Identité numérique

Pour lancer la série de billets dédiées à la problématique “entreprise” de l’identité numérique, je vous propose de revenir sur cette question fondamentale.

L’identité numérique c’est la représentation numérique de l’identité (jusque là ça va) dans un réseau d’interactions avec des personnes ou des systèmes automatisés. Son but est de permettre et de faciliter les interactions présentes dans le monde “réel” afin de fournir des facteurs de confiance équivalents.

Ses attributs :

L’identité numérique a besoin d’autant d’attributs que le requiert la transaction particulière, chacune n’ayant pas les mêmes besoins de sécurité. L’identité numérique se divise donc en deux parties :

1. Qui est la personne (son identité)

2. Les certificats (droits) que l’on détient (attributs de cette identité)

Ces droits peuvent être de différents types et dépendent de plusieurs facteurs mais aussi de l’utilisation qui en est faite. L’identité numérique est quelque peu complexe et se réfère à des notions légales tout autant que techniques. Cependant, la manière la plus simple de définir une identité numérique reste encore le couple identifiant /mot de passe comme ce que l’on utilise actuellement.

Dans cette vision, l’identifiant fait office d’identité et le mot de passe de certificat d’authentification. Avec l’avènement des réseaux et notamment d’Internet, l’identité numérique se doit d’être authentifiée de manière plus forte afin de permettre une interaction mieux contrôlée et plus sécurisée tout en simplifiant l’expérience de l’utilisateur. L’objectif étant de rendre l’identité numérique aussi complexe et facile d’utilisation que l’identité réelle (civile). On peut ainsi imaginer qu’elle permettra de faciliter ces différentes opérations :

- Authentification : Prouver la présence d’une personne dans une transaction

D’un point de vue de la sécurité, l’identité numérique doit prouver que l’acteur (un utilisateur par exemple) est bien ce qu’il prétend être dans la transaction numérique en cours. Toute transaction prouvant que l’identité numérique affichée représente bien ce qu’elle annonce est appelée processus d’authentification. Sans cela, aucun autre attribut ne peut être considéré comme valable. Comme le suggère le mot, l’authentification permet de prouver que mon identité est authentique et qu’elle est de confiance pour les droits qui lui sont attribués.

Ex : Dans le cas d’un accès à un site Internet réservé aux adultes, tant que j’ai pas prouvé que je suis la personne titulaire du compte, il me sera impossible de prouver ma majorité. Sans m’être authentifié, il m’est impossible de faire valoir mes droits d’accès aux services. Le niveau d’authentification requis dépend directement de l’importance de la transaction, l’accès à un forum requérant moins de sécurité que l’accès à son compte bancaire en ligne.

L’utilisation d’un facteur d’authentification simple n’est pas vraiment sécurisé car cela ne prouve pas l’identité de la personne l’utilisant. Il suffit de donner ses accès (identifiant/mot de passe) pour qu’une personne puisse utiliser votre compte.

La multiplication des facteurs d’authentification augmentent les droits nécessaires qu’il faut prouver pour accéder aux informations, cela peut même passer par des processus externes. Le meilleur exemple en la matière est la double authentification par un matériel hardware (type clef USB) et un mot de passe. Le processus est alors plus sécurisé car il dépend de 2 facteurs (l’un ne fonctionnant pas sans l’autre). Si l’on ajoute à cela la biométrie, on peut très bien imaginer que cette chose à détenir, c’est quelque chose dont vous êtes formé (votre iris, votre empreinte).

Dans le monde réel, nous utilisons plusieurs méthodes d’authentification auxquelles nous nous sommes habituées. La lettre, le recommandé, l’acte notarié, la carte d’identité, le permis de conduire, la carte de crédit en sont de parfaits exemples. Avec l’évolution de l’identité numérique, nous pouvons imaginer que chacun de ces supports aura sont équivalent.

=> Ce qu’il faut retenir c’est que la partie authentification de l’identité numérique existe exclusivement afin de prouver qui demande à accéder à l’information avec le niveau de sécurité requis par celle-ci, le tout avec un risque de falsification limité.

- Autorisation : Permettre d’autoriser l’accès à certaines données ou applications

Une fois identifié, authentifié, le niveau opérationnel suivant est l’autorisation ou contrôle d’accès. Cela revient à octroyer à chaque identité l’autorisation d’accès à certaines données ou certains systèmes. En fonction de la technologie cela peut être réalisé de deux manières; par l’octroi de droits que “l’identité” peut ainsi transporter et présenter de système en système, ou par l’ouverture de circuits permettant des accès sélectifs à cette identité. C’est généralement la seconde solution qui est utilisée, c’est notamment le cas des identifiants/mot de passe pour l’accès à un site. L’autorisation est une notion souvent aisée à comprendre mais technologiquement complexe à mettre en place.

- Confidentialité : Assure qu’une personne non-autorisée ne peut intercepter des informations transmises.

Cette sécurité est assurée par le cryptage des données, mais ce sera l’identité numérique qui va stocker les certificats nécessaires à la confidentialité par cryptage.

- Intégrité des donnés : En utilisant de modèles de cryptage privé/public afin d’assurer l’origine de la source d’une donnée.

Après s’être assuré de la confidentialité des données par leur cryptage, il faut également s’assurer que celles-ci n’ont pas été altérées et/ou modifiées durant la transmission. La signature digitale associée à un cryptage spécifique permet de certifier cette opération.

- Source du document : Utilisation du cryptage pour assurer l’originalité de la source du document.

Si l’identité numérique supporte le certificat de signature numérique, il peuvent assurer dans certains cas de figures (transactions spécifiques) un cryptage spécifique des données avec leur propre signature prouvant ainsi l’expéditeur. Cela certifie qu’une identité spécifique a signé et envoyé ces informations.

- Non rejet : L’utilisation du cryptage pour vérifier la source et le destinataire de l’entité d’une transaction

Dans la lignée de la capacité de certification de la source d’un document il est également possible de prouver qu’une identité a envoyé des données à une personne précise.

- Réputation : Agrégation de plusieurs sources d’informations vérifiées et basées sur l’historique des transactions.

La signature numérique permet à l’identité d’engager une transaction où les 2 entités sont connus de manière fiable et peuvent transporter des données qui ne peuvent être modifiés sans être affichés, il devient alors possible de construire une réputation à partir d’interactions entre les identités. Cela permet des interactions complexes entre les identités qui peuvent croître et imiter les interactions que vous avons entre êtres humains (pour cela le niveau d’extrapolation doit être fort !).

Une identité numérique permet des transactions dans lesquelles les parties ne sont pas au même endroit au même moment tout en conservant les attributs inhérents à une transaction entre deux personnes. Pour assurer cela, elle doit se sécuriser d’avantage.

Source :

http://www.digitalidworld.com/

Catégorie : Entreprises

none ~