L’Identité numérique : même pas peur !

#Sécurité 12.01.2015 3min

Qu’on le veuille ou non, l’identité numérique existe : profils sur les réseaux sociaux, comptes e-commerce, utilisation de sa carte bancaire sur internet, etc. Et les risques liés à ces usages sont très nombreux, en termes d’usurpation d’identité notamment. Et si l’on outillait enfin l’identité numérique ? La réponse existe déjà : le certificat électronique.

Authentification : la pierre angulaire de l’identité numérique

Contrairement à la croyance populaire, disposer d’une pièce d’identité n’est pas obligatoire en France. Pourtant, tout le monde ou presque s’impose quotidiennement le port de sa carte d’identité ou de son passeport. Tout simplement parce que cela facilite les démarches (administratives notamment), et permet de justifier rapidement et facilement de son identité et de sa nationalité. Mais dès qu’on évoque une numérisation ou une informatisation des systèmes d’identité, les Français grincent des dents…

Récemment, c’est la carte d’identité à puce signature électronique qui a été retoquée par le Conseil Constitutionnel. Pour les détracteurs de la numérisation de l’identité, les arguments avancés tiennent généralement de la protection de la vie privée et des données personnelles.

Pour autant, la dématérialisation des services et autres démarches administratives, sollicitée par les utilisateurs eux-mêmes, est en pleine croissance. Et les risques sont importants, et avérés : usurpation d’identité, risques juridiques en l’absence de valeur probante des envois (impossibilité de justifier légalement de son identité dans le cadre d’un envoi numérique), etc.

Disposer d’une capacité de s’authentifier numériquement permet donc à toutes les parties prenantes de gagner en sécurité. Et cet outil existe déjà : il s’agit ni plus ni moins que du certificat électronique, déjà utilisé par les entreprises et les administrations

Le certificat électronique est un fichier mis sur une puce (carte ou clé (USB) cryptographique) qui comprend le nom, prénom, l’adresse e-mail et le numéro Siren de l’entreprise. Ce certificat, pour qu’il soit polyvalent, est remis au porteur après vérification de son identité sur présentation de justificatifs.

Telle une carte bancaire, le certificat est reconnu sur les applications web et nécessite l’utilisation d’un code pin pour valider la demande du porteur.

Identité numérique : des aspects pratiques pour convaincre

A ce jour, les questionnements liés à l’identité numérique sont encore d’ordre purement philosophique. C’est bien sûr nécessaire, à condition que cela ne tourne pas au débat stérile. Ce qui peut facilement arriver lorsqu’il s’agit de mettre en place de trop grands projets. Et pourquoi ne pas compter sur une adoption progressive, favorisée par des aspects pratiques du quotidien ? Car personne ne peut le nier, l’Internet est partout, dans tous les actes, ou presque, de la vie quotidienne : achats en ligne, envoi de documents, inscription à un événement, déclaration et paiement des impôts, etc.

Et pour tous, le même problème : la nécessaire authentification, plus ou moins sécurisée. Avec un login / mot de passe, mais également un captcha (pour vérifier que l’utilisateur n’est pas un robot), la « mini-calculette » d’authentification, le code envoyé par SMS, etc. Au final, et afin d’éviter de s’y perdre, tout le monde utilise la même méthode : un, deux voire trois couples login / mot de passe pour les plus prudents (!), et un souffle d’exaspération à chaque inscription sur une nouvelle plateforme.

Avec la multiplication des sites et applications en ligne, l’intérêt du certificat d’authentification prend dès lors tout son sens. Et ce quel qu’en soit le support : puce sur une carte d’identité ou carte bancaire comme cela a été déjà fait dans de nombreux pays tels que la Belgique, l’Espagne, l’Estonie ou encore la Suède.

C’est d’ailleurs l’une des solutions retenues en France par certaines professions : ordre des avocats, banques, collectivités locales, et plus globalement toutes les entreprises souhaitant répondre à un appel d’offres public.

La sécurité en plus grâce à l’identité numérique

Mais au-delà des « simples » aspects pratiques, c’est aussi toute la chaîne de sécurité qui pourrait être améliorée. En effet, l’adoption d’un certificat électronique permet par exemple de recueillir le consentement ou l’engagement de l’utilisateur, à l’image d’une signature manuscrite. Dès lors, tous les usages de la vie courante pourraient être dématérialisés et surtout accélérés : plus d’échanges papier nécessaire, tout pourrait se transmettre par voie électronique, et en toute sécurité juridique.

Le risque d’usurpation d’une identité numérique est alors très réduit puisque seul le porteur du certificat sera en mesure de s’authentifier, de consentir ou de s’engager. En complément de quoi, le cryptage des données échangées permet au signataire de s’assurer de leur intégrité et donc de la sécurité du contenu de son engagement.

En d’autres termes, la ou les identités numériques doivent s’appuyer sur des outils pratiques, fiables et sécurisés. Et dès lors que l’on aura compris que les risques sont plus importantes sans qu’avec, l’adoption sera fera naturellement, tant sur le plan personnel qu’au niveau professionnel.