écrit par Arnaud GARRIGUES et Florent COTTEY
D'une certaine manière, cet ensemble de solutions tend à apporter une forme de contrôle sur les activités des utilisateurs sur Internet.3) et l'impact pour les gouvernements ?
En effet, cela reviendrait à déclarer son identité à chaque visite sur un site comme semble le souhaiter un projet de loi déposé au Sénat par le sénateur Jean Louis MASSON a proposé une loi dans le but d'interdit l'anonymat sur les blogs.
Ainsi, pour reprendre ce souhait politique, chaque blogueur rédigeant un article ou émettant un commentaire serait connu et enregistré.
Il est vrai que cette faculté de dissimulation est problématique. De ce fait, beaucoup de délits liés à l'opinion (incitation à la haine, diffamation...) sont très difficilement punissables sur Internet.
Mais cela va plus loin. En effet, les criminels de tout poil ont vite compris l'intérêt de ces capacités à se dissimuler sur Internet pour perpétrer ou organiser leurs méfaits. Il y a donc un enjeu de sécurité dans l'identification.
C'est pourquoi l'identité est l'objet de tensions et d'initiatives de la part des autorités ou des législateurs : HADOPI, quoiqu'on en dise, repose sur un problème d'identification ou encore la CNIL tente d'imposer un régime de protection de l'utilisateur (c'est l'autre aspect de la sécurité).
Il n'est donc pas étonnant que les initiatives se multiplient à la fois pour mieux protéger l'utilisateur mais aussi pour mieux protéger la société. Le débat se pose alors sur le juste équilibre entre la sécurité de la société et les droits de l'individu. Ainsi, on connait des cas où la carte d'identité est exigée avant la moindre publication sur Internet.
On peut également répertorier d'autres initiatives :
- En France : IdéNum (identité numérique)
- En Suisse : SuisseID, un identifiant sous forme de clé USB ou de carte à puce
- En Estonie : une carte d'identité intégrant un composant numérique permettant de s'identifier.
4) Des points faiblesCette solution comporte divers aspects intéressants du point de vue de la sécurité et de la confidentialité des données.
Cependant, elle met fin à une forme d'anonymat protecteur. De plus, cette solution présente tout de même quelques points faibles.
Tout d'abord, si cette solution repose sur une chaine de confiance, elle multiplie les intermédiaires impliqués dans les transactions. La multiplicté des acteurs identités (IDP, AP, RP) ne garantit pas forcément un surplus de confiance car celle-ci est par nature, relative et qu'elle implique plus de contrôles donc des moyens renforcés.
La thématique des contrôles représente également une forte interrogation non seulement en raison du nombre d'acteurs mais également car les autorités de contrôles devront être légitimes. Or, cette légitimité est une question politique et non pas technique : elle représente donc un point faible de ce système qui ne peut fonctionner que sur une base de confiance.
Qui donc serait susceptible d'être à la fois légitime (pour inciter les utilisateurs à s'impliquer dans le système) mais également, efficace (pour garantir l'effectivité dudit système) ?
Enfin, cet écosystème de l'identité souffre de deux points faibles de nature technique. La première est que les solutions ne sont pas effectivement développées et on peut présumer qu'elles seront faillibles (car le développement sécurisé n'est pas encore une pratique en vogue partout).
Par ailleurs, ce cadre ne procure pas forcément de protection contre les utilisations dangereuses de l'utilisateur. Bien au contraire, une telle solution ne présente aucun aspect de protection pour toutes les failles impliquant l'utilisateur ou le couple utilisateur/navigateur (phishing, XSS....).
Si l'utilisateur navigue sur des sites de très basse confiance, rien n'empêche qu'il soit infecté par des malwares divers qui auront tendance à profiter des canaux de gestion de l'identité que pourront utiliser les internautes par la suite.
Bien au contraire, la confiance en ce système profitera largement à ces malwares qui pourront se répondre et profiter à leur tour de la confiance fournie par les gestionnaires de l'identité pour effectuer leurs malversations.
5) ConclusionCe système de gestion de l'identité est particulièrement intéressant car il s'appuie sur des techniques éprouvées mais apporte également une forme d'innovation bienvenue.
Par ailleurs, et c'est sans doute son point le plus fort, il remet l'utilisateur au centre des préoccupations. Celui-ci doit prendre en main son identité et apprendre à user des moyens techniques adéquats mis à sa disposition pour se protéger.
Cependant, ce système présente encore des failles théoriques relativement importantes. On attendra donc des spécifications techniques plus détaillées pour évaluer sa viabilité en profondeur.
Enfin, on gardera à l'esprit que si cet outil apporte un vrai plus dans la vie « officielle » ou économique des utilisateurs, il porte également un coup aux possibilités d'anonymat qui, bien qu'ayant des aspects négatifs, représente également un catalyseur de la démocratie et de la liberté, notamment dans certains pays réticents aux droits de l'homme.
Sources :
Clubic - Maison blance, identité numérique Howard Schmidt
National strategy for trusted identitites in Cyberspace
DarkReading - Security Governement article
FCW - Identity ecosystem comments
Edit from the Orange Business team: Hervé left the Orange Group since he wrote his last posts.