierre angulaire de la confiance

Les identités numériques sont au centre de la vie moderne où les liens numériques prennent tant d’importance : pour accomplir des transactions bancaires, faire des achats, payer en ligne, obtenir des traitements médicaux, s’inscrire à des clubs ou à des événements, souscrire à des services, faire des déclarations administratives, publier des informations, envoyer et consulter son courrier électronique, construire et maintenir sa réputation personnelle ou celle de son entreprise. Dans ce contexte, il est fondamental de se demander qui détient quelles informations sur l’identité de qui ; et qui a besoin de placer sa confiance et dans quelles informations d’identité pour permettre l’accès à des ressources ?

Le vol d'identité est devenu une menace sérieuse sur Internet : pillage des données contenues sur les serveurs, écoute de ligne, logiciels espion, récupération des données dans les ordinateurs volés, ingénierie sociale, etc. Protéger l’identité numérique de l’entreprise, de l’employé, du consommateur, de l’administré, du citoyen et de la personne est devenu critique.

Ces identités doivent être protégées et on ne protège bien que ce que l'on connaît bien. La première action consiste donc à classifier les données de l'identité numérique, à savoir :

- les identités elles-mêmes

- les crédentiels (éléments de preuve de son identité)

- les attributs (informations liées aux caractéristiques de sa vie)

Pour gérer les identités, il faut ensuite déterminer à qui appartiennent ces données :

- qui en est le propriétaire légitime

- qui en sont les détenteurs autorisés

- qui peut certifier ces données (une adresse, un numéro de sécurité sociale, une date de naissance, le numéro d'immatriculation de votre véhicule, votre numéro de téléphone, de carte bancaire...)

- qui peut y accéder et pour quoi faire.

La troisième action concerne la diffusion contrôlée de ces données. Enfin, la quatrième action consiste à occuper le terrain numérique car la pire erreur serait de ne pas s'occuper de ses identités numériques. Si vous n'avez pas d'identité numérique dans un compartiment de votre vie, alors un usurpateur peut occuper la place et se faire passer pour vous.

3. Les quatre piliers de la gestion de l'identité numérique

Ainsi, les quatre piliers de la gestion de l'identité numérique sont :

- la classification de vos données d’identité numérique

- la diffusion de vos données d’identité numérique

- l'accès à vos données d'identité numérique

- la lutte contre la création de fausses données vous concernant

3.1 La classification de vos données d’identité numérique

Ces données doivent être classifiées selon leur sensibilité. Données peu sensibles : pseudonyme, prénom, âge, adresse de courriel non nominative… Données sensibles : nom, adresse de courriel, situation familiale, situation professionnelle, adresse, coordonnées professionnelles, date de naissance, liste de contacts, centres d'intérêt, localisation géographique présente… Données très sensibles : numéro de carte bancaire, dossier médical personnalisé (DMP), numéros de téléphone, informations de l'agenda, présence sur le réseau, appartenance à un groupe, contenus confidentiels, crédentiels…

Cette sensibilité dépend également du contexte et de la situation :

- ma date de naissance n’est pas confidentielle pour mes amis (anniversaire) mais le devient quand elle sert de crédentiel pour un paiement en ligne par carte bancaire ;

- mes coordonnées professionnelles sont indispensables dans un réseau de relations professionnelles mais doivent être divulguées avec précaution par ailleurs ;

- mon anonymat doit être préservé lorsque je surfe sur le Web ;

- mon pseudonymat est utile pour me faire reconnaître sans me dévoiler dans des groupes ou des communautés virtuelles ainsi que pour la personnalisation de services en ligne ;

- mon identité et la preuve de cette identité est indispensable pour faire valoir mes droits ;

- le prénom, la date de naissance de mes enfants et les coordonnées de leur école ne sont pertinent que dans le cadre de la vie familiale, scolaire ou de mes droits sociaux…

3.2 La diffusion de vos données d’identité numérique

Si vous devez communiquer des informations sur le Web, interrogez-vous sur :

- la légitimité et la proportionnalité de la demande d'information par rapport à la nature de la transaction effectuée

- le stockage et la durée de conservation de vos données personnelles

- la capacité du destinataire à garder ces informations confidentielles

- le rapport entre le coût de cette divulgation et les bénéfices que vous pouvez en attendre

A l'échelle d'un pays, il existe deux approches principales :

- la fédération d'identité de type « Liberty Alliance »

- le sélecteur d'identité de type « InfoCard »

La fédération d'identité organise la structuration des données d’identité, leur stockage et leurs échanges sécurisés au niveau des acteurs centraux, côté serveur, avec le consentement initial de l'utilisateur. Le sélecteur d'identité, centré sur l'utilisateur (user centric) permet leur gestion directe par l'utilisateur (stockage et consentement à l'utilisation) depuis son terminal. Ces deux concepts semblent antagonistes.

Une approche originale consiste à expérimenter un mixte des deux. C'est l'objectif du projet FC² (Fédération des Cercles de Confiance) mené en France dans le cadre des pôles de compétitivité System@tic et TES (Transactions Electroniques Sécurisées).

Les fournisseurs d'identité appelés IDP (ID Providers) ou IP/STS (Identity Provider/Security Token Service) centralisent les demandes d'identification, d'authentification et d'informations (attributs) sur les utilisateurs qui émanent des fournisseurs de services appelés SP (Service Providers) ou RP (Relying Parties). Ils agissent comme tiers de confiance pour prouver qui l'utilisateur prétend être et communiquent les informations personnelles nécessaires aux transactions numériques (fournisseurs d'attributs). Les tiers de confiance sur des réseaux comme Internet sont aujourd'hui indispensables pour valider et prouver les échanges électroniques. Mais ce rôle ne peut en aucun être confié à un seul organisme, y compris et surtout à un organisme central d’Etat.

