La gestion des identités numériques

VPN and internet security by Mike MacKenzie(CC BY 2.0) — Mike MacKenzie, CC-BY

Le thème de l’identité numérique est un sujet d’autant plus complexe qu’Internet s’est construit au fil des années comme un espace non régulé de liberté.

Par Farid Gueham.
Un article de Trop Libre

« Les identités numériques tiennent un rôle prépondérant dans l’actualité, provoquant travaux et débats intenses, au sujet de l’évolution des usages sur internet comme de l’émergence de nouveaux services numériques. Le manque de maîtrise des technologies utilisées, la recrudescence des délits d’usurpation d’identités numériques dans divers contextes comme les réseaux sociaux, le Cloud computing et l’Internet des objets. Les avancées techniques et juridiques visant à protéger les identités numériques y sont exposées, en portant une attention particulière sur les techniques d’authentification, les outils de fédération d’identités et les techniques de protection de la vie privée ». 

 Maryline Laurent, professeur en réseau informatiques à Télécom Sud Paris, et cofondatrice de la chaire de l’Institut Mines-Télécom « Valeurs et politique des informations personnelles », et Samia Bouzefrane, maître de conférence en information au CNAM de Paris, dressent un état des lieux des réflexions et travaux en cours sur la gestion des identités numériques, à travers les réseaux sociaux, le cloud computing et internet.

L’identité numérique : un concept juridique et social

En 2013, selon les cahiers de l’ACSEL « Association de l’économie numérique », consacrés à la question de la relation du numérique à la confiance, les internautes français utilisent 16,4 identités numériques contre 12,2 en 2009 ». Les identités numériques sont les informations (login et mot de passe), mais aussi toutes les traces et les activités associées aux activités et à la personne. Parallèlement, les Français sont victimes chaque année de 400 000 usurpations d’identité. Pour l’ACSEL, l’hypothèse d’un point de rupture de la confiance des internautes est réelle, à partir du moment où les risques perçus par l’utilisateur seraient jugés plus importants que la valeur d’usage du service numérique.

Le thème de l’identité numérique est un sujet d’autant plus complexe qu’Internet s’est construit au fil des années comme un espace non régulé de liberté. Dans ce contexte, l’État a pour mission de protéger ses citoyens, afin d’apporter une régulation, les moyens d’une identification sécurisée, mais aussi des sanctions.

Si sur le plan juridique l’identité n’a pas de véritable définition, selon la doctrine, elle recouvre « l’ensemble des composantes grâces auxquelles il est établi qu’une personne est bien celle qui se dit, ou que l’on présume telle – le nom, prénom, nationalité, filiation. Elle doit permettre « juridiquement d’imputer des actes et des faits à une personne », rappellent Maryline Laurent et Samia Bouzefrane. « L’arrivée du monde virtuel démultiplie les modes d’identification. L’identité à l’ère numérique présente des contours plus flous. Elle ne peut être définie par une entité composée librement par la personne elle-même ». Dans sa dimension sociale, l’identité s’est construite autour de la représentation en ligne de soi, à travers les blogs, les réseaux sociaux, et la diffusion d’outils de communication « fonctionnement dédiés à la représentation de soi-même ». 

La gestion des identités par la fédération

« La fédération d’identités permet à un ensemble d’applications de faire référence à un unique utilisateur, alors que ce même utilisateur est connu sous différentes identités sur chaque application. Par extension, on associe à la thématique de fédération d’identités les mécanismes qui permettent de propager une identités d’une application à une autre sur internet. »

Ainsi, Facebook ou des sites tels que « monservicepublic.fr », sont des fournisseurs d’identités, auxquelles sont reliées des extensions, comme le site de paiement des impôts en ligne, le CESU (chèque emploi service universel), ou la PAJE (prestation d’accueil du jeune enfant), tous reliés au fournisseur « monservicepublic.fr ». La confiance est le prérequis à la fédération d’identités.

Elle repose sur des interactions transparentes entre les fournisseurs de services et les utilisateurs. La fédération d’identités permet donc aux applications internet de proposer à leurs nouveaux utilisateurs un processus d’enregistrement simplifié via des données pré-remplies, et à l’internaute de naviguer d’une application internet à une autre, sans avoir à se ré-authentifier.

Les systèmes d’authentification

« La mise en place de systèmes d’authentification vise à garantir qu’une entité souhaitant accéder à des ressources protégées est bien celle qu’elle prétend être. Par conséquent, l’authentification vise à prévenir majoritairement deux types d’attaques, chacune pouvant avoir des conséquences potentiellement désastreuses : l’intrusion frauduleuse dans un système, et l’accès à des données sensibles qui peut en découler ; l’usurpation d’identité qui peut conduire un individu innocent à être considéré comme l’auteur d’agissement menés par l’attaquant ».

Il existe plusieurs moyens de s’introduire dans un système informatique en exploitant une faiblesse de son système d’authentification ou de son implantation, sans pour autant usurper l’identité d’un utilisateur. L’usurpation d’identité représente un danger aussi bien pour les entreprises qui risquent des dégâts économiques importants que pour les particuliers avec le risque d’atteinte à leur e-réputation.

Les systèmes d’authentification complexes permettent, à travers le couple identifiant/mot de passe, de rendre cette attaque plus complexe, mais toujours possible, en particulier face aux utilisateurs les moins prudents. Si l’authentification est indubitablement l’un des enjeux majeurs de la sécurité informatique, il reste difficile de concevoir des systèmes à la fois robustes et diffusables au grand public. « C’est pourquoi malgré de nombreuses alternatives au modèle de l’authentification par mot de passe statique, c’est ce dernier qui, très majoritairement, reste en vigueur aujourd’hui. La technologie, les protocoles existent, mais il est extrêmement difficile de remplacer les habitudes simples, prise par des milliards d’utilisateurs », concluent les auteurs.

L’identité numérique dans le Cloud Computing

« Depuis les années 2000, le concept du Cloud computing connaît un succès sans cesse croissant, jusqu’à devenir, à l’heure actuelle, une réalité incontournable de l’évolution d’internet (…) Cependant, malgré les énormes possibilités offertes par le Cloud computing en termes de mutualisation de services et d’économies, il comporte également de nombreux risques relatifs notamment à la sécurité es données des utilisateurs. »

De nombreux acteurs du monde de l’informatique ont massivement travaillé au développement d’offres pour le Cloud computing au cours des dix dernières années. L’un des pionniers du genre « Salesforce.com », lance dès 2003 des offres grand public. Mais pour Maryline Laurent et Samia Bouzefrane, les réflexions autour du cloud restent ouvertes : « Le futur est dans le Cloud, nous répète-t-on à l’envi […] chacun pourtant reste libre de décider dans quelle mesure il souhaite participer à cette tendance, et dans quelle mesure il consent, en miroir des avantages certains qu’il peut tirer du Cloud, à être dépossédé physiquement de données qui, à l’origine, sont sa propriété irréfragable », concluent les auteurs.

Pour aller plus loin :

–       « Le patron de twitter victime d’usurpation d’identité sur son propre réseau social », lesechos.fr

–       « Souveraineté numérique : ce qu’il faut retenir des auditions du sénat »,lagazettedescommunes.com

–       « e-réputation et identité numérique : définitions »,reputationvip.com

–       « Paiement en ligne : le calendrier de l’authentification forte reste flou »,lesechos.fr

Sur le web

Vous souhaitez nous signaler une erreur ? Contactez la rédaction.