Parmi les nombreux cas émergents d’utilisation de la technologie de blockchain, la gestion et la vérification de l’identité numérique est peut-être l’un des plus prometteurs. Rien qu’en 2018, des milliards de personnes ont été affectées par des violations de données personnelles partout dans le monde, selon ForgeRock. Il est indéniable qu’il existe un besoin de méthodes plus sûres pour le stockage, le transfert et la vérification de nos informations sensibles. Dans ce contexte, les systèmes blockchain peuvent apporter des solutions utiles à certaines des difficultés rencontrées par la plupart des bases de données centralisées classiques.
Avant de nous plonger dans cette problématique, il apparaît comme indispensable de repartager une définition commune de la blockchain et de l’identité numérique.
Définition de la blockchain
La blockchain est une technologie de stockage et de transmission d’informations entre les membres d’un réseau. Elle est régie par un principe de consensus qui permet d’échanger des informations sans entité centrale.
Trois règles régissent le fonctionnement de la blockchain :
Définition de l’identité numérique
Une identité est définie comme un « ensemble d’attributs liés à une entité ». L’identité numérique est la digitalisation de notre identité réelle dans le monde virtuel. Elle se compose de l’ensemble de nos traces numériques (i.e. notre activité) sur internet et regroupe : nos attributs (âge, sexe, etc.), nos intérêts, etc. L’identité numérique permet aujourd’hui aux utilisateurs d’accéder aux services en ligne, mais aussi aux entreprises de connaître nos habitudes et de faire du profiling (profilage – croiser des données multi-sources et dresser des statistiques afin d’anticiper les besoins de l’utilisateur et de lui faire des recommandations ciblées). Elle représente donc un enjeu clé qui offre un pouvoir significatif à celui qui la contrôle.
L’identité numérique est donc très liée à des enjeux de monétisation, qui procurent aux multinationales du numérique le contrôle des identités de leurs utilisateurs.
Les deux modèles actuels de l’identité numérique
Aujourd’hui pour utiliser un service sur internet, il existe deux principaux modèles de gestion des accès.
- Modèle 1 : Créer un compte directement chez l’organisation proposant le service. Pour chaque compte créé l’utilisateur devra retenir à minima son identifiant et son mot de passe, et répéter l’opération pour chaque service auquel il souhaite souscrire.
- Modèle 2 : Se connecter au service grâce à un fournisseur d’identité externe (grâce à son compte Google ou Facebook par exemple). Cette seconde solution est désormais courante et s’appelle la fédération d’identité.
Dans chacun des cas, l’utilisateur remet ses informations personnelles aux mains des fournisseurs d’accès qui peuvent ensuite en disposer comme bon leur semble (sous couvert du respect du RGPD, le Règlement Général sur la Protection des Données).
L’identité numérique a toujours été traitée du point de vue de l’organisation qui la gère et non du point de vue de l’utilisateur, c’est pour cette raison qu’il est très compliqué de maîtriser son identité sur internet. La Self-Sovereign Identity propose une nouvelle alternative pour rendre aux utilisateurs le contrôle de leur identité et des informations qu’ils transmettent.
Le modèle « Self-Sovereign Identity (SSI) »
L’Identité Auto-Souveraine (SSI) est le terme utilisé pour désigner la capacité d’un individu à posséder et à contrôler la digitalisation de son identité sans l’intervention d’une société centralisant les données. Ce nouveau paradigme offre aux utilisateurs la possibilité d’interagir dans le monde numérique de la même manière et avec la même confiance qu’ils le font déjà dans le monde physique.
Dans le monde physique, chaque personne est détentrice de son identité et peut témoigner de son exactitude grâce à des documents officiels acquis tout au long de sa vie (carte d’identité, permis de conduire, etc.). Ainsi, lorsqu’un organisme (police, commerce, aéroport, etc.) demande une vérification d’identité ou une condition requise (majorité, nationalité, etc.) pour accéder à un bien / service, tout individu peut prouver les informations qu’il déclare.
Pour obtenir un système similaire dans le monde virtuel, la Self-Sovereign Identity propose un modèle de gestion sûr et fiable de l’identité dans lequel l’utilisateur reprend le contrôle de ses données personnelles et des accès à ses informations d’identification.
Ce modèle repose sur une architecture peer-to-peer (pair à pair) entre l’utilisateur et son pair (pouvant être une administration délivrant une pièce d’identité, une entreprise ou un autre utilisateur) et sur une technologie de registre distribué, dans notre cas la blockchain. Pour compléter ce système et assurer l’anonymat et la confiance des parties prenantes, un protocole de connaissance nulle est utilisé : la technique cryptographique ZKP (Zero Knowledge Proof). Nous reviendrons plus en détails sur les éléments techniques du modèle SSI dans la suite de l’article.
