un acte fondateur
Depuis le 23 juillet 2014, nous disposons d’un réglement européen qui va permettre d’établir une fédération des identités sur le sol européen. Ce travail, préparé de longue date, s’inscrit dans la mise en place d’un espace numérique commun et sécurisé.
« Instaurer un climat de confiance dans l’environnement en ligne est essentiel au développement économique et social. En effet, si les consommateurs, les entreprises et les autorités publiques n’ont pas confiance, notamment en raison d’un sentiment d’insécurité juridique, ils hésiteront à effectuer des transactions par voie électronique et à adopter de nouveaux services. » - Extrait du RÈGLEMENT (UE) No 910/2014 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 23 juillet 2014
Ce n’est pas une Europe Fédérale au sens politique, mais la mise en commun de services d’identification nationaux pour l’ensemble des parties qui souhaiteraient l’utiliser. En premier on pense aux services des états dans un cadre transfrontalier, mais on parle aussi des banques, des services de santé et de tous ceux qui le voudront.
C’est un règlement, donc il s’impose, il ne doit pas être retranscrit comme une Directive. Cette forme est déjà assez surprenante de la part de la Commission. Jusqu’à présent nous avions des Directives comme celles sur le traitement des données personnelles (95/46/CE ou 2002/58/CE). C’est un signe fort que l’Europe s’organise dans un contexte où la cybercriminalité est en forte croissance.
identité / authentification & service de confiance
Ce règlement porte à la fois sur un système d’identification et d’authentification applicables entre tous les membres de l’union et les fournisseurs de service de confiance (certificats, signatures, chiffrement). Le découpage est assez net et fait la part belle aux services de confiance. D’ailleurs il est assez curieux que l’on ne mentionne pas ces derniers pour l’authentification ou l’identification. Par exemple dans l’article 8, paragraphe 3, où l’on décrit tout ce qui caractérisera la fiabilité et la qualité des processus qui seront mis en œuvre pour délivrer des moyens d’identification aux personnes morales et physiques. Il serait assez avisé d’utiliser un service de confiance qualifié pour réaliser ces opérations et délivrer des objets de sécurité.
Mais ne boudons pas notre plaisir d’avoir un règlement qui établit clairement qu’une identité est unique et peut disposer de plusieurs moyens (des comptes) pour s’authentifier. Je connais des entreprises qui n’ont pas encore atteint ce niveau de maturité.
Ce règlement est en devenir et cette année sera primordiale pour sa mise en œuvre. On peut considérer que le développement des cartes d’identité électronique est la clé de voûte du système. Mais alors que penser de la France qui a enterré son plan CNIe (Carte Nationale d’Identité électronique) ? Les cartes d’identité électronique ont ce côté rassurant des objets de sécurité, comme les bien connues clés RSA.
En fait ces clefs et autres supports physiques représentent un frein au déploiement d’un fournisseur d’identité (Identity Provider IdP). Si je dois attendre le renouvellement de ma carte d’identité délivrée cette année pour exister dans un IdP, cela va me prendre 10 ans. Une CNIe n’est qu’un moyen de plus, peut-être plus sécurisé qu’un mot de passe, et encore …
quel fournisseur d’identité en France ?
Dans le paysage Français actuel je cherche qui pourrait mettre en place cet IdP et sans que cela ne coûte une fortune ! Je trouve dans mon.service-public.fr la brique de base à ce service.
Formellement la création d’un compte chez mon.service-public.fr ne garantit en rien l’unicité de l’identité ni son authenticité. Mais puisque je peux joindre des comptes pour lesquels des vérifications ont été faites, je peux accumuler des preuves que je suis bien celui que je prétends être. Nous sommes là sur une définition de l’identité dynamique (je suis ce que je fais) et non pas basée sur des acquis (je suis comme çà depuis longtemps.
