La blockchain est la révolution digitale du moment, la promesse d’un système inviolable, à la sécurité sans faille. Mais à l’heure où cette technologie est encore à l’épreuve, c’est sur la gestion de l’identité des utilisateurs du système que se portent les enjeux, notamment pour les institutions financières.
Par Sabine Guillot
La technologie Blockchain est devenue un élément clé dans la plupart des solutions innovantes, notamment dans le secteur financier. Les projets se multiplient, comme nous l’explique Philippe Serafin, en charge de l’équipe française Innovation de Sopra Banking Software. Avec ses 3 500 experts, Sopra Banking Software est le partenaire de confiance de plus de 800 banques dans 70 pays. Son savoir-faire lui permet de répondre aux besoins d’innovation et de développement de banques et institutions financières de toute taille et activité.
Philippe Serafin travaille sur l’intelligence artificielle, la biométrie, le digital… et la blockchain, bien sûr. « Dans un paysage bancaire qui évolue très vite, impliquant de nouveaux usages et acteurs, les institutions financières au sens large ont été parmi les premières à s’intéresser à la technologie blockchain, via le bitcoin au départ », explique Philippe Serafin. Ce nouvel écosystème bancaire ne manque pas de poser nombre d’interrogations, sur les thèmes de la confiance, du respect de la vie privée et la confidentialité des données personnelles, mais aussi de l’identité.
Pourquoi s’intéresser à la blockchain quand on parle d’identité numérique ? Avant tout parce que la technologie répond aux caractéristiques de la gestion d’une identité au sens large, l’un des enjeux majeurs pour les institutions financières. Le General Data Protection Regulation (GDPR), ensemble de dispositions imposées au sein de l’Union européenne pour garantir la protection des données à caractère personnel, entrera en application en mai 2018, mettant au centre des réflexions la reconnaissance des personnes qui vont venir interroger le système bancaire. « Il faut enregistrer l’activité à des fins d’audits externes et interne, souligne Philippe Serafin. Il y a bien sûr un souci de sécurité, mais aussi une problématique autour de la monétisation de ces accès : tous ces arguments sont suffisamment intéressants pour commencer à lier blockchain et identité numérique. »
Un rapport du World Economic Forum publié en août 2016 a défini l’utilisation de l’identité digitale comme l’un des points essentiels d’innovation pour les institutions financières pour les années à venir. « La technologie blockchain apporte des gages sur le plan fonctionnel et technique. Pour autant, cela reste une technologie expérimentale », prévient Philippe Serafin.
Remettre l’utilisateur au centre du dispositif
En tant qu’utilisateur, que peut apporter la technologie blockchain ? Citons l’exemple du système Facebook connect, qui vous permet de vous identifier sur différents sites web partenaires de Facebook, qui agit alors comme intermédiaire de sécurité. C’est une solution pratique, qui évite d’avoir à enregistrer un nouvel identifiant. L’inconvénient, c’est que vous passez par un intermédiaire privé qui stocke vos usages sur ces différents sites, et peut être amené à faire du commerce autour de ces informations. Une blockchain peut permettre de contourner ce système. « On peut remettre l’utilisateur au centre de l’utilisation des différentes composantes qui constituent son identité et lui permettre de les actionner en fonction de ses besoins », explique Philippe Serafin.
La problématique des intermédiaires a été identifiée par l’Union européenne et est au centre de la Payment Services Directive 2 (PSD2), qui impose aux banques d’ouvrir à partir de 2018 leur système à un certain nombre de tiers de confiance. Cette ouverture se fera par des Applications Programming Interface (API), une solution informatique qui permet à des applications de communiquer entre elles et de s’échanger mutuellement des services. Prenons l’exemple des agrégateurs de comptes. Je donne mes identifiants à un intermédiaire qui va se connecter à ma place sur différents sites pour récupérer les informations et m’en faire une synthèse. C’est utile, mais on passe par un intermédiaire à qui il faut confier identifiants et mots de passe. « Avec une blockchain, cela peut être évité. L’agrégateur peut toujours fournir le service, mais sans avoir besoin de posséder les login et mot de passe de l’utilisateur. C’est un confort d’utilisation et une sécurité supplémentaires pour l’utilisateur. Pour les institutions, y compris les banques, il faut s’assurer que les personnes qui viennent se connecter au système sont authentifiées et autorisées », estime Philippe Serafin.
Sécuriser les blockchain
Aujourd’hui, la technologie blockchain s’appuie sur des principes cryptographiques et de mécanique qui ont été éprouvés depuis le lancement de bitcoin et des crypto-monnaies. Si plusieurs scandales ont éclaté, à ce jour jamais aucune blockchain n’a été mise en défaut. Mais potentiellement, il y a toujours une faille. Outre les aspects de cybersécurité traités par les experts sur le plan technique, il faut s’intéresser à ce qui va vraiment être stocké sur la blockchain. « Si j’y place mon identité officielle, une sorte de carte d’identité numérique, et que la blockchain se fait hacker, je perds mon identité. L’une des solutions consiste à stocker les informations chez l’utilisateur ou chez un tiers. La blockchain reste le garant du bon usage de ces informations et du fait que les personnes qui vont se connecter sont les bonnes. Même si quelqu’un arrive à craquer la blockchain, il ne pourra toujours pas accéder aux données. » Autre solution mise en œuvre, notamment par Sopra Banking Software : la création de blockchain s’appuyant sur des données entièrement cryptées.
Des entreprises proposent également des solutions d’authentification forte conçues pour sécuriser les accès des utilisateurs. C’est un service complémentaire de celui des entreprises qui développent des applications. Olivier Perroquin, directeur général de inWebo technologies, un éditeur de sécurité indépendant, dont le métier premier est l’authentification forte explique « Le système blockchain enregistre les blocs, ou transactions, en les chaînant et en les rendant non modifiables par structure cryptographique, mais aussi par répartition. Mais si la structure de ce qui est stocké est sécurisée, la façon dont on y accède ne l’est pas. Il faut sécuriser ce point d’entrée ». La technologie inWebo ajoute une couche de sécurité en transformant tout appareil (ordinateur, mobile, tablette…) en facteur d’authentification. « Ce que vous possédez dans une blockchain, par exemple de l’argent, est représenté par la possession de votre clé privée. Aujourd’hui, cette clé se résume essentiellement à posséder un fichier de clé sur le disque dur de votre PC. Si vous perdez ou vous faites voler votre disque dur, tout est perdu. Nous proposons donc des clés privées stockées dans les Hardware Security Modules (HSM). Et pour accéder à votre clé privée, la meilleure façon est d’avoir une authentification forte. » En matière de protection de l’identité numérique, tout le monde a à y gagner !