Pour illustrer son fonctionnement, prenons le cas de Pierre, 31 ans, qui veut réaliser un pari sportif en ligne. Pour cela, il dispose dans son portefeuille numérique de différents documents d’identité au format numérique qui lui ont été remis par un fournisseur d’identité (Etape 1 dans la figure suivante). Pierre peut donc justifier de son âge et du reste de son identité en ligne lors d’un contrôle. Pour faire son pari, Pierre s’authentifie sur le site de paris en ligne (Etape 2), qui « vérifie » son identité et ses informations (l’individu doit être majeur, etc.). Ces étapes sont réalisées par le système et sont invisibles pour Pierre (Etapes 3 à 5). Si l’ensemble des éléments et prérequis sont conformes, alors l’organisation donne accès aux paris sportifs à Pierre ; sinon il lui refuse (Etape 6).
Et techniquement, comment le modèle SSI fonctionne-t-il grâce à l’infrastructure blockchain ?
Sur la blockchain, un identifiant unique et persistant identifie chaque élément (individu, organisation, document, etc.) ce qui permet de le reconnaitre et de l’adresser. Cet identifiant est le DID (Decentralized Identifier), c’est l’adresse publique de l’élément sur le réseau. Lorsqu’un fournisseur d’identité donne à Pierre un nouveau document d’identité, celui-ci est ajouté au portefeuille digital de Pierre et un DID lui est associé pour permettre son identification sur la blockchain. Ainsi, lorsqu’une organisation demande une vérification d’identité à Pierre, il lui suffit de présenter le DID de son document pour témoigner de son identité.
Le second élément phare sur lequel repose la SSI est la clause vérifiable (VC – Verifiable Claim). Les VC sont des standards qui régissent les échanges de justificatifs et d’informations entre les acteurs du modèle SSI. Elles permettent d’assurer que deux parties prenantes du réseau pourront échanger des informations à tout moment, en définissant des règles sur la structure des transactions.
La standardisation des clauses vérifiables sur la blockchain permet l’apparition des processus basés sur la ZKP (Zero Knowledge Proof), dont nous avons parlé tout à l’heure. Le protocole ZKP permet à un individu de fournir une preuve à une organisation sans divulguer en clair les données du document. Pierre pourra donc accéder au site de paris en ligne sans avoir à présenter sa carte d’identité car le système ZKP se chargera de répondre pour lui. Le processus basé sur la ZKP émettra une action de vérification sur la majorité de Pierre, « L’utilisateur est-il majeur ? », à laquelle il répondra par « Oui » ou « Non » et délivrera sa réponse à l’organisation. Ainsi, le fournisseur de service peut accorder l’accès à Pierre en toute légitimité sans pour autant avoir vu ses données d’identité.
Grâce aux identifiants décentralisés, aux clauses vérifiables et à la Zero Knowledge Proof, l’utilisateur redevient le possesseur de ses données d’identité et peut décider à qui il en donne l’accès. La Self-Sovereign Identity permet donc de redonner aux individus le contrôle de leur identité numérique et apparait comme un modèle révolutionnaire pour la gestion de notre identité digitale.
Des cas d’usages SSI
L’identité auto-souveraine profite à plusieurs secteurs comme à de nombreuses activités. Fluidifier les processus administratifs entre les autorités gouvernementales et les usagers, façonner un système de santé plus efficace, détecter les fraudes universitaires, créer une meilleure expérience bancaire, contribuer à fournir un système de distribution de l’aide humanitaire plus efficace et aider les entreprises à éviter les violations de données personnelles, sont autant de cas d’usage auxquels le modèle SSI peut contribuer.
Banque
Depuis 2016, Rabobank, l’une des plus grandes banques des Pays-Bas, effectue des recherches sur l’identité auto-souveraine.
Rabobank pense qu’avec leurs processus étendus de « connaissance du client » – KYC (Know Your Customer) –, ils pourraient fournir des « données directement vérifiables » que le client pourrait transmettre à des tiers ou utiliser des informations d’identification vérifiables afin d’optimiser le processus d’inscription de nouveaux clients.
Ressources humaines
Rabobank souhaite également que ses employés aient le contrôle de leurs propres données.
L’objectif est de pouvoir réutiliser partout les certificats ou évaluations qu’ils ont obtenus ou effectués chez Rabobank.
A terme, Rabobank vise l’automatisation de sauvegarde des certificats, des formations et les attestations d’emploi via la SSI. Leur conviction est que cette dernière améliorera considérablement le temps d’intégration des employés.
Santé
Dans le contexte sanitaire actuel, IBM, le géant technologique a imaginé un pass sanitaire basé sur la blockchain et la SSI.
