Par Luke Hogg.
Dans de nombreux États, les Américains peuvent désormais se débarrasser de leur portefeuille physique et vérifier leur identité en présentant simplement leur appareil sur un scanner. Tout comme les portefeuilles numériques d’Apple et de Google ont rendu le commerce plus pratique, les systèmes d’identification numérique pourraient potentiellement rendre les interactions avec l’administration plus rapides et plus efficaces.
Mais ils soulèvent également le spectre inquiétant de la surveillance gouvernementale. Peut-on bénéficier de l’efficacité d’une carte d’identité numérique sans laisser le gouvernement suivre nos moindres faits et gestes ?
Oui, mais ce n’est pas la voie que nous suivons.
Prenons l’exemple du Colorado. Depuis 2019, les Coloradiens peuvent utiliser une carte d’identité numérique comme forme légale d’identification personnelle dans tout l’État. Les utilisateurs téléchargent une application sur leur smartphone, s’inscrivent au service et font authentifier leur identité en prenant des photos ou des vidéos d’une carte d’identité valide ou d’autres documents délivrés par le gouvernement pour prouver qu’ils sont bien ceux qu’ils prétendent être. Ces informations sont ensuite cryptées et l’utilisateur se voit attribuer un identifiant numérique ainsi qu’une clé ou un code associé qui sert d’identifiant.
Les Colorodiens peuvent simplement montrer leur carte d’identité numérique pour vérifier leur identité, de la même manière que vous montrez votre permis de conduire à un barman pour prouver que vous avez plus de 21 ans. Ce moyen de vérification de l’identité est relativement privé. Cependant, de nombreux services, tant publics que privés, se tournent de plus en plus vers la vérification électronique, qui nécessite l’envoi d’une requête à un serveur gouvernemental. Ce ping crée un enregistrement de données indiquant qui, quoi, quand et où. Au fil du temps, ces enregistrements créent un grand livre de comptes contrôlé par le gouvernement et contenant des informations sur ses citoyens.
Construit et géré par des fournisseurs tiers, Colorado Digital ID recueille des tonnes d’informations auprès des utilisateurs. Comme l’indique la politique de confidentialité de myColorado, l’application recueille des données « y compris, mais sans s’y limiter, votre adresse IP, l’identifiant de votre appareil et le type de navigateur », ainsi que des informations sur la « zone géographique générale » de l’utilisateur. La politique de confidentialité précise en outre que le gouvernement partage ces informations avec des fournisseurs de services tiers et, ce qui est beaucoup plus inquiétant, avec les forces de l’ordre et d’autres organismes gouvernementaux qui en font la demande.
Le défaut fondamental des systèmes d’identification numérique comme celui du Colorado est qu’ils sont centralisés. Pour qu’ils fonctionnent, les citoyens doivent faire confiance au gouvernement pour protéger leurs données contre les acteurs malveillants et contre l’État lui-même, même si les agences gouvernementales n’ont pas été de bons gestionnaires des données des citoyens.
Lorsqu’ils mettent en place des systèmes d’identification numérique, de nombreux États affirment qu’ils respecteront la vie privée et les libertés civiles de leurs citoyens, promettant essentiellement qu’ils n’utiliseront pas leur nouveau pouvoir à des fins malveillantes. Mais bien mieux que la devise de Google « Don’t be evil », c’est l’idée de « Can’t be evil » qui s’impose. Il est plus facile de faire confiance aux acteurs étatiques pour respecter notre vie privée lorsqu’ils n’ont pas la capacité de la violer.
Pourtant, les cartes d’identité numériques sont prometteuses. Ces systèmes pourraient rationaliser et moderniser des procédures archaïques en introduisant des justificatifs d’identité sécurisés et facilement vérifiables qui fonctionnent de manière transparente dans nos vies physiques et numériques. Les cartes d’identité numériques peuvent contribuer à rendre les gouvernements plus accessibles et plus efficaces, en réduisant les coûts et en augmentant la participation civique grâce à l’automatisation de nombreux processus qui, autrement, nécessiteraient des interactions physiques. Par exemple, les systèmes d’identification numérique peuvent permettre aux citoyens de demander des permis en ligne en toute sécurité, ce qui leur évite de perdre du temps et de se déplacer en personne.
Comment obtenir le meilleur et non le pire ? Pour nous inspirer, nous devrions nous tourner vers les « cypherpunks » de la fin des années 1980 et du début des années 1990, qui avaient une vision claire centrée sur une vie privée solide garantie par le cryptage.
Dans « A Cypherpunk Manifesto », Éric Hugues écrit :
« Nous ne pouvons pas attendre des gouvernements, des entreprises ou d’autres grandes organisations sans visage qu’ils nous accordent la protection de la vie privée par bienveillance. »
Les technologies du passé ne permettaient pas une grande protection de la vie privée, mais les technologies électroniques le permettent.
Les réseaux décentralisés permettent aujourd’hui de se passer d’un intermédiaire de confiance dans un système numérique, de sorte que les cartes d’identité numériques pourraient théoriquement exclure totalement le gouvernement. De même, les méthodes cryptographiques avancées, telles que les preuves à connaissance nulle, permettent de vérifier des informations sans que le vérificateur ait besoin d’accéder à ces informations. En combinant ces deux caractéristiques, nous pouvons créer des systèmes qui nous offrent tous les avantages des cartes d’identité numériques et qui résistent à la surveillance. En fait, plusieurs projets ont déjà des protocoles et des produits qui fonctionnent sur la base de ces principes.
M. Hughes a raison de dire que les gouvernements, de par leur nature même, sont réfractaires à la protection de la vie privée et sont plus que disposés à exploiter les nouvelles technologies pour surveiller les citoyens. Ainsi, alors que de plus en plus d’États et de localités choisissent de mettre en œuvre des systèmes d’identification numérique, il appartient aux citoyens d’exiger que ces systèmes soient conçus de manière à protéger leurs libertés civiles. La technologie existe. Il ne reste plus qu’à la mettre en œuvre.
On peut bien exiger ce qu’on veut, c’est invérifiable. Comment accéder au réel code source de ces applications, comment le comprendre, comment être sûr que rien ne se fera jamais pirater.
Impossible !
Penser que le tout numérique apportera la moindre sécurité relève de la folie!
La pièce d’identité numérique n’est pas l’instrument qui permet à l’État de nous espionner : on ne la sort jamais. Mais la carte bancaire, c’est le jack pot. Tout est enregistré : acheteur, lieu, magasin, montant, date, heure.
Les commentaires sont fermés.