3.3 L'accès à vos données d'identité numérique

Le plus grand danger en matière d'identité numérique reste l'usurpation d'identité (impersonation). C'est-à-dire qu'un individu malveillant est en mesure de se faire passer pour vous sur Internet et les réseaux de communication. Dans certains domaines d’application comme la banque, la santé, le caractère privé de la correspondance, le vote, les responsabilités professionnelles, les conséquences peuvent être dramatiques : infractions pénales, blocage aux frontières, interdiction bancaire, licenciement, privation de droits sociaux...

« L'usurpation d'identité touche 210 000 personnes en France chaque année. Les victimes mettent parfois des années à prouver qu'elles sont elles-mêmes, et sortir du labyrinthe des administrations. »

L'authentification (authentication) est la fonction de sécurité qui permet de lutter contre l'usurpation d'identité. L'authentification consiste à apporter ou vérifier la preuve de l'identité d'un individu. C'est donc une brique essentielle de la protection de l'identité numérique. Une fois authentifié, les droits d’accès sur les ressources du système d’information sont délivrés à l'utilisateur légitime.

3.4 La lutte contre la création de fausses données vous concernant

Occuper avec discernement le terrain numérique est le meilleur moyen de protéger votre réputation.

Sinon, vous arriverez un jour sur "Facebook" et vous constaterez qu'un profil portant votre nom existe déjà... et qu'il a déjà mauvaise réputation.

Votre CV "officiel" en ligne est le meilleur moyen de prouver la véracité des informations professionnelles vous concernant. Il servira de référence unique difficile à contourner. Ne rendez pas accessible à tous des données personnelles inappropriées à votre contexte professionnel. Votre vie privée ne regarde que vous. Attachez-vous toujours au principe strict du « besoin d’en connaître » de vos interlocuteurs.

4. Rôle et responsabilité de l’Administration publique

La responsabilité de l'Administration publique est de renforcer la confiance globale dans le monde numérique du citoyen, de l'administré, du consommateur et du professionnel.

Le rôle de l’Administration publique est d’améliorer la gestion des identités numériques :

a) Informer les personnes sur les lois et les règlements en matière d'identité numérique et de droit d'accès, de traitement, de diffusion et de protection des données personnelles.

La loi française précise que « Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu'elles ne soient déformées, endommagées ou que des tiers non autorisés y aient accès. » L'article 7 de la convention du Conseil de l'Europe du 28 janvier 1981 engage quant à lui à prendre des « mesures appropriées » pour protéger les données à caractère personnel contre la destruction, accidentelle ou non, ou la perte.

b) Informer et sensibiliser les personnes sur l'enjeu et l'usage sûr de leur identité, à contrario les dangers qu'ils courent (la pire erreur est de ne pas s'occuper de ses identités numériques).

c) Promouvoir l'usage raisonné et maîtrisé des réseaux sociaux personnels (Facebook, MySpace…) et professionnels (LinkedIn, Viadeo…).

d) Inciter les fournisseurs de solutions Web à mixer les approches fédération d'identité et sélecteur d'identité afin de garder le meilleur des deux mondes.

e) Fournir aux utilisateurs des outils de sécurité compréhensibles et à usage facile : sélecteur d'identité, systèmes d'authentification, de chiffrement et de signature numérique.

6. Les trois fonctions de sécurité essentielles de l'identité numérique

L'identité numérique cristallise les cinq fonctions de sécurité définies par l’ISO :

Authentification, Contrôle d’accès, Confidentialité, Intégrité et Non-répudiation. Plus particulièrement, l'identification, l'authentification et la signature numérique constituent le socle sécuritaire de l'identité numérique.

La signature numérique est une technique cryptographique qui permet d’assurer l’intégrité d’un message et l’authentification de l’émetteur de ce message. L’identification consiste à reconnaître un utilisateur par la récupération de données qui lui sont propres.

S'identifier : délivrer son identité

Identifier : recueillir l'identité de quelqu'un

L’authentification assure la preuve de l’identité d’un utilisateur.

S'authentifier : apporter la preuve de son identité

Authentifier : vérifier la preuve d'une identité

Il existe quatre facteurs d'authentification :

- ce que je suis (biométrie)

- ce que je sais (mot de passe, code secret...)

- ce que je sais faire (signature manuscrite, CAPTCHA...)

- ce que je possède (un authentifieur physique ou authentication device)

Une solution sûre, c'est-à-dire une authentification forte (strong authentication) implique en général deux facteurs (2-factor authentication). Or, il semble impossible d'imposer à tous, et pour toutes leurs identités, le même authentifieur ou support physique d'authentification.

Dans une grande entreprise, une grande organisation ou une administration, des populations hétérogènes impliquent des comportements et des usages différents. Ce phénomène est encore accentué sur Internet pour le citoyen/consommateur/professionnel où cohabitent des groupes très diversifiés (âge, culture, CSP...)

Pour satisfaire les besoins de protection de l’identité numérique, les solutions d’authentification proposées doivent être 100 % logiciel pour s’embarquer sur tout type de supports physiques : soit des supports peu chers comme les cédécartes ou les clés USB, soit des supports chers mais déjà payés par le citoyen/consommateur/professionnel comme les téléphones mobiles et les smartphones.

Pascal Thoniel - NTX Research