Close
  • Français
  • English

27/11/2013Les tendances de l’identité numérique [Par Fabrice Mattatia]

Les termes d’identité numérique peuvent revêtir plusieurs significations. Pour certains, il s’agit de l’image de soi que l’internaute laisse sur internet, aussi bien de manière visible (publications accessibles à tout le monde) qu’invisible (traces exploitées par les prestataires techniques, réseaux sociaux, moteurs de recherche, etc.). L’identité numérique est alors un synonyme de e-réputation, ou d’avatar. On trouve parfois, et plus spécialement lorsque c’est la forme identité électronique qui est employée, la signification de titre d’identité électronique, c’est-à-dire de passeport à puce ou de carte d’identité à puce. Enfin, identité numérique peut signifier preuve d’identité utilisable en ligne, et c’est selon cette dernière acception que nous allons l’étudier.

Grandeur et limites du mot de passe

Pour prouver son identité en ligne, le mot de passe représente le moyen le plus courant.

Selon l’édition 2013 du baromètre de l’ACSEL sur la confiance dans le numérique[1], le nombre moyen de comptes en ligne augmente de manière continue, pour atteindre 16 comptes par internaute (tous sites confondus : administration, e-commerce, réseaux sociaux…). Or, contrairement aux préconisations des responsables SSI, les internautes ne choisissent pas un mot de passe différent pour chaque site : 62% ont entre 1 et 5 mots de passe, 20% en ont entre 6 et 10, et seuls 18% en ont plus de 10. En conséquence, la moindre attaque réussie sur un des nombreux sites mal sécurisés qui conservent les mots de passe en clair permet de s’emparer des moyens d’accéder à des sites beaucoup plus sensibles. Les attaques de phishing se multiplient également. Elles visent le plus souvent à accéder au compte bancaire de l’internaute, mais parfois des attaques ciblées sont montées pour obtenir des informations confidentielles, comme celle dont l’Elysée a été victime en 2012.

Or les internautes apprécient la facilité d’emploi du mot de passe, et sont extrêmement rétifs à tout changement. Cette attitude face à l’identité numérique est caractéristique d’un usage pour lequel les besoins de sécurité sont peu élevés. La gratuité va de soi. L’internaute veut pouvoir accéder aux services indifféremment de son PC fixe, de son ordinateur portable en déplacement, de son smartphone ou de sa tablette, ce qui exclut en pratique pour sécuriser l’identité le recours à des lecteurs de carte à puce ou de badge NFC. Enfin, le besoin de signature électronique à valeur probante, au sens de l’article 1316-4 du code civil, est quasiment inexistant. En cas de besoin ponctuel, par exemple pour la souscription de produits d’épargne, le prestataire financier procèdera à une signature sur serveur, en envoyant à l’internaute par SMS un mot de passe à usage unique.

Y a-t-il finalement besoin, pour le grand public, de remplacer le mot de passe ?

La situation en Europe

Dans plusieurs pays d’Europe, l’Etat distribue aux citoyens des cartes d’identité électroniques dotées d’une puce contenant des clés d’authentification, qui permettent, en utilisant un lecteur de carte, de prouver son identité en ligne pour se connecter aux services d’administration électronique ainsi qu’aux services privés. La Finlande propose ces cartes depuis 1999 ; plusieurs autres pays ont suivi son exemple. Dans les pays où la carte d’identité est obligatoire (Estonie, Belgique, Espagne, Portugal…), toute la population est déjà ou sera bientôt équipée de cet outil. Si l’on y ajoute les pays où la carte d’identité électronique est facultative (Suède, Italie…), plusieurs dizaines de millions de citoyens européens en sont aujourd’hui dotés.

Par ailleurs, existent dans plusieurs pays de l’Union européenne des systèmes non-étatiques de gestion de l’identité numérique, souvent initiés par les banques (BankID en Suède et en Norvège…), mais également par les chambres de commerce et les caisses d’assurance-maladie (Italie), ou par toute organisation présentant des garanties suffisantes de sérieux (Suisse, Suède, Autriche…). Ces systèmes distribuent à leurs clients des preuves d’identité en ligne utilisables de manière universelle sur les sites web publics et privés.

