Identification et authentification sur Internet

Un article du dossier Analyses > Cyberdemocratie
email Facebook Twitter
Màj : 27 nov. 2018

Problématique

carte-identite-electronique.jpg

Une fonction essentielle de tout système transactionnel ou collaboratif en réseau (forums, e-commerce, votations libres, ...) est l'identification des utilisateurs/participants.

Deux objectifs possibles de l'identification (il y en a d'autres) sont (i) d'empêcher les doublons (par exemple les votes multiples) et (ii) de responsabiliser les utilisateurs (contre exemple : les trolls qui profitent de l'anonymat pour semer la zizanie dans les forums).

On peut distinguer trois niveaux d'identification des individus par une organisation :

Faible (*)Forte privéeForte publique
Moyenpseudonymee-carte bancairee-carte d'identité
Applicationforums, Wikipédia, ...virements, ...votations, ...
Avantage (#)liberté d'expression?officiel
Inconvénient (#)capacité de nuisance (trolls)non officiel?

(*) identification sans authentification.
(#) Du point de vue des identifiés. Celui de l'organisation qui identifie peut être différent voire antagoniste.

Nous verrons dans la section consacrée à itsme qu'il est possible de combiner des systèmes d'identification forte publique et forte privée, mais que cela n'est pas sans risques démocratiques.

Étude de cas : analyse de la problématique en amont d'une votation :

  1. rédaction de la votation ;
  2. processus d'information (Wikipédia, ...) et de débat public (forums, ...) ;
  3. mise en votation.

Étapes 1 et 2. D'une part l'anonymat présente l'avantage de faciliter la critique. Mais d'autre part la nuisance des trolls est facilitée par l'anonymat. Ainsi sur Wikipédia quiconque a la possibilité de modifier anonymement un article, ce qui donne toute liberté d'action aux noyautages, aux actes de vandalisme ou à des contributions non-judicieuses (NB : les "fiches utilisateurs" de Wikipédia, dont celles des personnes en charge de la police, sont de type faible).

Il importe donc que des applications anonymes telles que Wikipédia soient concurrencées par des versions également ouvertes mais où la participation est conditionnée à une identification forte, ayant pour avantage de responsabiliser les contributeurs soucieux de préserver leur réputation. À ma connaissance il n'existe pas encore un tel service ouvert complémentaire à Wikipédia.

Étape 3. La plupart des applications de votation libre (sondages, pétitions, ...) actuellement disponibles sur Internet sont facilement manipulables par votes multiples car le procédé utilisé pour "identifier" le votant est généralement bancal :

  • ID par l'adresse IP : les personnes dont l'abonnement à Internet est de type "adresse dynamique" n'ont qu'à couper puis rallumer la connexion pour obtenir une nouvelle adresse, et donc un droit de vote supplémentaire, et il est aussi possible de simuler une série d'adresses IP ;
  • ID par l'adresse email : en créant un série d'adresses, valides ou invalides ;
  • ID par cookie : il suffit, via les options du navigateur, de supprimer les témoins.

Dans chacun de ces cas il n'est pas très compliqué d'écrire un petit programme qui, à partir d'un simple ordinateur portable, va automatiquement voter au nom d'une multitude de "personnes" n'existant pas. Ce type de programme est très difficilement repérable car il peut voter à différents moments définis automatiquement de façon aléatoire, et le faire à partir d'une série d'adresses IP changeant constamment.