La solution hébergée sur l’application Digital Health Pass d’IBM permet à un organisme certifié d’émettre une signature électronique certifiant une vaccination ou un test PCR négatif.
Les citoyens pourront partager volontairement leur état de santé par le biais d’un portefeuille numérique chiffré sur leur smartphone, sans avoir à partager des informations médicales et personnelles sous-jacentes qui sont par nature confidentielles.
Education
En 2021, l’Université de Lille est la première université en France à déployer à grande échelle des attestations numériques pour tous ses diplômés.
A l’issue de leurs études les étudiants de l’Université de Lille recevront un lien vers une attestation de diplôme numérique. Ils pourront ensuite la transmettre à leurs futurs employeurs pour attester de leur réussite. Cette solution repose sur une architecture blockchain et SSI déployée pour la première fois par l’EBSI (European Blockchain Services Infrastructure) en guise de test grandeur nature.
Quelques solutions SSI sur le marché
Parmi les technologies prometteuses, on retrouve bien sûr celles des mastodontes de l’informatique, avec : Sovrin, une blockchain entièrement dédiée à la Self-Sovereign Identity développée par IBM, et ION une solution Layer 2 conçue par Microsoft qui fonctionne sur la blockchain Bitcoin. Mais de nouvelles entreprises s’intéressent à ce marché florissant, comme Bosch, et se mettent à développer leur propre solution d’identité numérique. Parmi elles on retrouve notamment : Evernym, Credible et Everest avec sa solution EverID, ainsi que d’autres acteurs de niche.
Les solutions SSI vont donc continuer à se multiplier dans les années à venir pour tenter de s’imposer sur le marché de l’identité digitale et offrir aux utilisateurs une nouvelle expérience dans la gestion de leur identité numérique.
Conclusion
- La Self-Sovereign Identity est une technologie en pleine phase d’exploration et de foisonnement pour laquelle il existe encore de nombreuses problématiques à traiter, comme la gouvernance (réglementation eIDAS : définit la réglementation européenne pour les échanges et services électroniques), l’interopérabilité des solutions ou encore le type de blockchain le plus pertinent pour ce modèle (privée VS publique). Pour perdurer, le modèle SSI devra s’adapter et évoluer avec la technologie blockchain sur laquelle elle repose, afin de se conformer aux enjeux environnementaux et de sobriété numérique.
- Une réserve doit être gardée à l’esprit concernant certains usages liés à la technologie. Par exemple, les applications de portefeuilles numériques doivent être conçues de manière à informer correctement les utilisateurs sur les informations qu’ils souhaitent transmettre et celles qu’ils veulent tenir secrètes. Le système doit aussi pouvoir avertir les utilisateurs si une demande est jugée suspecte et leur offrir la possibilité de remonter l’anomalie. Enfin, on peut lever une limite concernant la récupération de son compte en cas de perte/vol de ses informations de connexion, l’utilisateur doit être averti des menaces et des solutions de récupération.
- Afin d’adresser au mieux ces problématiques autour de l’identité numérique, l’Europe a lancé une initiative nommée EBSI (l’Infrastructure de Services Blockchain Européenne). L’objectif de ce groupe de travail est de tester plusieurs cas d’usages autour de la SSI, comme l’illustre le partenariat avec l’Université de Lille.
- Le modèle SSI est une technologie qui s’annonce révolutionnaire pour la gestion de notre identité numérique de demain. Comme nous avons pu le voir, quelques acteurs se démarquent dans un marché de niches, avec des produits assez matures et fonctionnels qui trouvent un écho chez quelques entreprises et organismes publics.
Bibliographie
Livre blanc Ministère de l’Intérieur FR : https://www.interieur.gouv.fr/actualites/actu-du-ministere/technologie-blockchain-revolution-pour-lidentification
Livre blanc IBM Sovrin : https://www.ibm.com/blockchain/solutions/identity/networks
IBM solution santé : https://www.ibm.com/blockchain/solutions/vaccine-distribution
Microsoft ION : https://identity.foundation/ion/
Université Lille & SSI : https://etudiant.lefigaro.fr/article/des-attestations-numeriques-pour-tous-les-diplomes-de-l-universite-de-lille_2487369a-bf90-11eb-89a7-077775c2d237/
Evernym : https://www.evernym.com/
Everest EverID : https://www.everest.org/technology/
Credible : https://www.spruceid.com/credible
EBSI : https://ec.europa.eu/cefdigital/wiki/display/CEFDIGITAL/EBSI
Bosch : https://www.bosch.com/stories/self-sovereign-identities/
Thanks for sharing. I will notify.
Thanks for posting. I’ll bookmark your blog and test again here frequently.