Identités centralisées ou décentralisées ?
Ces dernières années, le terme « identité décentralisée » est apparu de plus en plus souvent dans les discussions sur les identités électroniques. C’est également le cas dans l' »image cible E-ID » actuellement publiée, qui doit permettre de discuter publiquement de la vision d’une identité électronique étatique pour la Suisse. Que se cache-t-il derrière ce terme ? Quels sont les avantages et les inconvénients par rapport à une « identité centralisée » ?
La principale distinction entre les identités centralisées et décentralisées repose sur deux questions :
- Qui crée l’identité d’un utilisateur (sujet) ?
- Qui est impliqué dans l’utilisation de cette identité ?
Dans le cas de central ou gérées par des tiers L’identité d’un sujet est créée par une instance étrangère. Il peut s’agir d’une organisation, d’une autorité ou d’un autre service. Il est important de noter ce qui suit : Le sujet ne peut pas utiliser son identité indépendamment de cette instance.
Une identité décentralisée est une identité électronique qui n’est pas gérée par un système central de gestion des identités (IdMS) et ne peut être utilisée qu’au moyen de celui-ci, mais qui est enregistrée de manière décentralisée chez l’utilisateur, par exemple sur un smartphone ou dans un plug-in de navigateur, et peut être utilisée sans intermédiaire.
Nous connaissons tous bien ce principe grâce aux réseaux sociaux. Une identité de Google ou de Facebook peut être utilisée dans de nombreuses applications. Une fois créée, l’identité est gérée par le fournisseur, qui est impliqué dans chaque procédure de connexion, même si l’utilisateur ne s’en rend pas forcément compte. C’est pratique pour les utilisateurs, car ils peuvent utiliser une identité « pour tout » et ne doivent pas gérer de nombreuses identités « isolées » qui ne fonctionnent que pour une application. Le prix de ce service est généralement payé par l’utilisateur avec ses données.
Figure 1 : Une identité centrale pour plusieurs organisations
Le décentralisé ou centrée sur l’utilisateur L’approche est très différente. L’utilisateur stocke ses identités localement sur ses appareils. Il peut s’agir d’une application de portefeuille sur un smartphone ou d’un plug-in spécial pour navigateur. L’avantage de cette approche est que l’utilisateur peut utiliser son identité indépendamment de son créateur (voir illustration). Ce concept correspond à la réalité physique du « portefeuille » ou au principe que nous connaissons très bien : « émettre-obtenir-posséder-montrer-vérifier ». Les documents d’identité physiques sont conservés dans un portefeuille et sont sortis et présentés en cas de besoin.
Figure 2 : Dissociation entre la création d’une identité et son utilisation
Dans l’approche décentralisée, la création et l’utilisation d’une identité sont donc totalement découplées. Cette approche moderne connaît deux facettes : un sujet peut créer lui-même son identité(autogéré) ou la recevoir à l’avance d’une instance étrangère(autocontrôlé).
Dans le cas d’une identité autogérée, celle-ci est créée dans un premier temps par un service d’identité, puis remise à l’utilisateur pour utilisation, contrôle et conservation. L’avantage est que le service d’identité n’est plus actif que lors de l’établissement (et de la mise à jour). L’utilisateur n’a toutefois que peu d’influence sur le processus de création et doit faire entièrement confiance à ce service d’identité. Lorsqu’il accède à une application, l’utilisateur présente ensuite ses informations d’identité sous la forme demandée (par exemple sous forme de QRCode). L’application peut ensuite vérifier l’origine et la validité des informations d’identité. Selon la conception de ces informations d’identité, elles pourraient également être utilisées hors ligne. En cas de perte de l’identité électronique, l’utilisateur peut s’adresser à son service d’identité pour la rétablir ou, le cas échéant, la faire révoquer dans un premier temps. Un exemple typique est le nPA allemand (nouvelle carte d’identité).
Contrairement aux identités autocontrôlées, les identités autogérées ne nécessitent pas de service d’identité. Ce concept est également connu sous le nom de « Self-Sovereign Identity ». Dans ce cas, l’utilisateur crée et contrôle lui-même son ou ses identités. Le sujet peut ensuite faire confirmer des attributs (individuellement ou en groupe) par des sources faisant autorité (émetteur, en anglais Issuer). Pour ce faire, le sujet doit s’authentifier auprès d’un émetteur et faire confirmer les attributs qu’il a initialement déclarés. Le sujet « collectionne » ainsi les attributs confirmés de ses identités, qu’il présente ensuite, si nécessaire, à une application sous la forme requise. Outre de grands avantages en termes d’autogestion et de protection de la sphère privée, ce concept présente quelques problèmes non résolus en matière de gouvernance, de conservation et d’établissement de la confiance. Dans cette approche, l’utilisateur a une responsabilité beaucoup plus grande de gérer et d’entretenir son identité ; en cas de problème, il n’y a pas de support central qui puisse lui offrir une assistance.
Figure 3 : Comparaison des systèmes de gestion des identités du point de vue de l’utilisateur
En résumé, on peut dire que l’approche centrée sur l’utilisateur présente de nombreux avantages, notamment pour une E-ID étatique. L’évolution internationale va dans ce sens, tout comme les efforts déployés au sein de l’Union européenne autour de l’EUid . Mais comme le concept des « identités décentralisées » n’est pas encore connu de tous et que l’infrastructure n’en est qu’à ses débuts, les systèmes d’identité centralisés et décentralisés vont encore cohabiter pendant un bon moment.
Laisser un commentaire
Rejoindre la discussion?N’hésitez pas à contribuer !