Tirer parti des titres sécurisés portant une identité électronique

Avant de savoir ce qu’apportent les technologies numériques aux problématiques d’ identité, il est bon de définir ce que sont ces problématiques.

Un titre d'identité est un titre lié à ce qui constitue l'individualité d' une personne. Le titre n'est pas nécessairement un titre régalien ; ainsi une carte professionnelle attribuée à un individu constitue un titre d'identité dans un cadre précis.

Dans tous ces cas, toutefois, les usages qui sont liés ou qui sont potentiellement associés nécessitent d'avoir un degré de confiance important dans l'authenticité du titre et de l'appartenance de celui-ci au porteur. Parmi les titres qui intègrent progressivement de plus en plus de capacités électroniques, on trouve notamment :

Les cartes nationales d'identité, les passeports et visas, les cartes de sécurité sociale, les permis de conduire et cartes grises, les cartes professionnelles (chauffeur routier...), les cartes d'agents (personnel administratif, gendarme, professionnel de santé...), les fonctions de ces titres au jour le jour, etc.

Les fonctions les plus immédiates de ces titres sont au nombre de trois : l' identification, l'authentification et la signature électronique, par ordre de complexité croissant.

Identification

L'identification ou authentification faible signifie simplement la transmission des identifiants contenus dans le titre électronique. Dans des cas où l'assurance absolue de la présence de la personne n'est pas requise, c'est un moyen simple et rapide d'accéder à des informations personnelles. La simple introduction du titre dans un dispositif de lecture permet de transmettre les informations, sans saisie préalable. Le support de cette identification est le titre, sans autre mesure associée.

Authentification

Il est souvent requis d'avoir la garantie que la personne est bien celle qu' elle prétend être. Un simple titre présenté, qui plus est à travers Internet et donc sans contrôle visuel, ne garantit pas vraiment l'identité de la personne. Pour que l'authentification soit dite forte, il faut la convergence de deux facteurs de nature différente parmi les trois suivants : ce que l'on possède, ce que l'on connait et ce que l'on est. Le fait de pouvoir prouver la possession de la carte au moment de l' authentification ainsi que la présentation d'un code PIN (que l'on est seul à connaître) est la solution qui est le plus souvent employée.

On introduit par exemple un certificat à l'intérieur du titre, remonté par le titre sur présentation d'un code PIN, mais d'autres méthodes algorithmiques, là aussi dépendantes de la présentation d'un code PIN, sont utilisables (algorithmes symétriques par exemple, comme dans les cartes bancaires).

Signature

Enfin, un usage avancé permet la signature de documents ou d'opérations. Dans ce cas, la présentation d'un code PIN au titre est également requise pour matérialiser la volonté explicite du porteur, mais celui-ci a lieu dans un contexte particulier, dans lequel, couramment (dans le cas d'une infrastructure avec certificats) le certificat remonté sera associé au document qui aura été signé. C'est une opération plus complexe car elle requiert une infrastructure logicielle traitant la signature électronique de document.

Sécurité

Le premier point est la sécurité du titre, c'est-à-dire la capacité à garantir l'intégrité et l'authenticité du titre et donc de l'information contenue, ainsi que l'authentification du porteur de titre, le cas échéant. La fraude à l'identité est une menace croissante et la nécessité de recourir à des moyens toujours plus avancés pour lutter contre ce danger a fait jour. La multiplication des moyens physiques de lutte contre la contrefaçon atteint des limites.

En effet, les experts estiment désormais que les mesures de sécurité passives (peintures spéciales, hologrammes...) ne sont plus suffisantes et donc recommandent de mettre en place des mesures actives, via l'ajout d'un microprocesseur sécurisé comme sur les cartes bancaires en Europe.

D'autre part, les personnes en charge de la vérification de ces titres ne peuvent pas nécessairement toujours disposer des outils complexes ni de la formation nécessaire pour détecter les titres frauduleux. Enfin et surtout, les moyens physiques ne peuvent s'étendre à d'autres domaines qui désormais se sont développés : ceux des transactions distantes, en particulier via Internet.

Ergonomie

C'est là, principalement, que l'on trouve l'intérêt principal pour l' utilisateur. L'ergonomie des titres sécurisés électroniques est bien supérieure, pour une plus grande sécurité, aux systèmes existants jusqu'à présent.

D'un monde d'identifiants multiples et de mots de passe toujours plus nombreux, de références à multiplier, on passe à des capacités d' authentification simple ou avancée, où l'accès aux services en ligne, basés sur l'identité, se fait grâce au titre sécurisé et à un simple dispositif de lecture, accompagné ou pas de l'entrée d'un code PIN, plus simple à retenir qu'un mot de passe alphanumérique. Par ailleurs, cela s'approche d'un modèle déjà très bien intégré par l' utilisateur : celui de sa carte bancaire.