Exemple de systèmes de votation avec identification bancale

parliament.uk

Le 25 juin 2016 j'ai pu signer la pétition britannique pour un second référendum Brexit, malgré que je ne suis pas citoyen britannique. L'identification/confirmation se fait par adresse email, et il suffit de cocher une case pour déclarer que l'on est citoyen britannique ! Environ deux heures après mon vote le nombre de signatures avait augmenté de 300.000 (trois cent mille). Le plus grave c'est que le site de pétition en question est un site gouvernemental (!) : petition.parliament.uk/petitions/131215.

g1000.org

En 2011 l'organisation g1000.org (un sous-marin de fédérations patronales belges selon Bert Bultinck, chef du Standaard Week-End, cité dans Le Soir du 05/11/11) a organisé une forme de vote en ligne consistant à "signer" le manifeste de l'association. Pour "signer" il suffisait de mentionner un nom, un code postal et une adresse courriel. Pire, aucune demande de confirmation n'était envoyée à l'adresse courriel, de sorte qu'il suffisait d'inventer des adresses bidons pour voter autant de fois qu'on le souhaite ! Ainsi j'ai signé avec qztgpb@wqmlgt9ey5.com, et le vote a été enregistré.

La problématique étant illustrée, voyons maintenant les technologies disponibles, ou en développement, qui permettent de développer des solutions.

Technologies de base

Cryptographie asymétrique

Fonctions

La cryptographie asymétrique consiste en l'utilisation – par l'expéditeur et le destinataire d'un message – d'une paire (pour chacun) de clés de chiffrement (une privée, une publique) pour chiffrer (crypter) un message. Le chiffrement a plusieurs fonctions :

  • signature :
    • authentification de l'expéditeur (le message a bien été envoyé par l'expéditeur présumé) ;
    • vérification de l'intégrité du message (le message originel n'a pas été modifié par un tiers ou accidentellement) [cf. MAC] ;
  • confidentialité (le message ne peut être lu par un tiers).
Fonctionnement

Expéditeur et destinataire d'un message disposent chacun d'une paire de clés : l'une privée et l'autre publique. Avant d'envoyer un message l'expéditeur le chiffre une première fois avec sa clé privée pour le signer, puis une seconde fois avec la clé publique du destinataire pour garantir que seul celui-ci pourra lire le message. Après réception le destinataire déchiffre le message une première fois avec sa clé privée (pour pouvoir le lire), puis une seconde fois avec la clé publique de l'expéditeur (ce qui garantit que c'est bien celui-ci qui a envoyé le message).

N.B. Chacun n'utilise que sa clé privée, et la clé publique d'un destinataire ou d'un expéditeur. Personne n'utilise donc sa clé publique, celle-ci est conçue pour être utilisée par autrui.

Le graphique suivant montre l'application de ces principes dans le cas du schéma de la double enveloppe, qui est à la base de toute système de votation à distance (dont le vote par Internet).

Schéma de la double enveloppe

schema-double-enveloppe.png

Source

Lecture du schéma. Le votant encrypte son vote avec la clé publique du système de votation puis insère cette première enveloppe (rose dans le schéma) dans une seconde (bleue dans le schéma) qu'il signe au moyen de sa clé privée. Le tout est envoyé au système de votation via Internet. Le système de votation ouvre l'enveloppe bleue à l'aide de la clé publique du votant, enregistre l'identité des ayants-voté dans une base de données, puis stocke les votes ainsi anonymisés (enveloppes roses) dans une autre base de donnée. Pour compter les votes anonymisé ceux-ci sont d'abord décryptés (entendez : "les enveloppes électroniques roses sont ouvertes") à l'aide de la clé privée du système de votation.

Autorité de
certification

Mais encore faut-il que chacun ait la garantie que l'autre (destinataire ou expéditeur) dont il connaît la clé publique est effectivement la personne qu'il prétend être. Les processus ci-dessus se limitent à identifier autrui ("Qui êtes-vous ?"), mais il reste à l'authentifier ("Prouvez qui vous êtes !"). C'est là le rôle joué par les autorités de certification (AC).

Le propriétaire d'une clé publique peut demander à une AC de délivrer un certificat électronique (généralement contre paiement ...) par lequel l'AC certifie que son client est bien la personne qu'il prétend être. Le certificat comprend notamment la clé publique en question, des données sur son titulaire (nom, adresse électronique, ...) et la signature de l'AC.

L'ensemble constitué par les AC et les fabricants de matériels et logiciels forme une infrastructure à clés publiques (PKI en anglais), fondée sur des normes internationales (cf. infra notamment les types de certificats).

