Stratégie de filière de l’identité numérique ?

Le volet économique de la politique numérique du gouvernement est déjà une avancée en soit. Mais l’Alliance pour la Confiance Numérique appelle à la mise en place « d’une stratégie de filière de l’identité numérique et de ses usages » permettant la promotion des savoir-faire des entreprises françaises. « La France a de grands champions. Ils doivent pouvoir s’appuyer sur leur marché domestique pour avoir une base sûre, saine et durable, et se renforcer à l’export. » souligne l’association et de rappeler « conforter le tissu industriel (PME et grands groupes) qui développe ces technologies sensibles sur le territoire grâce à l’élan d’un projet national contribuera à la création de richesses et d’emplois. » 

Parmi les leaders figure IDEMIA, numéro 1 mondial des solutions d’identification multi-biométrique (empreintes digitales, visage et iris) travaille en étroite collaboration avec les gouvernements et les industriels pour répondre aux défis majeurs de la société liés à la sécurité et à l’identité afin d’atteindre un objectif commun : faciliter et sécuriser la vie au quotidien. « Les technologies numériques ont profondément modifié notre approche de la sécurité des données pour répondre au risque accru d’usurpation d’identité. En nous appuyant sur notre expertise dans les technologies biométriques, nous développons des solutions globales permettant aux gouvernements et aux entreprises de créer et de gérer les identités physiques et numériques. Ceci garantit un accès sécurisé aux services en ligne et permet de lutter contre l’usurpation d’identité. » souligne Oudomsanith Bresson, en charge du marketing de la Business Unit Identité civile. Des solutions qui contribuent également à la réussite de projets sociétaux comme le programme Aadhaar en Inde qui octroie aux citoyens une identité reconnue et sécurisée liée à leurs données biométriques. « Au mois d’avril 2016, déjà plus de 1,2 milliards de résidents indiens avaient une identité unique leur donnant accès à des services vitaux comme l’enseignement et les soins de santé. » ajoute Oudomsanith Bresson.

De l’identité physique infalsifiable…

Les documents d’identité et de voyage (cartes nationales d’identité, permis de conduire, passeports, visas ou encore certificats d’immatriculation) sont des moyens de contrôle fondamentaux pour un pays. Malgré la migration vers le numérique ces documents d’identité ont encore quelques dizaines d’années devant eux, avant de laisser place au tout numérique. Surys, PME française experte dans la fabrication de laminat holographique de haute sécurité pour les documents identitaires depuis plus de 30 ans, s’intéresse et travaille sur ces nouveaux enjeux depuis déjà quelques années. « Nous venons de remporter sur la fin d’année 2017 le marché de la carte d’identité de Hong Kong avec des partenaires comme IDEMIA. » souligne Corinne Murcia-Giudicelli, Directrice des Affaires Stratégiques et Relations Institutionnelles du Groupe SURYS. Le marché de l’identité physique est donc toujours dynamique mais appelle à une migration des savoir-faire. « Nous capitalisons sur notre coeur de métier tout en innovant afin de répondre aux enjeux du numérique et de la dématérialisation. Depuis plus de 10 ans maintenant, nous avons constaté un fort développement de l’identité virtuelle et numérique. Les données sont alors stockées sur des supports numériques (le cloud, la blockchain…). L’identité se dématérialise. Il nous faut donc migrer d’un monde à un autre. Mais comme tout changement, cela doit se faire progressivement. Les deux identités physiques et numériques vont devoir cohabiter encore quelques années ». Pour assurer l’évolution d’un monde physique vers un monde numérique et mobile, les entreprises françaises ne cesse d’innover. IDEMIA mobilise 30% de ses effectifs pour sa R&D, 8% de son chiffre d’affaires a été investi en R&D en 2014. La même année, le leader mondial déposait 73 brevets. « Nous exploitons l’un des centres de recherche les plus importants au monde spécialisé dans les solutions d’identification, mais nous sommes également la seule entreprise qui maîtrise toutes les technologies liées à la sécurité de l’identité numérique » ajoute Grégory Kuhlmey, en charge du développement de l’offre Identité digitale. Parmi celles-ci, figure la reconnaissance faciale, la sécurisation des documents d’identité pour lutter contre la fraude et la contrefaçon, et la cryptographie ou lorsque les mathématiques deviennent garantes de la sécurité numérique. L’authentification forte permet elle de sécuriser l’économie numérique et de générer de la confiance entre les utilisateurs et les infrastructures qui partagent, conservent et échangent leurs informations personnelles et privées. La signature électronique sécurise les e-transactions, quand l’archivage électronique et la traçabilité permettent la conservation intègre des données sur le long terme.

