Ce à quoi doit répondre un système de gestion des identités moderne
Avec les exigences croissantes en matière de protection des données, il devient de plus en plus important de prendre davantage en compte la souveraineté des données des utilisateurs. C’est pourquoi la gestion des identités fait l’objet de discussions sur des approches centrées sur l’utilisateur qui, outre la sécurité du système global, garantissent également la protection de la vie privée des utilisateurs. Un détenteur d’identité doit fournir le moins d’informations possible à un service de contrôle et aucun autre service ne doit pouvoir collecter des données sur les activités d’un détenteur. Mais qu’est-ce que cela signifie pour le titulaire ? De quoi doit tenir compte l’émetteur d’une carte d’identité lorsqu’il la délivre ? Inversement, quelles sont les exigences d’un service de vérification ? Cet article compare les exigences de l’émetteur, du titulaire et du service d’audit.
Quel que soit le système de gestion des identités considéré, les acteurs suivants peuvent être définis. D’une part, la figure centrale est le détenteur d’identité (Holder), qui fait établir un nombre quelconque d’attributs (Claims) le concernant par un service compétent à cet effet. L’émetteur (Issuer) de ces attributs atteste certaines propriétés à un détenteur en les traitant de manière cryptographique et en les transmettant à l’instance qui les demande. Cette instance est un service de contrôle (Verifier) auquel est soumise une déclaration sur le titulaire, afin qu’il puisse décider si et comment il veut laisser le titulaire accéder à une ressource qu’il contrôle. La relation et les caractéristiques du triangle éditeur, propriétaire et service de vérification ont déjà été évoquées (voir à ce sujet l’article de Societybyte sur Crendentials).
Un critère très important concerne la présentation d’une preuve à un service vérificateur. La question se pose de savoir si l’éditeur se contente de rédiger une déclaration sur le titulaire ou s’il participe en plus au processus de présentation.
Si l’éditeur d’une preuve n’est pas impliqué dans le processus de présentation à un service de contrôle, on parle d’approches de solution centrées sur l’utilisateur (le titulaire est au centre). Ce type de présentation, dans lequel une communication directe a lieu entre le titulaire et le service vérificateur, est examiné plus en détail ci-après, en présentant une sélection d’exigences principales de différents points de vue.
Figure 1 : Exigences principales des différents acteurs
Du point de vue de l’éditeur :
- Authenticité du titulaire : avant qu’un éditeur (Issuer) puisse faire une déclaration contraignante sur un titulaire, celui-ci doit d’abord s’authentifier. La force de l’authentification requise dépend de la déclaration faite par l’éditeur. Ce n’est que lorsqu’un émetteur a pu se convaincre qu’un titulaire s’est authentifié selon ses règles qu’il sera prêt à émettre une déclaration généralement vérifiable sur ce titulaire. Cette déclaration est souvent appelée preuve ou revendication.
- Révocation : la révocation d’une preuve doit être possible sans que cela ne révèle l’identité du titulaire. La révocation peut être déclenchée par l’éditeur ou le titulaire.
Du point de vue du titulaire :
- Différentes sources : Le titulaire doit pouvoir rassembler des déclarations le concernant à partir de plusieurs sources (de différents éditeurs) et les présenter à un service vérificateur.
- Divulgation sélective : Le titulaire doit pouvoir choisir les attributs qu’il souhaite divulguer à un service de contrôle. Le reste des attributs doit être caché à un service de vérification.
- Anonymat : un service de vérification ne doit pas pouvoir connaître l’identité d’un titulaire (sauf si le titulaire lui fournit sciemment toutes les informations nécessaires).
- Attributs dérivés : L’utilisation d’attributs dérivés doit être possible (p. ex. limite d’âge ou liquidité).
- Portabilité : un titulaire doit pouvoir utiliser ses informations d’identité à partir de différents terminaux (ordinateur de bureau, ordinateur portable, téléphone mobile, tablette).
- Confiance : Un titulaire doit pouvoir établir une relation de confiance avec un service de vérification. Il doit être sûr qu’un service de vérification ne peut pas abuser de ses données personnelles. Un titulaire doit pouvoir être sûr que le service vérificateur est autorisé à exiger de lui ces attributs et à se présenter dans la fonction.
- Simplicité : une application sur un terminal doit être facile à utiliser et transparente pour le titulaire.
Le titulaire prépare les preuves émises par les éditeurs et les présente sous une forme appropriée à un service vérificateur. Ceci est représenté dans l’illustration ci-dessus par des symboles d’enveloppe.
Du point de vue du service vérificateur :
- Un service vérificateur doit avoir la possibilité de vérifier les preuves qui lui sont présentées et d’en contrôler l’actualité. Il doit vérifier que les preuves présentées ont été délivrées au titulaire.
- Afin de garantir la protection de la vie privée du titulaire, un service vérificateur ne doit pas recevoir d’identifiant unique du titulaire.
- Lorsqu’un service vérificateur accepte une preuve, il fait confiance à l’émetteur.
- Un service vérificateur doit pouvoir valider que les preuves présentées correspondent aux attributs qu’il demande.
Les exigences ne doivent pas être entièrement satisfaites pour qu’un système puisse être exploité. Certaines exigences s’annulent mutuellement ou ne peuvent être mises en œuvre qu’au prix de grands efforts. Ce catalogue d’exigences d’un système de gestion de l’identité a plutôt pour but de soulever des questions et d’alimenter la discussion sur les solutions possibles.
Conclusion
Les caractéristiques suivantes d’un système de gestion des identités peuvent être déduites de ces exigences :
Un éditeur doit vérifier au préalable les informations d’un titulaire pour lesquelles il est responsable. Il crée une preuve sur la base de l’authentification (la force dépend de l’information). S’il ne le fait pas, l’affirmation n’est ni sérieuse ni solide. Un titulaire ne peut donc pas se comporter de manière anonyme vis-à-vis d’un éditeur.
Un titulaire doit pouvoir partir du principe que les informations qu’il transmet à un service vérificateur ne peuvent pas être utilisées à mauvais escient. Le titulaire doit avoir la possibilité de se comporter de manière anonyme vis-à-vis d’un service vérificateur, même si cela est illusoire, car un service vérificateur n’établit normalement pas de relation commerciale avec des utilisateurs anonymes.
Un service vérificateur doit pouvoir se fier à la validité des preuves présentées et à leur utilisation légitime.
Laisser un commentaire
Rejoindre la discussion?N’hésitez pas à contribuer !