État vs privé. Des questions fondamentales concernant les PKI sont : (i) Estimez-vous que l'AC de la personne dont vous utilisez la clé publique est crédible ? ; (ii) Cette AC est-elle certifiée par votre État ? ; (iii) Dans quelles conditions une organisation privée est-elle en mesure d'exercer la fonction d'AC de façon aussi crédible que l'État ? ; (iv) Qu'en est-il lorsque les parties habitent des pays différents ?

Liste de confiance. L'État belge publie une liste de confiance des prestataires de services, établis en Belgique, délivrant au public des services de confiance qualifié [voir].

(Dé)centralisation. Le schéma d'AC que nous venons de décrire est de type centralisé. Cependant, la technique dite "toile de confiance" ("web of trust", WOT en anglais) – également fondée sur la cryptographie asymétrique – permet, au moins à l'échelle locale, de développer une PKI décentralisée. Notons cependant que les questions ci-dessus se posent également dans ce cas (sauf que l'on considérera alors l'AC en tant que fonction plutôt qu'institution).

Types de certificats. En général dans une PKI les certificats sont de type X-509, tandis que dans une toile de confiance ils sont de type OpenPGP.

Toile de confiance

Les cartes d'identité électroniques actuelles (Estonie, Belgique, ...) sont des systèmes centralisés : le certificat installé sur la carte est signé électroniquement par l'État, qui garantit ainsi que le titulaire de la carte est bien inscrit au registre national.

Décentralisé
(pair à pair)

Cependant, au sein de petites communautés où la plupart des gens se connaissent (quartiers, villages, associations locales, PME) l'on peut très bien concevoir des systèmes d'identification électronique dont le certificat électronique n'est pas signé par l'État mais par un nombre suffisant d'autres membres de la communauté. Pour cela l'utilisateur doit prendre l'initiative d'acquérir un certificat électronique, et inciter d'autres membres de sa communauté à le signer électroniquement. C'est la toile de confiance (qui est le système utilisé par les monnaies libres).

La toile de confiance est donc soumise à certaines limites, liées à la capacité inégale des utilisateurs :

  • à gérer leur clés : certains sont moins familiers que d'autres avec les technologies du web ;
  • à obtenir suffisamment de signatures : certains ont des réseaux relationnels qui peuvent être insuffisants pour trouver suffisamment de signataires.

La décentralisation est donc difficilement compatible avec le traitement égalitaire des utilisateurs. Cette limitation sociale est en outre accentuée par une limitation à caractère logique, formulée par le théorème CAP qui stipule que toute application en réseau pair à pair est confrontée à des contraintes logiques induisant d'inévitables arbitrages entre critères de performance des fonctionnalités de l'application.

centralisédécentralisé
Communautéglobale (tout le monde ne se connaît pas)locale (tout le monde se connaît)
Identificationpar carte eIDpar certificat numérique
Validationpar un prestataire de service eIDpar signatures numériques d'une toile de confiance

On peut enfin étendre la décentralisation jusqu'au stockage et au traitement des données (dont celles de la toile de confiance), grâce à la technique des chaînes de blocs (technique appliquée par les monnaies libres).

On notera qu'avec les imprimante 3D, le concept de décentralisation pourrait s'étendre, dans un futur peut-être pas très éloigné, jusqu'à la production de leurs matériels par les utilisateurs (cartes à puce, lecteurs, smartphones, ...).

Chaînes de blocs

Une chaîne de blocs est une base de données distribuée sur un réseau pair à pair dont les nœuds de stockage gèrent une liste d'enregistrements protégés contre la falsification ou la modification, au moyen de techniques d'encryptage. Cette technologie permettrait par exemple de se passer d'un registre national centralisé.

NB : les chaînes de blocs ne résolvent pas les limitations évoquées dans la section précédente.