… vers une authentification automatisée hors ligne

Surys investit pour sa part dans la création d’une passerelle entre ces deux univers physique et numérique. Le résultat porte le nom de Photometrix™. Initialement primitive, la falsification de document d’identité s’est complexifiée ces dernières années avec le développement des outils numériques manipulant les photos et permettant l’insertion d’images transformées. Ces types de falsifications peuvent tromper un contrôle visuel. C’est ainsi que Photometrix™ assure une authentification automatisée hors ligne de la photo pour garantir qu’elle n’a pas été manipulée. « C’est une combinaison alliant une image et un code barre 2D qui permet cette authentification automatisée hors ligne. Cette fonctionnalité est basée sur la signature numérique et son intégration, avec une quantité limitée de données, dans un code barre 2D sécurisé. Ce code assure l’authenticité de la photo affichée. » explique Corinne Murcia-Giudicelli.

L’identité numérique se doit d’être au service de la protection des données personnelles.

 

Cryptographie & authentification forte

Le code Photometrix™ est réalisé grâce à un mécanisme de codage. A partir de la photographie numérique du titulaire de la carte, le système extrait un certain nombre d’éléments spécifiques à l’image. Ces éléments sont compressés et sont représentés par un nuage de points. L’ensemble des données est ensuite signé en utilisant un algorithme de signature cryptographique asymétrique (Courbe elliptique DSA 512bits), afin de prouver que l’information a été émise par une source de confiance. « Ce mécanisme garantit l’authenticité de l’information avec un niveau de sécurité gouvernemental. » affirme Corinne Murcia-Giudicelli. Le concept Photometrix™ comporte suffisamment de redondance pour que son contrôle puisse être effectué même après les dommages habituels du cycle de vie des documents tels que les rayures, la poussière, la saleté ou les tâches. Le contrôle du code Photometrix™ est réalisé à l’aide d’une application dédiée et d’un smartphone standard, pouvant indifféremment vérifier un code physique ou dématérialisé. « Simple, rapide et présenté à un faible coût, Photometrix™ est construit de manière à ce que son authentification automatique soit effectuée avec un smartphone standard via une application dédiée et sécurisée. Avec les éléments de cryptographie des données, il est aussi conforme au RGPD. » ajoute Corinne Murcia-Giudicelli.

Vers la dématérialisation de l’Identité

Le processus de la solution est donc simple et permet une dématérialisation de l’identité. C’est en ce sens une solution de transition vers une identité totalement numérique. « Extrêmement simple à mettre en œuvre, Photometrix™ est aussi une solution d’accompagnement des citoyens dans le changement culturel vers l’identité virtuelle. » ajoute Corinne Murcia-Giudicelli. Alors que certains pays dispose déjà de pilotes de la solution, notamment dans l’Océan Indien, le Ministère de l’intérieur français semble porter un intérêt particulier à cette innovation. Mais la PME va plus loin encore. Elle est actuellement engagée dans une phase de prototype de développement d’une solution permettant l’authentification d’une personne dans le monde virtuel. Développé conjointement avec le laboratoire de l’Université Technologique de Troyes (UTT), Facespoofing permettra de sécuriser l’authentification d’un visage, de prouver que vous êtes bien vous malgré que vous soyez derrière votre mobile ou écran d’ordinateur. Rendu possible grâce notamment au traitement de l’image, SURYS fait là encore appelle à ses savoir-faire ancestraux, tout en les adaptant aux nouveaux usages et besoins futurs.Un concept que la PME souhaiterait lancer avec un gouvernement pilote, en Europe… Mais il faudra attendre encore 2 ou 3 ans pour que la technologie soit totalement mature. L’avenir de l’identité virtuelle se construit et se consolide, sans nul doute.

