Qu’est-ce que l’identité décentralisée ?
L’identité décentralisée, aussi appelée identité souveraine ou auto-souveraine (en anglais, self-sovereign identity), se positionne de plus en plus comme une alternative intéressante aux infrastructures centralisées et fédérées d’aujourd’hui. En quelques mots, il s’agit d’une technologie qui permet aux gens de gérer eux-mêmes leurs identités. Dans un framework décentralisé, l’utilisateur reçoit des identifiants d’un certain nombre d’émetteurs (administrations publiques, établissements d’enseignement, employeurs, etc.) et les stocke dans un portefeuille numérique. Il présente ces identifiants à l’autorité émettrice pertinente, laquelle vérifie l’identité dans un registre basé sur une blockchain, qui ne stocke pas les données de l’utilisateur. Voilà en quoi consiste l’identité décentralisée. Voyons maintenant en quoi elle peut nous être utile.
Le modèle d’identité d’aujourd’hui (c’est-à-dire la façon dont les entreprises créent des identités en fonction des informations qu’elles collectent sur leurs utilisateurs) ne marche pas pour tout le monde. Les organisations doivent recueillir des données personnelles et sensibles pour authentifier les identités. Cependant, tant qu’elles continueront à subir des brèches de données ou à mal gérer leurs informations, ce modèle offrira un intérêt limité pour les utilisateurs.
La plupart d’entre nous vivent des expériences d’identité en ligne fragmentées, avec l’obligation de s’authentifier séparément auprès d’une multitude de fournisseurs de services. Mais certaines populations sont ouvertement privées de droits. Près d’un milliard d’habitants de notre belle planète n’ont pas les moyens de revendiquer la propriété physique ou numérique de leur identité, ce qui les empêche d’exercer pleinement leurs droits de citoyens et de bénéficier des avancées technologiques les plus basiques.
Bien qu’à ses débuts, l’approche décentralisée de l’identité présente d’ores et déjà de nombreuses promesses : donner aux utilisateurs une plus grande indépendance, mieux protéger la confidentialité et inspirer une transformation digitale généralisée. Dans cet article, nous explorons en détail le fonctionnement de l’identité décentralisée, à qui elle profite et son stade de développement.
L’identité décentralisée : qu’est-ce que c’est ?
En tant que sous-domaine émergent de la gestion des identités et des accès (IAM), l’identité décentralisée comporte ses propres définitions qui aident à cerner les rôles et les interactions applicables dans ce modèle.
- Identifiants : informations qui distinguent chaque sujet.
- Conteneur/Portefeuille : référentiel de logiciels qui gère les identifiants pour le compte d’un sujet et assure leur confidentialité.
- Émetteur : partie qui émet des identifiants d’accès, à l’instar d’un fournisseur d’identité ou OpenID.
- Sujet : utilisateur ou personne qui authentifie son identité.
- Vérificateur : partie ou fournisseur de services qui vérifie la validité des identifiants. Le vérificateur envoie une demande de présentation au portefeuille qui, après avoir recueilli l’accord de l’utilisateur, présente les identifiants au vérificateur.
Comme dans toute structure IAM, ces composants se combinent pour faciliter l’accès sécurisé aux informations critiques, tout en aidant à vérifier l’identité de l’utilisateur.
La décentralisation démocratise les données et les accès
Dans la plupart des cas, pour s’engager dans des activités financières, politiques, sociales et culturelles, il faut présenter une preuve d’identité. De fait, la preuve d’identité détermine notre capacité à exercer nos droits de citoyens et à accéder à des services essentiels, comme l’éducation, la santé, la banque, le logement et la protection sociale. Dans certaines situations (déplacement forcé, pauvreté, bureaucratie rigide, manque d’éducation), le droit des personnes à obtenir ces documents d’identité officiels, véritables sésames qui ouvrent toutes les portes, est malmené.