Un bloc est un fichier répertoriant une série de transactions ayant été opérées durant un certain laps de temps. Avant d'être lié à la chaîne un bloc et tous ses prédécesseurs sont hachés.

blockchain.png

Chaîne de blocs

Ensuite, pour que les blocs puissent être validés ils doivent être synchronisés : si la synchronisation révèle un dédoublement de la chaîne, une des deux branches doit être supprimée (les blocs mauves ci-dessus). Plus la fréquence de cette validation est élevée plus rapide sera la validation, mais aussi plus élevée sera la consommation d'énergie par la chaîne.

Un système transactionnel décentralisé est plus complexe qu'un système centralisé, ce qui peut avoir des conséquences sur ses performances relatives. Ainsi la durée de validation d'une transaction en Bitcoin (chaîne de blocs) est en moyenne trois cents fois plus longue que pour les paiements par carte bancaire (système centralisé).

Les possibilités d'applications futures des chaînes de blocs sont très nombreuses. L'une d'entre elle est la neutralisation du risque de prise de contrôle de la société humaine par l'intelligence artificielle, en intégrant des "contrats intelligents" dans des chaînes de blocs [source].

Cryptommonnaies

Les applications de chaînes de blocs ayant dépassé le stade expérimental sont encore rares de nos jours. Les cryptomonnaies sont probablement les plus avancées en la matière, et notamment le Bitcoin et la June.

Bitcoin

Le fonctionnement du réseau Bitcoin est assuré par le travail des mineurs, qui sont rémunérés en Bitcoins pour (i) la validation des transactions (ce qui requiert la résolution d’un défi mathématique sous la forme d'une série d’algorithmes), (ii) l'hébergement d'une copie du registre (inscription de chaque transaction dans les chaîne de blocs) et partant (iii) l'achat et la maintenance des (puissants) ordinateurs que requièrent ces opérations.

Réseau privé. Dans une chaîne de blocs privée le défi mathématique n'est pas indispensable : la fonction de validation pouvant être confiée à un membre du réseau.

Pour utiliser le Bitcoin il faut installer sur votre ordinateur :

  • une copie de la chaîne de blocs (PS : exige une mémoire de stockage qui peut vite dépasser la capacité d'un smartphone) ;
  • un portefeuille électronique ;
  • une clé privée, une clé publique (cryptographie asymétrique) ;
  • l'adresse Bitcoin (équivalent du numéro de compte bancaire).
June

Voir dans notre article consacré à la théorie relative de la monnaie, la section consacrée aux monnaies symétriques.

Problématiques :

  1. Les protocoles Internet de certification du temps de référence ne sont pas signés [source].
  2. La cryptographie des premiers bitcoins est obsolète --> quid des transactions archivées ? [source].
  3. La problématique de la sécurité se situe moins au niveau du protocole que de son écosystème (par exemple si votre disque dur devient inutilisable les Bitcoins le sont aussi).
  4. Si une chaîne de blocs cesse son activité, qu'advient-il des transactions qu'elles comportent ? Faut-il un blockchain de blockchain ? Mais qui d'autre qu'un État peut en garantir la pérennité ? [approfondir].
  5. En permettant un DNS décentralisé la technologie des blockchains rend-elle impossible les frontières numériques ?
  6. En termes juridiques l'absence d'autorité centrale dans un blockchain pose la question de la responsabilité en cas d'accident ou de malversation.

Sécurisation. Les technologies que nous venons de présenter ne permettent pas de sécuriser Internet à 100%, car cela est impossible. Une solution consiste à changer de paradigme grâce à une technologie plus récente : la cryptographie quantique.

Cryptographie quantique

Les futurs ordinateurs quantiques seront théoriquement en mesure de décrypter toutes les clés de chiffrements : même augmenter la taille de la clef ne suffirait plus, l'information deviendrait vulnérable dans tous les cas. Cependant des ordinateurs classiques suffisent pour mettre en oeuvre la cryptographie quantique en codant la clef de sécurité dans des photons (particules de lumière) ou des impulsions lumineuses, qui ne sont rien d'autre que des "objets" quantiques.