Il est assez facile de collecter des données historiques et reconstituer une identité. Par exemple pour obtenir un certificat de naissance il suffit de quelques noms, et falsifier une facture de Gaz reste sans difficulté. Ces éléments suffisent pour demander une carte d’identité. En revanche, il est plus difficile de simuler des événements cohérents traduisant ce que je fais, où je le fais et avec qui. Par exemple, l’envoie de ma photo avec 5 numéros que l’on vient de me transmettre, à un numéro lui aussi imprévisible. J’ai fait ce que l’on attendait de moi, je suis ce que je fais.
Le règlement prévoit trois niveaux de garantie des moyens d’identification : faible, substantiel et élevé. Des spécifications viendront cette année préciser ce qu’il faut entendre pour chaque niveau. Le site mon.service-public.fr pourrait offrir un niveau faible avec un simple mot de passe, substantiel avec une vérification SMS (ou un softToken) ou bien élevé quand on aura la CNIe.
Cette idée que mon identité n’est pas uniquement basée sur des informations qui me caractérisent depuis ma naissance est assez séduisante. Dans mon.service-public.fr c’est moi qui inscrit mes données personnelles, afin d’aider à remplir des formulaires. Il serait plaisant que pour chaque authentification je puisse choisir les données d’identification que je laisse paraître. Il ne s’agit pas de duper le service que je consomme, mais de mieux maîtriser mes informations personnelles.
rester anonyme
Alors que dans la Directive sur le traitement des données personnelles dans les communications électroniques (2002/58/CE) on évoque explicitement l’anonymat, le règlement eIDAS n’évoque pas cette possibilité.
Mais pourquoi m’authentifier pour finalement rester anonyme ? Simplement car c’est le meilleur moyen de limiter la diffusion des données personnelles.
Par exemple une agence de communication vend des informations spécifiques pour un métier donné. Ce service est personnalisé et j’ai souscrit un abonnement.
A chacun de mes accès je n’ai pas besoin d’avoir un bandeau qui me souhaite la bienvenue, car cela sous-tend que je suis toujours identifié d’une manière personnelle. Je suis authentifié par mon IdP (Identity Provider) mais pour autant mon identité n’a pas besoin de circuler à chaque connexion. Un numéro de compte aléatoire suffit au fournisseur pour me délivrer le contenu que j’ai commandé. Dans le système ce numéro correspondra à un profil similaire à tant d’autre.
J’ai gagné en anonymat et donc limité le transfert de mes informations personnelles. A contrario un système comme oAuth échange systématiquement un accès contre des données personnelles. Ce n’est certainement pas la technologie que validera la commission.
et la technique ?
Ce règlement n’est pas technique, c’est un cadre juridique sur lequel viendra se greffer des normes et des spécifications. Ce travail est prévu cette année (au plus tard le 18 septembre 2015).
Sans doute l’ETSI apportera sa pierre à l’édifice, même si on ne trouve pas grand-chose sur la fédération des identités. Les vendeurs de carte à puce vont s’en donner à cœur joie. Mais il est tout à fait possible de développer le système sans passer par ces industriels et d’une manière citoyenne. Les états ont la possibilité de déléguer la gestion et la délivrance des moyens d’authentification à des tiers. Par exemple Certinomis pourrait avoir ce type de mandat, mais on peut imaginer que des organisations sans but lucratif obtiennent aussi ce type de mandat.
Le projet STORK a réalisé des pilotes qui mettent en oeuvre ces principes et utilisent largement SAML, ainsi que des composants (MiddleWare) pour les systèmes à base de carte à puce. La gestion du transfert des données personnelles n’était pas un objectif prioritaire du pilote. Cependant plusieurs projets du portefeuille e-Sens pourraient suppléer à ce besoin. Par exemple e-CODEX a permis de définir une plateforme d’échange d’informations avec une sémantique, cela sera utile quand il faudra échanger des notions comme l’activité, la domiciliation dont le sens peut varier entre les états.
Stéphane
© Nikolai Sorokin - Fotolia.com
Architecte des systèmes d'identité et d'accès, je dispose d'une bonne culture de développement. Proche des utilisateurs je défends bec et ongle leurs intérêts dans les projets d'intégration.