Supprimer les barrières
Les systèmes d’identité décentralisée facilitent considérablement l’accès à ces informations. En effet, avec des systèmes cryptographiques en ligne basés sur une blockchain pour établir des portefeuilles numériques, tout le monde peut accéder à une identité numérique. Les seules exigences matérielles sont de disposer d’une connexion Internet et d’ un terminal intelligent. Cela tombe bien : comme la fracture numérique se réduit, ces deux éléments sont en plein boum dans les économies émergentes. Résultat : les projets de décentralisation sont un moyen prometteur de généraliser les identités numériques et l’accès aux services, pour le plus grand bien de tous.
Renforcer l’indépendance des utilisateurs
L’autonomie des utilisateurs est un autre domaine où l’identité décentralisée favorise la démocratisation. Lorsqu’un utilisateur s’enregistre sur un nouveau service en ligne, il doit en règle générale fournir différentes données personnelles, que les organisations pourront traiter, partager ou vendre à des tiers. Dans un système décentralisé, l’utilisateur reçoit des identifiants décentralisés (DID) pour valider son identité auprès de chaque fournisseur de services. Ces identifiants sont sécurisés via le chiffrement privé, connus uniquement de l’utilisateur et vérifiables auprès des fournisseurs de services.
Ce modèle offre deux avantages :
- Il permet aux utilisateurs de partager uniquement les informations pertinentes et nécessaires pour accéder à un service.
- Il aide à faire en sorte que les organisations n’accèdent aux données d’une personne qu’à des fins d’authentification.
En prime, les utilisateurs peuvent mieux protéger et contrôler leurs données personnelles. À quoi ressemble ce processus en pratique ? Voici un exemple :
- Jane vient d’émigrer aux États-Unis. Elle n’a avec elle aucune copie physique de son diplôme universitaire. Pour répondre à des offres d’emploi, elle doit faire la preuve de son domaine d’étude.
- L’université lui envoie un identifiant DID (dans le cas de Jane, son diplôme), qu’elle stocke dans son portefeuille numérique.
- À l’aide de ses identifiants DID, Jane présente son diplôme à ses employeurs potentiels, qui peuvent vérifier son authenticité auprès de l’université émettrice en toute indépendance.
Atouts potentiels de l’identité décentralisée
Comme nous l’avons vu, l’identité décentralisée permet aux utilisateurs d’accéder à davantage de services et de disposer d’un contrôle accru sur leurs propres données. Avantage supplémentaire, la décentralisation remodèle la façon dont les données sont stockées et sécurisées, et c’est tout le monde qui en profite : les utilisateurs, les organisations en tous genres et les développeurs.
Atouts pour les utilisateurs
Dans un système décentralisé, le portefeuille fait office de référentiel sécurisé des identifiants utilisateurs. Il les protège à l’aide du chiffrement et de la biométrie, sollicite le consentement éclairé de l’utilisateur à chaque fois que ses identifiants sont demandés et dissimule les métadonnées susceptibles d’entraîner un suivi des identifiants. Les systèmes de stockage chiffrés et décentralisés, par exemple les blockchains, sont conçus pour être impénétrables, ce qui limite le risque qu’une entité accède à des données non autorisées afin de les voler ou de les monétiser.
Atouts pour les organisations
Si la décentralisation améliore la confidentialité et la sécurité des utilisateurs, elle aide également les organisations à limiter les risques. De nombreuses organisations internationales sont soumises à des réglementations qui régissent la collecte, le traitement et le stockage des données utilisateurs ainsi que les transactions effectuées sur ces données. Et elles risquent sanctions et pénalités même lorsqu’elles enfreignent les règles sans le savoir ou subissent une brèche de données. En collectant et en stockant moins de données, les organisations simplifient leurs obligations en matière de conformité. Elles limitent en outre les risques d’utiliser abusivement des informations et d’être ciblées par des cyberattaques opportunistes.
Par ailleurs, comme les utilisateurs doivent fournir uniquement les identifiants nécessaires pour confirmer leur identité, un système où le partage des identifiants requiert leur consentement favorise la confiance et la transparence dans les relations entre ces utilisateurs et les organisations.