Or les propriétés quantiques des photons ont pour effet que le simple fait de lire (et, qui plus est, modifier) les informations qu'ils transportent suffit à les perturber et à donner l'alerte. Même si le pirate informatique utilise un ordinateur quantique cela n'y change rien. Conclusion : avec la technologie quantique on ne pourrait donc plus rien cacher, pas même le fait que l'on a tenté de lire ou modifier ce qui était "caché". Le paradigme de la sécurisation informatique évolue donc en abandonnant le mythe du système inviolable, et en lui substituant le principe d'identification systématique et immédiate de tout acte de hacking sur un système informatique.

Il reste cependant à appliquer la cryptographie quantique de bout en bout de la chaîne du processus fonctionnel (par exemple celui du vote par Internet).

Les technologies disponibles ayant été passées en revue, analysons maintenant leur application concrète.

Carte eID

La carte eID est une carte d'identité électronique, de même type qu'une carte bancaire. Il n'existe pas encore de carte d'identité électronique en France, mais déjà en Autriche, Belgique, Espagne, Estonie, Finlande, Italie, Pays-Bas, Suède, ... La Belgique fut le premier pays au monde à remplacer la carte d'identité papier par une carte électronique (2002).

La carte eID repose sur la cryptographie asymétrique (cf. section précédente) : un certificat numérique signé par l'autorité publique est stocké dans la mémoire de la puce.

Pour comprendre le fonctionnement du ce système de type client-serveur, commençons par le plus facile : le fonctionnement du point de vue de l'utilisateur (partie "client") ensuite nous tenterons de comprendre le fonctionnement côté serveur.

Client

Pour s'identifier sur un site web de l'État au moyen de sa carte eID l'utilisateur doit connecter sur son ordinateur un lecteur de carte eID agréé, et mentionner le code PIN de sa carte (voir la page d'accès pour la Belgique). Cependant il faut préalablement installer sur l'ordinateur (i) le logiciel eID (eID Viewer), (ii) un pilote eID pour le système d'exploitation, et (iii) un module eID pour le navigateur ...

Le code PIN donne accès aux clés secrètes de la carte. Le titulaire de la carte peut le modifier dans l’eID Viewer. En cas de perte ou d'oubli du code PIN le titulaire de la carte doit se rendre auprès de son administration communale et mentionner son code PUK. Les deux codes figurent sur la lettre qui est envoyée par l'administration communale lors de l'initialisation d'une carte eID (par exemple lorsque le code PUK a été perdu).

Le logiciel eID client dialogue (i) avec le serveur eID opéré par un prestataire de services eID (cf. section suivante) et (ii) avec le lecteur de carte. Il permet notamment de modifier le code PIN, et de gérer les certificats installés sur la puce de la carte eID.

Logiciel
eID client

Malheureusement il apparaît que l'installation de ce programme pose souvent problème, notamment sur les ordinateurs dont le système d'exploitation et l'ordinateur n'ont plus été mis à jour depuis un certain temps. Il y a en outre le cas des personnes pour qui l'installation de logiciels est une opération ardue. Il en résulte que l'identification en ligne par carte eID n'est utilisée que par une minorité de la population.

  • En Belgique les cartes eID sont principalement utilisées pour accéder aux données fiscales (taxonline.be) et de pension (mypension.be). L'ensemble des applications publiques en ligne : my.belgium.be.
  • Il est particulièrement facile d'installer eID sur Linux-Debian grâce à cet excellent article (PS : nous recommandons vivement d'abandonner Windows et d'installer Debian sur votre ordinateur en écrasant définitivement Windows (après avoir sauvegardé sur une clé USB toutes les données que vous voulez récupérer, dont votre carnet d'adresses).

Une solution au problème de l'installation des logiciels est que ceux-ci soient préinstallés sur un maximum de marques d'ordinateurs (ou de systèmes d'exploitation). Mais cette solution est imparfaite car elle dépend de la volonté de l'ensemble des fabricants. Ne pourrait-on trouver mieux ? Pour répondre à cette question comparons le fonctionnement de la carte eID avec celui de la carte bancaire.

