L'identité décentralisée : quand la blockchain protège l'individu
Lorsque l'on parle de l'écosystème blockchain, on y associe généralement Bitcoin et les cryptomonnaies, les NFTs et désormais le métavers. Néanmoins, l'on oublie que cette technologie est avant tout un apport en termes de sécurité des informations. A ce titre, l'identité décentralisée est un concept qui pourrait révolutionner l'identification des personnes.
Parfois désignée par l'acronyme DID pour decentralised identity ou decentralised identifier, l'identité décentralisée est un concept permettant de concilier la protection des données personnelles et la sécurisation de ces mêmes données par la blockchain. La DID répond à des problèmes concrets rencontrés quotidiennement par toute personne sur Internet, parfois sans le savoir.
Qu'est-ce que l'identité décentralisée ?
L'identité décentralisée est indissociable de notre identité, que l'on doit prouver dans certaines situations, comme lors du passage d'une frontière. Cette identité s'étend dans le monde de l'Internet, avec la nécessité de s'authentifier pour accéder à certains services. Dans ce cas, une adresse e-mail ou un pseudonyme est associé à un mot de passe.
Ainsi, lorsque votre déclinez votre identité ou que vous devez vous identifier, vous faites confiance à un tiers. Ce tiers peut très bien être l'Etat, pour un passeport ou une carte d'identité, ou un service en ligne pour la conservation du mot de passe. Avec l'identité décentralisée, il n'y a pas besoin d'intermédiaire, et donc de tiers de confiance, lorsque vous devez prouver votre identité.
L'identité décentralisée permet donc à tout un chacun de gérer soi-même ses données les plus personnelles. Elle permet de rendre le contrôle aux personnes concernées, d'obtenir plus de sécurité grâce à la technologie blockchain et de protéger la vie privée des individus.
Une solution à bien des problèmes
Avant d'évoquer les apports de la blockchain, il faut partir des problèmes actuels, que l'on perçoit clairement ou non. Le premier, c'est la sécurité des accès et des données. En effet, les affaires d'usurpation d'identité ou de vols de mots de passe sont quotidiennes et vous l'avez peut-être déjà vécu.
Le second problème, c'est une mauvaise expérience utilisateur sur internet. En effet, vous devez retenir une multitude de mots de passe. Certains préfèrent donc utiliser des mots de passe simples, au risque qu'ils soient découverts par un hacker, ou un gestionnaire de mots de passe. Enfin, certaines vérifications d'identité obligatoires (KYC des établissements) sont intrusives, avec potentiellement la transmission d'une photo en selfie.
Enfin, troisième problème, les données peuvent être centralisées, notamment lorsque l'on utilise la connexion fédérée. Vous l'utilisez lorsque, au lieu de vous inscrire sur un service, vous cliquez sur "Connectez-vous avec Google" par exemple. C'est aussi le même système pour FranceConnect. Or, il convient de faire confiance à ce tiers et FranceConnect a déjà eu des problèmes de sécurité.
Avec l'identité décentralisée, vos données ou vos identifiants sont protégés dans un NFT. Rappelons que le NFT est unique, qu'il est associé à un propriétaire et qu'il est sécurisé par le registre distribué qu'est la blockchain. En d'autres termes, il s'agit d'un identifiant unique avec une preuve de propriété.
Dans ce NFT, les données sont chiffrées. Seule la personne concernée possède la clé de déchiffrement (la clé privée) et seule celle-ci décide de montrer ses données ou une personne de confiance en cas d'impossibilité (le médecin traitant pour les données de santé par exemple). De même, il est possible de montrer uniquement des données souhaitées. Ainsi, si vous devez prouver une date de naissance, vous n'avez pas besoin de montrer votre pièce d'identité, mais uniquement la donnée "date de naissance".
Une meilleure vérification des informations
Pour créer ce NFT, il peut exister plusieurs services. Premièrement, il existe des entreprises centralisées comme Synaps ou Archipels qui vérifient vos documents (pièce d'identité, justificatif de domicile…) et qui vous délivrent le fameux NFT. Oui, ce système n'est pas parfait, car il implique de faire confiance à l'entreprise en question. Il faut donc s'assurer que les documents transmis sont détruits dès la création du NFT.
A terme, des services purement décentralisés devraient voir le jour, mais nous n'en sommes pas encore là. Une fois que vous êtes en possession de votre NFT, la vérification des informations est plus simple et mieux sécurisée.
Un exemple typique et pouvant prêter à sourire est l'accès à un site pornographique. "J'ai plus de 18 ans" ne prouve en rien l'âge de la personne derrière son écran. De plus, elle ne veut pas forcément décliner son identité. C'est là que l'identité décentralisée peut aider, puisqu'il suffit de montrer uniquement sa date de naissance et il n'y aura aucun doute possible pour le site Internet.
Enfin, on peut imaginer que le vote pourrait être révolutionné par l'identité décentralisée. En effet, il permettra de démocratiser sans risque le vote en ligne, puisqu'il n'y aura aucun doute sur l'identité de la personne ou si elle a donné procuration. Bien entendu, c'est l'ensemble du vote qui devra être sécurisé et pas seulement la vérification de l'identité.
Une meilleure protection des données
En décembre 2022, la Banque de France a communiqué sur un appel à contribution particulier. L'objectif est "d'utiliser l'identité numérique dans la gestion de l'authentification des établissements de crédit". L'identité numérique, c'est tout simplement la DID. D'ailleurs, Archipels a été retenue parmi les trois lauréats. L'objectif est simple : renforcer la gestion et sécurité des authentifications, libérer les établissements de ce lourd processus grâce à la DID.
Le KYC bancaire est effectivement un excellent exemple de ce que peut apporter l'identité décentralisée pour mieux protéger les données. L'entreprise Synaps propose d'ailleurs un module spécialement dédié au KYC (Anima). L'objectif est de faciliter le processus, aussi bien pour la personne concernée que l'établissement de crédit.
Enfin, l'identité décentralisée est la consécration du respect du règlement général sur la protection des données (RGPD). Nous pouvons en effet parler de consentement parfait sans doute possible.
Et l'on pourrait même aller plus loin que le RGPD : la vente de ses données personnelles. Aujourd'hui, nos données sont vendues à des tiers de manière assez opaque. Demain, l'utilisateur pourrait décider lui-même s'il souhaite ou vendre ses données, et à quel acheteur. L'avenir nous dira si la DID révolutionnera la gestion de l'identité et des données personnelles.