26 sept. 2024

L'avenir de l'identité numérique

Titres de compétences vérifiables et SSI
David_Creer_1000x1000px12.png
David Creer
Responsable mondial DLT, Crypto et E-money
blogAbstractMinutes
blogAbstractTimeReading
gft-image-mood-15.jpg
Digital Identity
Transformation numérique
DLT et chaîne de blocs
share
Dans un monde où il est facile d'imiter quelqu'un et où les « deepfake media » ont de sérieuses implications pour la société, la confiance est une question importante. Nous devons pouvoir être sûrs que la personne avec laquelle nous pensons parler en ligne ou par VOIP est bien celle que nous croyons, ou qu'une photo n'a pas été modifiée par un acteur malveillant après sa diffusion. Les références vérifiées par cryptographie (et les portefeuilles qui les contiennent) représentent une avancée majeure dans la validation des identités des individus ou des sociétés de manière totalement irréfutable.

Explication des portefeuilles de titres vérifiables

Les systèmes d'identité souveraine (SSI) sont en cours de développement depuis un certain temps et, bien que la recherche soit en cours depuis le début du siècle, de nombreuses personnes considèrent la création de Soverin et d'Uport comme les premiers projets dédiés à l'identité souveraine (en 2015 et 2017 respectivement). Depuis lors, l'accent a été mis sur la normalisation des concepts et des formats de données.

 

Les composants suivants d'un système de titres vérifiables :

  • Identifiant distribué (DID) : Il s'agit d'un identifiant qui représente le titre vérifiable. Il a le format « did:method:value » où la méthode est la manière spécifique dont le DID est accédé et géré et la valeur est une valeur clé unique. Les DID sont basés sur un document DID (qui contient les données représentant la personne/l'entreprise) et peuvent être résolus pour renvoyer le document DID sous-jacent.
  • Identifiant de clé (KID) : Identifie les clés publiques (cryptographiques) à utiliser dans le processus de vérification des DID.
  • Portefeuille SSI : Le portefeuille de la chaîne blocs où sont stockées les clés privées (PK) connectées aux clés publiques liées au SSDID. Ces clés privées sont utilisées pour signer les transactions et peuvent être stockées dans des portefeuilles locaux (pour un modèle plus distribué) ou centralisés (pour un système plus centralisé) ou un système peut être créé où les clés sont dérivées et stockées à la fois dans des portefeuilles locaux et centraux.
  • Réseau DLT : Les transactions signées liées à la vérification de l'identité (et les processus associés) sont transmises à un réseau de chaînes de blocs, cela crée un enregistrement immuable de la transaction et fournit une « ancre de confiance » soit au processus d'identification des titres vérifiables, soit aux interactions avec d'autres processus associés. Il est possible d'utiliser des réseaux de chaînes de blocs privés ou publics à cette fin.
  • Preuves de zéro connaissance (ZKP) : Une fonction cryptographique permettant de prouver qu'un objet (numérique) particulier existe sans donner les détails de l'objet lui-même. Utilisée dans les systèmes SSID pour prouver que

 

Les activités suivantes sont réalisées par les acteurs (essentiels) suivants du système SSID. D'autres acteurs peuvent être ajoutés (autorités de gouvernance, autorités de registre VC, etc.), mais ils ne sont pas essentiels pour le processus de création, de vérification et de révocation des informations d'identification.

 

  • Émetteur : émet les identifiants, gère les DID et révoque les identifiants.
  • Vérificateur : Valide l'authenticité des justificatifs par le biais d'un cadre de confiance.
  • Titulaires de titres vérifiables : La personne ou l'entité qui détient les justificatifs dans son portefeuille.

 

Explication des cas d'utilisation des titres vérifiables

Les références vérifiables utilisant une ancre de confiance (qui est vérifiée cryptographiquement) peuvent être utilisées dans n'importe quel système qui souhaite utiliser une identité. Nous avons toutefois dressé une liste des cas d'utilisation courants que nous avons vus sur le marché.

  • Passeports numériques
  • Validation de l'âge pour les services et les biens destinés aux adultes
  • Intégration des clients d'une institution ou d'un service à l'autre
  • Identification sécurisée pour les actions de services financiers
  • Certificats d'éducation et de formation
  • Provenance des dossiers médicaux
  • Provenance de la chaîne d'approvisionnement
  • Systèmes de vote et d'identification gouvernementale

Les titres vérifiables et l'avenir

Quelle est la sécurité de l'Internet et des appels par protocole VOIP quand il est si facile d'usurper l'identité d'une personne et/ou de pirater ses comptes grâce à des technologies assistées telles que les deep fakes. À quel point est-il important que, lorsque vous vous connectez à vos opérations bancaires en ligne, vous sachiez à 100 % que vous êtes bien en train de vous connecter à votre banque (ou vice-versa lorsque votre banque vérifie votre identité) ? Nombreux sont ceux qui pensent qu'il s'agit là du plus grand défi auquel nous devrons faire face dans les 10 à 20 prochaines années, et c'est sur ce point que se concentre le Web 3.0.

 

Le Web 3.0, ou Web distribué, est un nouveau modèle d'Internet basé sur la confiance. Alors que le Web 2.0 (le web sémantique) utilisait de grands fournisseurs d'identité (Google, Microsoft, Facebook/Meta, etc.), le Web 3.0 définit un modèle dans lequel les individus ont le droit de détenir leurs données identifiables (par le biais de justificatifs vérifiables) et peuvent choisir comment et avec qui ils veulent partager leurs données. Les portefeuilles de certificats vérifiables et le SSID sont des éléments de cette vision d'un Internet plus sûr et plus fiable.

 

Mais les communautés technologiques ne sont pas les seules à prôner l'utilisation d'informations d'identification vérifiables, les gouvernements le font également. L'Union européenne a publié une nouvelle réglementation importante concernant l'identification électronique et les services de confiance, appelée « règlement relatif à l'identification électronique, à l'authentification et aux services de confiance » (eIDAS). Cette réglementation établit un cadre pour la manière dont l'identification électronique peut être utilisée et doit être adoptée par les affaires et les institutions de l'UE, et elle est étroitement liée aux références vérifiables. Ceci, combiné au fait que l'Infrastructure européenne de services de chaîne de blocs (EBSI), conçue et maintenue par la Commission européenne, a conçu une norme pour les portefeuilles d'identité numérique appelée European Digital Identity Wallet, montre qu'au moins dans l'UE, l'identité numérique est prise au sérieux et que les principales administrations publiques développent des cadres et des solutions.

GFT et SSI

GFT travaille sur des projets de SSI depuis 5 ans. Nous avons été impliqués dans les projets les plus novateurs au niveau national, dans la mise en œuvre du portefeuille européen d'identité numérique (où nous avons été les premiers à mettre en œuvre des solutions de SSI) et dans la recherche pour les clients dans le cadre de l'initiative DC4EU sur les titres de compétences vérifiables. Dans la prochaine série de blogs, nous ferons une analyse plus approfondie des projets GFT et expliquerons les différentes approches de SSI sur lesquelles nous avons travaillé.

Explorer les articles connexes