Lecteur
connecté
ou pas ?

Pour nous identifier sur le site web de notre banque nous avons besoin d'un lecteur de carte (fourni par la banque), dont l'utilisation ne requiert pas l'installation de logiciels sur notre ordinateur. Alors pourquoi doit-ce être le cas pour la carte eID ? La raison en est que le lecteur de carte bancaire (NB : qui est fourni par la banque), ne doit pas être connecté à l'ordinateur (ce qui protège le lecteur du piratage par le réseau), contrairement au lecteur de carte d'identité électronique.

Il semble que la non connexion du lecteur de carte bancaire est permise par le fait que celle-ci utilise une technique cryptographique différente, dite "symétrique".

Procédure d'identification par carte bancaire (à confirmer) :
1. utilisateur mentionne son n° de compte et n° client sur page web ;
2. site web cherche code PIN correspondant ;
3. page web affiche une série de 8 chiffres aléatoires ;
4. utilisateur entre les huit chiffres puis son code pin dans lecteur ;
5. lecteur affiche une série de 8 chiffres, qui est l'empreinte numérique de la première c-à-d celle-ci encryptée avec le code PIN ;
6. utilisateur entre empreinte sur page web ;
7. site web calcule emprunte de la première série à l'aide du code PIN (en utilisant la même algorithme que celle installée sur le lecteur), puis vérifie si elle est identique à celle envoyée par utilisateur.

NB : le code PIN n'a pas été transmis via le réseau !

Fonction de hachage --> empreinte numérique

empreinte-numerique.png

Doit-on en déduire que si le système eID utilise un lecteur connecté c'est parce que la cryptographie de la carte eID est de type asymétrique ? Pour y répondre passons à la section suivante.

Serveur

Puisque le système eID est basé sur la cryptographie asymétrique il est donc de type "Public Key Infrastructure" (PKI) que nous avons présentée dans la section consacrée aux technologies de base. Cette structure PKI implique un prestataire (public ou privé) de services eID.

Le schéma suivant représente un schéma de fonctionnement logique de l'identification officielle en réseau. Ce n'est pas le schéma du système eID, mais il aide à comprendre la problématique.

Schéma 1 : identification officielle

business-model-eID.png

Procédure logique d'identification officielle :
1. Bonjour, je suis Dupont, je voudrais visiter votre site ;
2. Cette personne est-elle vraiment Dupont ? ;
3. Quelle est votre numéro de citoyen ? ;
4. Voici mon numéro de citoyen ;
5. Ce numéro est-il celui de Dupont ;
6. Oui c'est le numéro de Dupont ;
7. Oui c'est bien Dupont ;
8. Ok Monsieur Dupont vous pouvez visiter notre site.

Mais encore faut-il qu'une identification officielle soit également opérée pour les entités "Ent. X" et "Prestataires eID privés".

Modèles

Différents modèles techniques, et partant différents modèles d'affaire, sont possibles. Il s'agit de trouver un arbitrage optimal entre des objectifs parfois antagonistes :

  • sécurité : notamment empêcher l'usurpation d'identité, et les identités multiples ;
  • confidentialité : notamment empêcher l'exploitation des données de la carte eID par le prestataire eID ;
  • facilité d'utilisation par le titulaire de carte : notamment éviter à celui-ci de devoir installer des logiciels sur son terminal ;
  • coût : déterminé notamment par les trois points précédents et la mise à jour technologique.
Prestataire eID

Le site eid.belgium.be ne fournit aucune information sur le schéma de fonctionnement côté serveur du système eID. Ce manque de transparence est inacceptable alors que les données du registre national sont impliquées. Voici le résultat de nos recherches sur Internet et de nos travaux de R&D.

