Créer une identité numérique pour se protéger

la finance pour tous

Comment prouver son identité ? Comment combattre les usurpations d’identité dans un monde de plus en plus numérique ? C’est le défi de l’identité numérique, qui va devenir le sésame pour les services en ligne.

L’identité numérique de plus en plus nécessaire

L’identité numérique consiste à doter chacun d’entre nous d’un moyen sécurisé de prouver son identité en ligne comme dans l’espace physique. C’est donc la capacité à utiliser son identité pour accéder à un ensemble de ressources sur la base d’un dispositif simple et si possible universel. Elle est composée d’un ensemble d’attributs stables et finis qui définissent son identité civile. Elle est ainsi la transposition, dans un monde numérique, de l’identité légale issue de l’état civil.

Aujourd’hui, pour prouver son identité, dans le monde physique, chacun recourt à des documents d’état civil, comme la carte d’identité ou le livret de famille. La Commission Européenne a émis, dans un règlement de 2019, des prescriptions pour lutter contre la fraude documentaire, ce qui amène la France à se doter d’un nouveau modèle de carte d’identité au format carte de crédit et plus sécurisé.

Le couple identifiant/mot de passe ne suffit plus

En ligne, la référence a été longtemps, pour chaque service, un couple identifiant/mot de passe – ce qui devient un casse-tête avec la multiplication des mots de passe à retenir (rappel : idéalement, un mot de passe doit être unique pour chaque site ou application, complexe pour ne pas être trop facilement deviné, changé régulièrement…). Mais la cybersécurité d’une telle technique n’est plus suffisante, face aux attaques de sites ou de réseaux, d’autant plus que les services en ligne sont de plus en plus développés, avec parfois peu d’alternative pratique pour le citoyen (voire pour le consommateur). Dorénavant, le recours à des dispositifs complexes (comme l’authentification forte pour les paiements par carte et/ou à la biométrie commence à se généraliser, sous l’œil attentif de la CNIL, qui essaie de prévenir toute dérive.

Identité numérique : cadre juridique européen

L’Union européenne a émis un règlement « eIDAS » en 2014, qui établit un cadre juridique des identités numériques pour donner confiance dans l’utilisation des transactions électroniques. Il définit les fonctions d’une identité numérique et le niveau de sécurité attendu. Trois niveaux de garantie sont ainsi distingués :

– le niveau de garantie faible a pour objectif de réduire le risque d’utilisation abusive ou d’altération de l’identité ;

– le niveau de garantie substantiel a pour objectif de réduire substantiellement le risque d’utilisation abusive ou d’altération de l’identité; incluant en plus des normes et techniques, des contrôles ;

– le niveau de garantie élevé a aussi pour objectif d’empêcher l’utilisation abusive ou l’altération de l’identité avec un niveau de fiabilité à l’identité revendiquée ou prétendue d’une personne plus élevé.

Pour la France, c’est l’Agence nationale de la sécurité des systèmes d’information (ANSSI) qui valide le classement des solutions d’identification numérique.

L’identité numérique, comment ça marche ?

L’une des pistes pour simplifier l’authentification des utilisateurs, dans un environnement sécurisé, est l’identité numérique. C’est un dispositif qui permet la connexion à différents services et en priorité aux plus engageants, comme ceux liés aux démarches administratives et bancaires, et qui offre une identification des utilisateurs, sans sacrifier la protection des données personnelles. Elle permet de prouver son identité dans le monde virtuel en incluant toutes les données que l’on retrouve dans des documents comme la carte d’identité, permis de conduire, carte Vitale.

Cette identité numérique doit être unique pour une personne donnée. Seule une autorité (ex : État, tiers de confiance) peut s’assurer que ces règles sont respectées.

La création d’une identité numérique relève de solutions offertes par différents tiers de confiance. Par exemple, La Poste, propose une démarche de niveau « substantiel » avec un enregistrement en ligne et une validation en face à face par un de ses collaborateurs. Mais dans tous les cas, elle repose sur la combinaison unique d’un identifiant, d’une application mobile et d’un code secret.