Intégrité et confidentialité des données, toujours

Dans le même esprit, Advanced Track & Trace®, une autre PME française, a développé SealCrypt®, un code qui permet de protéger l’intégrité et la confidentialité des données, de garantir l’origine du document et de maintenir sa valeur légale, quelles que soient les étapes de vie du document. Le code SealCrypt permet lui aussi la signature électronique d’un document. Se présentant sous la forme d’un code 2D, SealCrypt apporte les garanties d’intégrité du fichier : contenu authentique, non-manipulé et émetteur certifié. Code hybride, il permet de maintenir les données et la sécurité de la signature numérique tant après son impression physique que dans sa vie numérique. La relecture et l’authentification de la signature se font par smartphone ou PC, grâce à une application dédiée. Les informations stockées dans le SealCrypt peuvent être aussi bien du texte, des images ou des données biométriques. « Toutes les informations sont stockées dans le code et aucune base de données n’est nécessaire. SealCrypt répond ainsi au besoin grandissant de biométrie et de protection des données privées de chaque citoyen. Le code est directement intégré à la photo. Le stockage des données est très important, jusqu’à 2 kbits actuellement » explique Jean-Pierre Riquier, Business Development Director chez Advanced Track & Trace. Par ailleurs, la PME est membre de la plateforme et coopérative Ævatar, lancée il y a tout juste un an. « Société Coopérative d’Intérêt Collectif, Ævatar conçoit, produit et opère une plateforme coopérative de gestion d’identité numérique basée sur la Blockchain. Accessible via une application dont l’accès est sécurisé par la prise d’un selfie, la plateforme permet la création, par son utilisateur, d’un porte-identités (ID wallet) mobile. Elle est conçue pour faciliter la conformité des entreprises aux exigences des réglementations sur la protection des données personnelles (GDPR, PSD2/AML4, eIDAS..) » explique David Robert, co-fondateur et PDG d’Aevatar. La solution Ævatar inclut trois produits : une application de porte-identité qui génère des tokens biométriques valables qu’une seule fois (Biometric-One-Time-Token, BOTT), pour authentifier de façon forte et facile les citoyens dans leurs transactions de la vie quotidienne ; une API ouverte, conforme aux environnements IAM du marché, qui gère les interactions entre l’application MyÆvatar et les serveurs des entreprises ; et un coffre-fort de données personnelles qui reste sous le contrôle exclusif de l’utilisateur. « Nous avons développé une plateforme européenne de l’identité numérique avec une approche éthique, responsable et basée sur la transparence l’une des valeurs fortes par nos membres, tout comme l’excellence technique et la gouvernance. » ajoute David Bernard. Avec 7 premiers adhérents, Ævatar a séduit Wari, la plateforme de paiement en Afrique qui réunit 212 millions d’utilisateurs, enregistre 1 million de transactions par jour et 6 milliards de dollars de flux annuels. La technologie d’Advanced Track & Trace® est notamment intégrée dans ce projet. Wari fait partie de ces néo-banques qui constituent un marché de prédilection pour la coopérative, tout comme le monde du retail et de la distribution. « Les règlementations, RGPD, eIDAS, DSP2… ne sont pas des  contraintes mais une arme de conquête de marché » souligne David Robert qui entend partir à l’assaut de l’Amérique du Sud, poursuivre son développement Afrique « où les attentes sont fortes. » sans oublier les marchés européens et bien entendu français, mais aussi Australien…

Le smartphone : un portefeuille d’identité numérique sécurisé

La gestion de l’identité numérique est un enjeu majeur de la transformation numérique. L’identité numérique se doit d’être au service de la protection des données personnelles. L’essor de l’Internet des objets rend le défi de la gestion efficace de l’identité numérique des personnes et des objets encore plus complexe. Le smartphone, objet incontournable de notre quotidien devient alors un portefeuille d’identité numérique. IDEMIA lui ajoute sa dimension sécurité. En effet, le groupe  a développé Licence2Go, une nouvelle solution qui transforme le smartphones en portefeuille d’identité numérique sécurisé qui regroupe toutes les licences digitalisées de son détenteur. Une solution qui fait ses preuves dans le cadre d’un projet pilote en Asie-Pacifique. Licence2Go se compose de deux applications mobiles, la « e-wallet app », qui permet une numérisation sécurisée de toutes les licences en un seul portefeuille électronique, et la « verification app » qui permet une vérification fiable des données par un agent habilité. Chaque citoyen peut télécharger l’application « e-wallet », unique et sécurisée, qui lui permet de transférer ses informations d’identification dans son smartphone. L’utilisateur peut enregistrer à distance plusieurs licences auprès de différents fournisseurs de service, qu’ils soient d’ordre public -permis de conduire, permis bateau, permis de pêche, carte de santé, document d’identité- ou privé -carte de membre d’un club, carte de fidélité, carte d’entreprise-, tout en gardant ses données personnelles sous son contrôle, à tout instant. Chaque citoyen peut ensuite présenter, via son smartphone, son permis à la police ou à un agent habilité qui, à l’aide de l’application de contrôle, effectue les vérifications nécessaires des données avec un smartphone dédié. « Selon le service ou la transaction, le citoyen peut choisir le document à présenter et l’information à partager, mais n’a, en aucun cas, besoin de remettre son smartphone entre les mains de l’agent habilité. L’application de contrôle et l’agent respectent donc pleinement sa vie privée. » explique Grégory Kuhlmey.