Entreprises, institutions internationales et ONG rêvent d’un système mondial permettant d’authentifier l’identité de n’importe qui, n’importe où.
Comment prouver que je suis bien moi, dans la vraie vie ou sur Internet ? La réponse à cette question vaut aujourd’hui plusieurs dizaines de milliards d’euros, tant l’identification est devenue indispensable dans notre monde connecté.
Les transactions (paiements, formalités administratives…) sont dématérialisées et doivent être authentifiées par des plates-formes parfois situées à l’autre bout de la planète. Et les sites Web sont de plus en plus soumis à des obligations de KYC (« Know Your Customer »). Cette vérification de l’identité de leurs clients leur est imposée dans le cadre de la lutte contre les fake news, la fraude fiscale, le financement du terrorisme…
D’où l’idée de quelques Etats, organismes internationaux ou entreprises de proposer une identité numérique unique qui permettrait à tout le monde de s’identifier, partout. Le support de cette identité pourrait être électronique (sous forme de carte à puce ou sans contact…) ou purement digital (une suite de chiffres). L’identifiant serait validé grâce à des données biométriques, financières (compte bancaire) ou à un profil Internet (compte Facebook, Google…). Il donnerait accès à l’état civil, aux informations de santé, financières, etc., de son propriétaire.
« C’est un vieux serpent de mer, relativise Cédric Lauradoux, chargé de recherche au sein de l’équipe Privatics (respect de la vie privée) à Inria Grenoble-Rhône-Alpes. A l’exception de quelques pays comme l’Estonie ou l’Inde, aucun projet n’a abouti, car les freins à l’usage de ces technologies sont nombreux. » En particulier, elles suscitent beaucoup de craintes : surveillance de masse ; fuite, croisement ou revente de données ; cyberattaques…
Un milliard d’êtres humains sans papiers d’identité
Malgré cette méfiance, les travaux de recherche se multiplient. Ils proviennent du secteur privé, d’organismes internationaux, d’ONG ou de consortiums dédiés à cette thématique ( Decentralized Identity Foundation , Fast Identity Online Alliance …). Du côté des entreprises, l’annonce la plus emblématique est venue, tout récemment, du réseau de paiement américain Mastercard . Fin mars, il a annoncé son ambition de lancer « un modèle d’identité numérique centré sur le consommateur. » « Nous poursuivons deux objectifs : mettre à la disposition des consommateurs une identité numérique, unique et universelle, qui puisse servir aussi bien au commerce en ligne qu’aux formalités administratives ; et permettre aux utilisateurs de contrôler les données qu’ils partagent, via cette identité numérique et avec qui ils le souhaitent », affirme Rigo Van den Broeck, du département « Intelligence & Cyber » de Mastercard Europe. Le projet est encore à l’état de pilotes, focalisés sur certains aspects très pointus, comme le paiement des impôts.
Côté expérimentations, les organismes internationaux sont plus en avance. L’ONU (Organisation des Nations unies) s’est fixé comme objectif de fournir d’ici à 2030 une identité légale au milliard d’êtres humains qui n’ont pas de papier d’identité du tout. Une volonté qui n’est pas totalement désintéressée : beaucoup d’agences des Nations unies sont confrontées à des populations déplacées et sans papier, ce qui peut être source d’erreurs ou de fraudes lors de la distribution des aides. Ainsi, les programmes alimentaires de l’ONU délivrent chaque année plus de 12 milliards de rations à près de 80 millions de personnes. « Nous avons mis au point pour leurs agences des cartes sans contact contenant l’identité, la photo et les empreintes digitales des bénéficiaires. 15 millions de personnes l’utilisent, détaille Lionel Baraban, directeur général de Famoco, une entreprise parisienne spécialisée dans les terminaux professionnels sécurisés. Les coûts des procédures de contrôle ont diminué de 74 % par rapport à une identité papier. »
La blockchain à l’étude
Le HCR (Haut Commissariat des Nations unies pour les réfugiés) cherche lui aussi à créer un moyen d’identification crypté, permanent et partageable pour les quelque 20 millions de personnes dont il a la charge. Avec ID2020, un partenariat public privé basé à New York , rassemblant entre autres Accenture, Microsoft, la Fondation Rockefeller et des ONG, il étudie les avantages de la blockchain. « L’idée est d’utiliser la blockchain comme une sorte de registre infalsifiable qui permettrait au réfugié d’autoriser tel ou tel organisme à accéder des données personnelles spécifiques », explique Giuseppe Giordano, un des responsables d’Accenture Labs, à Sophia-Antipolis.