Création d'une identité numérique

Ensuite, en matière d’utilisation, le parcours est simple :

  • se rendre sur un site proposant de se connecter avec un système d’identité numérique (ex : FranceConnect pour les sites de l’Administration française) et saisir son identifiant/mot de passe ;
  • valider la notification reçue sur votre smartphone avec votre code de sécurité. Ceci prouve que c’est bien vous qui tentez de vous connecter, ce qui évite l’usurpation d’identité ;
  • après vérification automatique, votre identité est ainsi validée et vous êtes redirigé.e vers le site que vous aviez ciblé et toutes vos données sont partagées, ce qui évite de remplir de nouveaux formulaires et de fournir de nouvelles pièces probantes.

Voici le tutoriel de FranceConnect 

Pour les professionnels, voir aussi les accès aux tribunaux de commerce (dont les greffes) sur Monideenum, dont voici le tutoriel.

Les utilisateurs de l’identité numérique procèdent comme suit, soit directement, soit au travers de fédérateurs d’identité comme FranceConnect.

Utilisation de l'identité numérique

Quelques exemples d’utilisation à partir, par exemple de son smartphone, sans fournir de nouveaux justificatifs des éléments de votre identité :

  • démarches administratives comme consulter son résultat à un examen ou le solde de ses points au permis de conduire mais aussi renouveler son passeport, déclarer ses impôts, suivre l’avancement de son procès pour un litige ou s’inscrire sur les listes électorales, etc.
  • démarches liées à l’emploi comme s’inscrire à une formation, gérer sa relation avec Pôle Emploi, déclarer les rémunérations de ses intervenants à domicile (CESU) ou simuler le montant de sa pension de retraite, etc.
  • démarches concernant sa famille comme les inscriptions à la crèche, consulter le livret scolaire des écoliers, valider une activité sportive ou se connecter à un service de surveillance de ses parents âgés, etc.
  • démarches financières comme ouvrir un compte, signaler une fraude, louer une voiture, accéder à son outil de gestion budgétaire et à son coffre-fort électronique.

Mais aussi, probablement à terme, faire des achats, souscrire des abonnements ou gérer votre livraison, sans passer par un GAFAM (ex : Google ou Amazon), sans leur communiquer vos données personnelles. Pour chaque application, vous ne communiquerez (sans nouvelle saisie) que les données que vous choisirez et qui sont nécessaires pour le service concerné (ex : pas besoin de donner son adresse si la connaissance de la qualité de résident dans une ville suffit).

Au-delà des activités grosses consommatrices de données certifiées (administration, banque, assurance, santé…), tous les secteurs peuvent être concernés, bien sûr en ligne mais aussi pourquoi pas dans la vie de tous les jours, par exemple dans le contrôle d’accès (aéroports, gares, transports en commun…). Le gain peut être substantiel pour une entreprise qui adopterait des parcours clients intégrant l’identité numérique (même si elle doit rémunérer le fournisseur de solution de vérification de cette identité numérique). Par exemple, un établissement bancaire estime ainsi à 20 % le temps gagné lors de l’ouverture d’un compte.

La Commission Européenne a lancé en 2019 le processus de révision de son règlement de 2014. Elle cherche « à améliorer son efficacité, étendre ses avantages au secteur privé, à promouvoir des identités numériques fiables pour tous les Européens, et à créer une identité numérique européenne sûre et interopérable qui donne le contrôle aux citoyens ». Le 3 juin 2021, elle a annoncé un projet d’identité numérique, qu’elle assimile à un portefeuille numérique, utilisable à distance. En attente du vote des Parlements européen et nationaux. A suivre, donc.

La généralisation est toujours suspendue à la crainte en filigrane d’un « fichage » informatisé pouvant conduire à des dérives liberticides et des cyberattaques pouvant aboutir à des détournements massifs d’identités.

Dans les premiers développements de l’identité numérique, le modèle économique repose sur une gratuité pour le consommateur et une facturation des entreprises utilisatrices.

0 commentaire

Commenter