Quels sont les atouts de l’identité numérique décentralisée ?
L'usage de l’identité citoyenne évolue avec l’identité numérique. Initialement utilisée pour les contrôles physiques, l'identité est associée à un document permettant au titulaire de prouver son identité à travers la vérification de sa photo. Au fur et à mesure que le monde numérique se développe, l’identité a tendance à être utilisée pour de nouveaux usages, y compris la possibilité de fournir un accès à des services en ligne ou des services électroniques (e-services).
Les démarches de la vie quotidienne, notamment avec l’administration, se font de plus en plus en ligne. Cette tendance requiert pour les citoyens de prouver et de sécuriser leur identité, tout comme avec une carte nationale d’identité ou un passeport dans l’espace physique. Associée à un titre d’identité physique, l’identité numérique est la capacité à s’authentifier de manière sécurisée pour accéder, en présentiel ou à distance, aux services de l’État.
Pour un État, différentes options existent pour l'émission et la gestion de l’identité numérique de ses citoyens. De manière générale, il convient de distinguer deux types d’architecture.
L’architecture centralisée
Dans le cadre d’une architecture centralisée, les identités numériques des citoyens sont gérées dans une base de données centrale et l’association de chaque citoyen à son identité se fait par une authentification à un ou plusieurs facteurs.
Le système d’identité indien Aadhaar constitue un exemple majeur d’architecture centralisée. Il s’agit du plus grand système d'identification biométrique au monde, fondé sur l'enrôlement des personnes avec leur biométrie et l'association d'un numéro d'identité à un ensemble de données biométriques. Aadhaar a indéniablement marqué une évolution importante dans le système d'identité en Inde. La vérification d'identité en ligne est effectuée au travers d’une correspondance biométrique avec une base de données centrale chaque fois qu'un utilisateur a besoin de faire vérifier son identité. L’UIDAI (Unique IDentification Authority of India), l'entité à l’origine de Aadhaar, a décidé de ne délivrer aucun document officiel aux citoyens. Cependant, ce système reposant uniquement sur la biométrie a conduit à plusieurs problèmes :
- Les données biométriques sont conservées dans une base de données centrale, au risque d'être compromises. Selon le rapport sur les risques mondiaux du Forum économique mondial (WEF) 2019, « la plus grande (violation de données) s'est produite en Inde, où la base de données d'identification du gouvernement, Aadhaar, aurait subi de multiples violations qui auraient potentiellement compromis les dossiers de l'ensemble des 1,1 milliard de citoyens enregistrés. Il a été signalé en janvier 2018 que des criminels vendaient l'accès à la base de données à un taux de 500 roupies pendant 10 minutes, tandis qu'en mars, une fuite dans une entreprise étatique de services publics permettait à quiconque de télécharger des noms et des numéros d'identification. »
- En l'absence de documents officiels, les utilisateurs doivent se fier à d'autres preuves de leur identité, ce qui a conduit à une augmentation des taux de fraude.
- Ce type de solution nécessite de doter les forces de police d’équipements de contrôle biométrique coûteux.
- Le contrôle ne peut être effectué qu'en mode en ligne, nécessitant la couverture globale du pays par une infrastructure télécom.
Ce type d’architecture rend le système plus sensible aux attaques de sécurité : que ces attaques soient liées à un aspect technologique ou à une défaillance humaine. En effet, les systèmes centralisés sont de plus en plus ciblés par les attaques ou les arrêts système (attaques par déni de service). Par exemple, le 27 avril 2007, la première cyberattaque visant une structure étatique s’est déroulée en Estonie où une attaque d’envergure a été menée contre les infrastructures d’un État tiers. À l'avenir, les ordinateurs quantiques sont susceptibles de devenir un autre moyen d’attaquer les bases de données centralisées.
L’architecture décentralisée
Avec l’architecture décentralisée, le citoyen conserve avec lui la preuve de son identité contenue dans un ou plusieurs supports d’identité. Les retours d’expérience montrent que l'utilisation d'un seul document comme clé pour accéder aux services électroniques gouvernementaux ou privés tend généralement à rencontrer une adoption limitée par les citoyens. Une identité numérique, dérivée de l'identité racine contenue dans le document d'identité et intégrée dans un appareil mobile (PC, tablette, téléphone portable, etc.), est la proposition la plus aboutie en Europe. L'inclusion de l'identité numérique dans le système d'identification devient un facilitateur essentiel, permettant l'adoption des e-services par les citoyens. Par exemple, les cartes d'identité délivrées par le gouvernement estonien permettent aux citoyens de :
- Voyager au sein de l'Union européenne
- Bénéficier d’une couverture santé à l’échelle nationale
- Prouver leur identité lors de la connexion à des comptes bancaires
- Générer des signatures numériques
- Être authentifié pour voter
- Vérifier leurs dossiers médicaux, soumettre des demandes d’impôts, etc.
- Prendre en charge des e-prescriptions
- Et bien plus !
Parmi les différents systèmes de gestion d’identités disponibles, ceux fondés sur la décentralisation des identités offrent la plus grande sécurité et ont le plus la confiance des citoyens : plusieurs centaines de millions de nouveaux documents sont produits chaque année, sans aucune attaque majeure subie à ce jour. La carte d'identité numérique, moyen d'identification électronique, contient l'identité racine du citoyen. Les citoyens gèrent la confidentialité de leurs données et la génération d'identités dérivées dans différents formats potentiels via leur support d’identité :
- Preuve d’identité légale
- Preuve d’attributs (par exemple plus de 18 ans) ou de droit sans dévoiler toutes les données d’identité
D’un point de vue usage, l'établissement d’une architecture décentralisée d’identité fondée sur un registre précis de la population et une infrastructure fiable de documents d'identité permet aux gouvernements de proposer une large palette de services supplémentaires à leurs citoyens. Ces services supplémentaires sont de plus en plus une combinaison de services publics gérés par le gouvernement et d'initiatives privées.
L'accès aux e-services peut également présenter des défis liés à la faible pénétration des technologies de l'information et des communications dans certains pays, à la fraude sur Internet et aux problèmes de protection de la vie privée, en raison de l'apparition de divers types de logiciels espions et de failles de sécurité.
Le principal moteur du succès des e-services est la volonté politique. La coordination entre les agences et services gouvernementaux est primordiale pour développer la coopération entre les différentes autorités afin de mieux répondre aux exigences de la société. Le rôle du gouvernement peut aller de celui de régulateur des services (dans les finances, les télécommunications, l'éducation, la santé ou un sous-ensemble de ceux-ci) à celui de coordinateur actif dans le déploiement des services.