Toutefois, s’il est relativement facile de trouver les chiffres de l’équipement des citoyens européens en cartes d’identité électroniques, il est beaucoup plus malaisé d’avoir les statistiques concernant le déploiement des systèmes non-étatiques, souvent commerciaux, et encore plus d’obtenir des informations sur l’usage réel qui est fait en ligne de ces outils. Seule l’Estonie publie des chiffres à jour : à mi-novembre 2013, pour 1,2 million de cartes d’identité électroniques (soit 100% de la population estonienne), 220 millions d’authentifications fortes avaient été réalisées, ainsi que 135 millions de signatures électroniques. Ces résultats impressionnants s’expliquent par le fait que toute l’administration estonienne, ainsi que les services privés, se sont reconfigurés pour utiliser pleinement les fonctionnalités de l’identité numérique. A contrario, dans un pays où les services en ligne, tant publics que privés, n’exploitent pas ou seulement à la marge les potentialités de l’identité numérique, les usages vont stagner. On note que la banque en ligne figure souvent parmi les usages les plus dynamiques (BankID en Suède, par exemple, revendique plus de 250 millions de transactions en 2013, majoritairement bancaires, pour 4 millions de clients).

Pour harmoniser la situation dans l’Union européenne et promouvoir l’utilisation transfrontalière de l’identité numérique, la Commission européenne a lancé un projet de règlement européen. Si celui-ci est adopté par le Parlement, chaque Etat membre pourra faire inscrire sur une liste communautaire les systèmes d’identité numérique dont il se porte garant et qu’il utilise pour ses services d’administration électronique. Les systèmes inscrits sur cette liste devront être reconnus et acceptés par les administrations électroniques de tous les autres Etats membres.

Les nouveaux gestionnaires d’identité numérique

Toutefois, comme on l’a vu, les internautes sont en fait, pour leur navigation courante, attachés à la simplicité et à l’ergonomie du mot de passe, quitte à en choisir un qui ne soit pas basique. Toujours selon le baromètre ACSEL 2013, seuls 5 à 6 % d’entre eux accepteraient de recourir à des services d’identification sécurisés gérés par des tiers. En fait, pour simplifier leur navigation, ils utilisent couramment l’authentification via les services qu’ils utilisent quotidiennement, par exemple les systèmes de paiement en ligne ou les réseaux sociaux.

Ainsi, Paypal et Facebook Connect sont devenus les moyens d’authentification en ligne les plus utilisés pour accéder à d’autres sites. Facebook Connect est accepté par plus de 7 millions de sites dans le monde ; Paypal est officiellement accepté par l’administration électronique britannique… On voit ainsi se dessiner une nouvelle gestion de l’identité numérique des internautes par les géants américains du web. Ceux-ci disposent d’une base  de centaines de millions d’utilisateurs quotidiens, qui ont pris l’habitude d’utiliser gratuitement leurs services. Facebook Connect et les services similaires (Google Account, Yahoo ! ID…) peuvent ainsi proposer aux internautes, à coût marginal nul, un service de propagation d’identité simple, ergonomique, efficace et gratuit. La garantie d’identité ainsi offerte n’étant pas très élevée (Facebook ne vérifie pas l’identité de ses membres), cette propagation d’identité est destinée aux sites n’ayant pas de besoin d’une vérification de l’identité réelle des internautes, mais juste un besoin d’authentification de leurs membres.

On voit en parallèle apparaître, chez les prestataires capables de mieux vérifier l’identité réelle de leurs clients, une stratégie visant à proposer une identité numérique offrant plus de garanties. Paypal, déjà cité, peut garantir la liaison de son client avec un compte bancaire. Apple peut également relier un client avec un compte AppStore et éventuellement avec un abonnement mobile iPhone. Ces prestataires disposent ainsi d’une identité numérique « qualifiée », et peuvent la monétiser en proposant à des sites tiers d’assurer pour eux la vérification en ligne de l’identité de l’internaute. Microsoft Azure et Google + Sign-in se lancent à leur tour sur ce marché en développant chacun un système de double authentification par mot de passe et SMS.

Le secteur de l’identité numérique des internautes va donc rapidement se scinder en deux : pour les usages quotidiens ne nécessitant pas de garantie de l’identité réelle de l’internaute, les applications de type Facebook Connect vont s’imposer ; pour les usages, moins fréquents, nécessitant certaines garanties sur l’identité réelle, les prestataires comme Paypal, Apple, et bientôt Microsoft et Google pourront proposer leur propre intermédiation. Ces usages seront bien sûr gratuits pour l’internaute, et éventuellement les seconds seront payants pour les sites web utilisateurs. Quant aux usages nécessitant une garantie régalienne de l’identité, seules les cartes d’identité électroniques pourront y répondre, malgré leurs inconvénients pratiques (nécessité de connecter un lecteur à l’ordinateur). Il semble malheureusement trop tard pour essayer d’imposer un nouveau système national d’identité numérique pour les usages quotidiens : comment lutter contre des prestataires mondiaux, chez qui tous les internautes ont déjà un compte, et qui offrent un service ergonomique et gratuit ?



[1] www.acsel.asso.fr