Des recherches qui pourraient demain s’appliquer à tout le monde. « Les besoins en identification sont similaires dans les pays en voie de développement et les pays développés : en fonction des circonstances de la vie, les personnes se déplacent, traversent des frontières… », résume Dakota Gruener, directrice exécutive d’ID2020.
Autant d’expérimentations qui ont donné à certains responsables l’idée de fournir directement une identité digitale à toutes les personnes actuellement sans papier à travers le monde. Une initiative soutenue en particulier par la Banque mondiale . « Cela coûtera 9 milliards de dollars [NDLR : 8,07 milliards d’euros], détaille Vyjayanti Desai, responsable du programme ID4D (Identification for Development) de la Banque mondiale, à Washington. Une trentaine de pays ont lancé des études en ce sens : nous leur fournissons une aide technique ou financière. » La Banque mondiale a prévu de débloquer au total 1 milliard de dollars pour ce programme. Le 12 avril dernier, elle avait organisé une conférence sur ce projet. Un jury a récompensé les meilleures idées pour déployer une identité numérique, tout en protégeant les données et la vie privée.
Le premier prix a été attribué à Simprint, une start-up de l’université de Cambridge (Royaume-Uni) qui a développé une technologie d’identification, à base d’empreintes digitales, pour les organisations humanitaires. Or beaucoup de personnes sur le point de s’enregistrer dans la base biométrique sont souvent illettrées. Un message audio leur expliquant comment leurs données vont être utilisées leur est donc diffusé afin de leur permettre de donner pleinement leur consentement. Un exemple parmi d’autres des difficultés techniques et légales que soulève la mise au point d’une identité numérique utilisée dans un camp de réfugiés. Le passage à l’échelle planétaire risque de prendre du temps…
Quand l’Inde exporte son savoir-faire
Lancé en 2010, le programme Aadhaar (mot que l’on peut traduire par « Fondation ») vise à attribuer à toute personne résidant en Inde un identifiant unique associé à ses données biométriques (photographie des iris, du visage, empreintes digitales…) et son état civil. Le pays commence à exporter le savoir-faire acquis avec Aadhaar. Soutenu par la Fondation Bill et Melinda Gates et des fonds indiens, l’Institut international des technologies de l’information, une université privée de Bangalore, développe depuis l’an dernier Mosip (Modular Open Source Identity Platform). « Cette plate-forme permet de construire des systèmes d’identification à moindre coût, à base de données biométriques ou pas, sur support papier, carte à puce ou sous la forme d’un identifiant numérique, à l’échelle d’un pays ou pour une ONG », affirme Srijoni Sen, porte-parole de Mosip. Un protocole d’accord a été signé en août 2018 avec le Maroc : Mosip sera au coeur du futur registre national de la population (RNP) marocain.
Pour un identifiant numérique respectueux de la vie privée
· « Le système ne doit pas enregistrer quels usages je fais de mon identifiant », avertit C. V. Madhukar, responsable des investissements « identité numérique » à la fondation Omidyar Network (bureau de Bangalore).
· « Les données professionnelles et les données administratives auxquelles donne accès l’identité numérique ne doivent pas être stockées dans le même fichier », prévient Matthew Sorell, professeur d’ingénierie multimédia et télécoms à l’université d’Adelaïde (Australie), et professeur adjoint de criminalistique numérique à l’université de Tallinn (Estonie)
· « Les gouvernements, pas les entreprises, doivent être responsables de ces systèmes et en rendre compte aux citoyens », ajoute C. V. Madhukar.
· « L’identifiant ne doit pas pouvoir être lu à distance par des personnes mal intentionnées qui pourraient s’en servir pour commettre des attaques ciblées en fonction du sexe, de la nationalité, etc. du propriétaire », explique Cédric Lauradoux, d’Inria Grenoble-Rhône Alpes.
· « Tout accès aux données doit être tracé et signalé au propriétaire de l’identifiant », précise Matthew Sorell.
· « Les logiciels utilisés doivent être open source : aucun pays ne doit se trouver pieds et poings liés avec un fournisseur », estime Vyjayanti Desai, de la Banque mondiale.
Jacques Henno (@jhennoparis)
Source : https://www.lesechos.fr/idees-debats/sciences-prospective/bientot-un-identifiant-numerique-pour-tous-1016724