Atouts pour les développeurs
Pour les développeurs, l’identité décentralisée est un stimulant pour la conception d’applications, puisqu’elle élimine de facto le besoin de mots de passe ou de processus d’authentification stricts. Cela pourrait leur permettre de créer des expériences utilisateurs plus pratiques et attrayantes, qu’il sera possible d’enrichir à l’infini par une participation à un écosystème ouvert basé sur les standards. L’identité décentralisée permet ainsi aux organisations de former de nouvelles alliances, que les partenaires pourront utiliser pour communiquer en toute sécurité des informations approuvées et fournir des services plus efficaces aux utilisateurs.
Les acteurs du monde de l’identité décentralisée
Si l’identité décentralisée est encore un domaine émergent, certains des leaders technologiques mondiaux montrent déjà tout le potentiel qu’elle recèle en matière de confiance et de démocratisation. On rencontre par exemple des grands noms comme Microsoft, IBM et SecureKey, ainsi que des start-up comme Evernym.
En parallèle, de nombreuses organisations moins connues mènent un travail de fond pour façonner et standardiser l’identité décentralisée. Voici quelques acteurs clés :
- Decentralized Identity Foundation (DIF) : organisation qui centralise le développement, les discussions et la gestion des initiatives visant à la création d’un écosystème ouvert, décentralisé et basé sur les standards.
- World Wide Web Consortium (W3C) : fournisseur de standards ouverts depuis le début des années 2000, dont le travail est principalement axé sur le développement et l’interopérabilité des navigateurs.
- Internet Engineering Task Force (IETF) : organisation responsable de la standardisation des technologies Internet de base, y compris la principale suite de protocoles Internet.
- Hyperledger : communauté de la Fondation Linux, qui se consacre au développement de frameworks, d’outils et de bibliothèques, pour le déploiement de registres décentralisés et de blockchains.
Un avenir à définir
Le monde de l’identité décentralisée n’en est qu’à ses débuts, car on ne sait pas encore comment déployer cette technologie à grande échelle tout en tenant compte des exigences réglementaires. Une chose est sûre cependant : l’identité est au cœur du développement des architectures décentralisées.
De nouveaux cas d’usage apparaissent constamment. Explorons-en quelques-uns.
Collaborateurs
Sur le lieu de travail, l’identité décentralisée offre aux organisations la possibilité de supprimer entièrement les mots de passe pour leurs effectifs, en autorisant leur connexion à des infrastructures d’identités fédérées. Elles pourront ainsi émettre des identifiants numériques axés sur le rôle d’un collaborateur ou son appartenance à un département, par exemple. Ces identifiants seront enregistrés dans le portefeuille numérique du collaborateur, et les fournisseurs d’identité pourront vérifier cette information afin d’octroyer à cet utilisateur une authentification unique aux outils dont il a besoin. Autre cas d’usage lié aux effectifs : les identifiants DID pourront aussi être inclus dans des badges numériques afin d’octroyer l’accès approprié à des lieux physiques. Ces scénarios intra-organisationnels représentent un point d’entrée permettant d’expérimenter facilement les applications de cette nouvelle technologie.
Connexion des clients
L’utilisation de l’identité décentralisée dans les paramètres des clients devrait se concrétiser dans un avenir plus lointain. Davantage de démonstrations de faisabilité sont nécessaires dans ce domaine. À ce jour, le plus grand obstacle est de permettre aux applications de se connecter aux fournisseurs d’identité décentralisée, ce qui requiert une refonte complète du paysage de consommation actuel. Cela dit, un point d’entrée possible pourrait être la connexion via un réseau social. En effet, les plateformes de réseaux sociaux prennent déjà en charge leurs bases de clientèle étendues en fédérant les identités et en simplifiant la connexion à d’autres applications.
À mesure que le secteur continue à développer des démonstrations de faisabilité pour l’identité décentralisée dans les administrations publiques, la santé, la finance et autres, les opportunités d’utilisation de cette technologie continuent d’augmenter. Nous sommes en train d’assister à l’émergence d’un nouveau domaine que nous devons tous tenir à l’œil.