Productivité

Enfin, un autre axe fort pour l'utilisation des titres électronique repose sur la capacité de dématérialisation des procédures et actes administratifs ou légaux. Des sources de productivité très importantes peuvent être libérées par l' adoption de systèmes reposant sur la capacité des personnes à signer numériquement des documents et ainsi à engendrer une chaîne complète d' opérations administratives et d'actes dématérialisés, depuis leur création jusqu'à leur archivage, en passant par les étapes de validation et de signature.

C'est une motivation qui concerne en premier lieu les administrations et les entreprises, mais qui pourrait également rapidement se propager dans le domaine marchand (signature de contrats en ligne).

Les services aux citoyens

Un des premiers usages, et des plus accessibles pour le grand public, est celui de l'authentification en ligne. Un simple lecteur de carte connecté au PC familial, automatiquement reconnu par l'ordinateur, permet de recevoir une carte à puce qui contient un certificat ou un autre secret (algorithme symétrique) associé à un et un seul compte sur un site Internet particulier.

Au-delà de la sécurité apportée par un certificat ou un mot de passe à usage unique généré par un algorithme symétrique, bien supérieure à celle d'un simple mot de passe, l'intérêt de l'usage d'une carte d'identité (quelle qu' elle soit, il est important de le rappeler) apparait en deux étapes. Dans un premier temps, l'internaute bénéficie directement de l'amélioration de l'ergonomie et de la rapidité d'accès à ses sites privés.

Dans un second temps, l'abandon progressif des multiples mots de passes permet de passer un cap, cette multiplication n'étant plus un frein à un usage plus généralisé de l'Internet, pour des démarches mineures comme pour des opérations plus fondamentales.

Guichets et solutions libre service

Sans aller jusqu'à la dématérialisation complète des relations entre citoyens et administration, les titres sécurisés peuvent être utilisés pour accélérer et sécuriser les transactions aux guichets. L'utilisation du titre permet de gagner beaucoup de temps et d'authentifier le demandeur (de manière forte - avec code PIN, ou faible - par présentation du titre valide).

Pour les citoyens non équipés de dispositifs informatiques ou d'accès Internet, des bornes libre-service peuvent également être installées dans des lieux publics, de manière à permettre l'accès à des services de manière plus libre et rapide que via les guichets classiques, qui pourront être réservés aux cas les plus délicats et complexes. Des terminaux adaptés, à l' instar des points de mise à jour de cartes santé en France, peuvent être installés dans des lieux très divers et avec une très grande flexibilité.

Identité électronique et administration

Dans un cadre plus professionnel, les cartes d'identité à puce peuvent devenir un accélérateur de dématérialisation des procédures et des échanges dans les entreprises et administrations. Pour une demande de visa étranger, il est nécessaire, généralement, de passer par une voie physique, avec signature à la main des documents à viser. Cela entraine aussi bien une dépense (frais d'impression, encre), l'utilisation de papier en grandes quantités, la nécessité de stocker les documents ainsi visés, mais aussi une perte de temps appréciable.

La possibilité de maintenir un processus totalement dématérialisé, pendant toute la vie d'un document, permet de réaliser des gains de productivité importants, et d'accélérer les procédures. Cela permet également, plus largement, d'effectuer des démarches en ligne, pour les professionnels comme pour les particuliers.

Contrôle en mobilité

Enfin, bien entendu, les titres sécurisés réduisent les possibilités pour des délinquants ou criminels de falsifier des titres afin d'échapper à des contrôles policiers. Les capacités électroniques, souvent renforcées par la présence d'informations biométrique, donnent des outils puissants aux forces de l'ordre pour pouvoir contrôler l'identité des personnes soupçonnées d' avoir commis des délits ou d'être en infraction.

Des terminaux de contrôle en mobilité dédié peuvent discriminer avec exactitude le titre valide de celui qui ne l'est pas. La sécurité numérique, au contraire des dispositifs classiques de lutte contre la contrefaçon, ne nécessite ni équipement en évolution constante, ni formation complexe. Des terminaux adaptables et à l'ergonomie avancée rendent ces services à toutes personne habilitée à vérifier les identités.

Il est essentiel de souligner également que le contrôle de titre électronique, en raison de la complexité croissante des mesures physiques de lutte contre la contrefaçon (hologrammes, peintures spéciales...), nécessite d'utiliser un matériel qui vérifie la partie électronique du titre, et non sa partie physique.

La mise en œuvre de ces appareils de contrôle se doit d'accompagner la diffusion des titres. Les titres sécurisés sont des outils formidables au service des citoyens comme des administrations, s'appuyant sur des technologies matures, et autour d'un réseau d'industriels à même de fournir l'ensemble des éléments nécessaires au succès de leur implémentation (réseau, services, titres,terminaux).

Autour du même sujet