Schéma 2 : requête sécurisée eID

schema-eID.png

Source

Un point essentiel de la problématique du système eID est la vérification de la validité des certificats (NB : on notera le rôle joué par le protocole de vérification de certificat en ligne OCSP à l'étape 6 du graphique ci-dessus). Il semble donc que nous avons ici la réponse à la question "pourquoi le système eID requiert-il un lecteur de carte connecté ?" : parce qu'il faut pouvoir vérifier, à chaque transaction, la validité des certificats contenus sur la puce de la carte eID.

Identification
globale

Mais une nouvelle question intéressante vient à l'esprit : pourquoi ne pas utiliser la carte eID comme moyen d'identification globale, c-à-d non seulement auprès des sites web de l'État, mais également auprès des sites d'organisations privées (par exemple pour les employés, clients et fournisseurs d'une entreprise) ?

Pour comprendre la problématique technique et juridique liée à cette question il est très instructif de faire le lien entre ce graphique et le précédent. Pour ce faire il faut considérer que l'entité "Serveur reverse-proxy + Serveur web" correspond à la fusion "Ent. A + Prestataire eID", et que "Autorité eID" correspond à "Registre national".

Schéma 1Schéma 2
Ent. A + Prestataire eIDServeur reverse-proxy + Serveur web
Registre nationalAutorité eID

En fait le schéma 2 ci-dessus correspond au cas d'une identification en ligne qui serait limitée aux sites web des seules organisations publiques. Si l'on veut que les entreprises privées puissent utiliser la carte eID pour identifier les utilisateurs de leur site web (employés, clients, fournisseurs) alors notre premier graphique permet d'identifier deux solutions : (i) l'intermédiation d'un prestataire eID ; (ii) la possibilité que chaque entreprise puisse internaliser la fonction de prestataire eID (fusion des entités "Ent. X + prestataire eID privé"). Des considérations juridiques entrent ici en ligne de compte, ainsi la législation en vigueur dans tel pays peut ne permettre aucune des deux solutions (la confidentialité requiert d'exercer un contrôle sur les informations du registre national auquel les organisations privées pourraient ou non avoir accès).

Contenu de la carte eID

La carte eID belge contient :

  • des informations visibles :
    1. nationalité du titulaire ;
    2. numéro de carte d'identité ;
    3. nom et prénoms ;
    4. photo de passeport ;
    5. date et lieu de naissance ;
    6. sexe ;
    7. numéro d'identification au registre national ;
    8. lieu de délivrance et signature de l' autorité de délivrance ;
    9. date d'expiration ;
    10. signature du titulaire ;
    11. titre de noblesse possible (roi, prince, comte, baron, etc.).
  • des informations non visibles :
    • adresse ;
    • deux certificats numériques (type X.509) pour :
      1. une paire de clés RSA pour l'authentification (preuve d'identité au moyen d'une signature électronique) ;
      2. une paire de clés RSA pour une signature électronique juridiquement valide.
    • trois certificats numériques X.509 des autorités publiques :
      1. l'autorité citoyenne (?) signant les deux certificats de liaison clés ci-dessus ;
      2. le service du registre national qui signe la photo, l'identité et le fichier d'adresses ;
      3. l'État belge.

Ne pas confondre le code PIN , qui lie la carte à son titulaire, et le le code de la carte (parfois appelé "code logique").

Mais ce n'est pas tout ... La carte eID belge contient également des données de la sécurité sociale (les données administratives d'assurance soins de santé auprès des organismes assureurs), lisibles par des personnes autorisées (dont les pharmaciens). À ces données administratives de sécurité sociale stockées sur la carte il faut ajouter les données médicales stockées dans les bases de données des organismes assureurs, et accessibles en ligne par des professionnels du secteur de la santé disposant de votre carte eID (exemple : les pharmaciens).

Ainsi, dès lors qu'une carte eID (ou votre ordinateur ...) est connectée à un réseau, la problématique de la localisation physique des données ("où se trouvent-elles") tend à s'évaporer et à être supplantée par celle de l'accès à ces données ("qui peut accéder à quelles données").

Itsme

Consortium

En 2002 la Belgique fut le premier pays au monde à instaurer la carte d'identité électronique. Quinze ans plus tard, en 2017, la Belgique introduit l'identification officielle par smartphone via un consortium ("Belgian Mobile ID") entre l'État belge, les trois grandes banques (ING, BNP Paribas Fortis, Belfius et KBC) et les trois principaux opérateurs de réseaux mobiles (Proximus, Base/Telenet et Orange) du pays [source].

Principe

itsme est une combinaison de systèmes d'identification forte publique et privée (cf. section 1). L'objectif est de simplifier l'utilisation du système par la personne identifiée. Il suffit dorénavant à celle-ci de mentionner le même code secret (cinq chiffres) chaque fois qu'elle s'identifie (se connecte) aux applications en ligne des différents membres du consortium. La carte à puce ne doit plus être utilisée (ce qui requiert un lecteur de carte) que pour l'activation du code secret.

Utilisation

L'application Itsme, une fois installée sur le smartphone de l'utilisateur, permet à celui-ci de se connecter de manière sûre à des sites internet, de confirmer des transactions en ligne, d’introduire une demande de documents officiels et de les signer en ligne. Pour ce faire il suffit à l’utilisateur de saisir son code secret (à cinq chiffres) sur son smartphone, ou d'y scanner son empreinte digitale.

Activation

L'activation se fait soit via la carte bancaire, soit via la carte d'identité électronique. Une fois l'activation réalisée, le lecteur de carte n'est plus nécessaire pour utiliser itsme.

Cadre légal

La législation belge a du être modifiée afin de permettre aux acteurs privés « de participer au processus d’identification là où auparavant seul un acteur public y était autorisé » [source]. Mais si seul l'État y était autorisé n'était-ce pas pour de bonnes raisons ? Quelles sont-elles ?

La nouvelle législation marque clairement une renoncement de l'État à ses prérogatives, au bénéfice d'entreprises privées :

  • Il s'agit notamment d'intégrer des services d'identification privés dans le service d'authentification de l'État via (l'application itsme est une de ces applications candidates à cet agrément), ce qui implique que ces prestataires privés auront connaissance du numéro de registre national des utilisateurs ! [source, p. 17] ;

  • Les prestataires ne sont pas tenus de donner accès au code source ! [source, p. 17].

  • « Les pouvoirs publics devront désormais accepter tous les moyens d’identification en ligne au niveau de sécurité qu’ils ont prévu pour un service donné, indépendamment du concepteur, qu’il soit privé ou public » ! [source, p. 5] ;

  • « Le Roi se voit conférer le pouvoir discrétionnaire de fixer toutes les conditions que doivent remplir les entreprises pour avoir accès aux données à caractère personnel » ! [source, p. 8];

  • Les propos du ministre en charge du dossier suggèrent que l'État n'aurait aucun droit de regard sur la politique commerciale du consortium ! [source, p. 17] ;

  • Hallucinante naïveté du ministre à l'origine du projet : « Les données à caractère personnel ne peuvent pas être utilisées à des fins commerciales, parce que la loi l’interdit » [source, p. 9]. Ainsi donc les crimes ne peuvent être commis parce que la loi les interdit !

Il serait utile de dresser une liste exhaustive des modifications et ajouts qui ont été apportés aux cadre légal pour rendre Itsme licite.

À vérifier

Un modèle technique et commercial aurait pu être conçu, qui aurait rapporté à l'État une rente au formidable potentiel. Une entreprise 100% publique aurait pu proposer aux entreprises privées, via une plateforme, un service d'identification publique de même type que celui de la validation en ligne des cartes Visa. L'État aurait ainsi pu exploiter commercialement son registre national, tout en en préservant sa confidentialité. Concernant le développement il suffisait à l'État de publier des spécifications (pour la connexion au réseau informatique de l'État) à respecter par les entreprises privées de développement open source pour être éligibles à un appel d'offre publique.

Conclusion

Avec l'identification officielle des utilisateurs d'applications en réseau on se rapproche encore un peu plus :

Les autres articles du dossier "Cyberdémocratie" :