Self Sovereign Identity : et si la sécurité était enfin user-centric ?

La gestion de l’identité des utilisateurs dépasse largement le champ de la sécurité et vient s’inscrire dans celui de l’expérience UX. En 2019, les initiatives en matière de Self Sovereign Identity - SSI posent les bases d’une nouvelle approche, à la croisée des chemins entre cybersécurité, protection des données personnelles, résilience et contrôle des accès.

La pierre angulaire de ce dispositif : l’utilisateur qui, grâce aux technologies décentralisées de blockchain, conserve la propriété des données qui servent à prouver son identité de même qu’il décide du niveau de partage et des accès aux informations le concernant. Les modalités permettant de mettre en place un système robuste et transparent, en accord avec les autorités de confiance et les règlementations (RGPD, eIDAS, …), reste encore à standardiser d’un point de vue technique. Toutefois, à terme, le SSI représente pour les entreprises l’opportunité d’améliorer l’expérience employée/client tout en monétisant de nouveaux services. 

Le SSI se définit selon Gartner comme la possibilité "d’utiliser l’architecture en registres distribués de la Blockchain pour permettre aux consommateurs d’administrer leur propre identité et leurs préférences en termes de consentement d’une manière portable à travers toutes les plateformes qui les intéresseraient". Cette nouvelle approche permet donc de s’affranchir des contraintes liées à une approche centralisée où les données sont stockées sur un même endroit et par conséquent inaccessibles en cas d’indisponibilité de service, un réseau social par exemple. Avec le SSI, l’identité qui en découle est résiliente étant distribuée et à la main de l’utilisateur étant stockée sur son device. Le SSI unifie également l’expérience utilisateur liée au processus d'authentification à travers son usage pour les services personnels et professionnels garantissant une meilleur compréhension et maîtrise côté utilisateur. Les informations distribuées sont enregistrées sur un support dont l’utilisateur maîtrise le partage avec les différents services. Il garde ainsi complètement la main sur l’usage de ses données.

Dans le monde de la cybersécurité, il est largement admis que la connexion basée sur un mot de passe constitue un dispositif moins sécurisé par rapport à une authentification multi-facteurs (par exemple validation par code envoyé par SMS) qui ajoute cependant des points de friction à l’expérience utilisateur. Le SSI dépasse cette question en unifiant l’expérience utilisateur et standardisant l’usage de l’authentification multi-facteurs pour les interactions liées à son identité (Authentification, consentements, …).

Le SSI est par définition totalement décentralisé avec des données réparties sur différents répertoires d’une blockchain ; pour mémoire, Blockchain France donne la définition suivante : "La blockchain est une technologie de stockage et de transmission d’informations, transparente, sécurisée, et fonctionnant sans organe central de contrôle". Sans conteste, cette conception unifiée représente le futur en matière de gestion des identités et de gouvernance personnelle des données.

Grâce au SSI, il est possible de posséder une identité numérique sécurisée, distribuée avec des informations (nom, prénom, adresse, …) validées par des autorités de confiance (comme une banque, un opérateur télécom, un organisme étatique) à travers un mécanisme de signature numérique (chiffrement asymétrique). En fonction des services auxquels un utilisateur souhaite accéder, il choisit de ne partager que les informations strictement nécessaires à la preuve de son identité et à l'utilisation du service. Ainsi, les autres données non nécessaires au service ne sont pas dévoilées. Par exemple, il suffit de prouver que l’on est bien majeur pour accéder à un service sans devoir indiquer sa date de naissance (à travers une capsule d’information « j’ai plus de 18 ans » signées par une autorité de confiance validant l’authenticité de l’information) ou une information non nécessaire comme son adresse. Dans cette perspective d’ailleurs, une banque pourrait devenir tiers de confiance de par les informations dont elle dispose sur son client (justificatif de domicile, informations fiscales, ...) et monétiser ce nouveau type de service. Ce système décentralisé instaure une plus grande confiance entre le prestataire et l’utilisateur. Cette approche est novatrice pour ce dernier qui contrôle mieux ses informations et les usages qui en sont fait. Cette souveraineté personnelle de l’identité avec un consentement basé sur une vision claire des usages des données et facilité par un expérience utilisateur (UX) simple et fluide, conduira à une révolution du modèle économique actuel de plusieurs acteurs favorisant la monétisation à outrance des données de l’utilisateur que le RGPD ne réussit à répondre que partiellement. Cela participera également à une sensibilisation sur les enjeux de la confidentialité des données et plus généralement sur la sécurité.

  • Pour maximiser le potentiel du SSI, plusieurs principes doivent être pris en compte :
  • La transparence : les systèmes doivent être ouverts et claires quant à leurs fonctionnements et administrations. Les algorithmes, protocoles et code doivent être connus et open-source ;
  • Le contrôle : les utilisateurs doivent pouvoir contrôler leurs identités et les informations qui leurs sont attachées ;
  • L’accès inconditionnel de l’utilisateur à ses données sans intermédiaires
  • La portabilité la possibilité de passer d’un vecteur porteur de l’identité à un autre sans heurts ;
  • L'interopérabilité convergence vers un modèle d’identité universel permettant son usage global sur n’importe quel service à travers la mise en place d’un standard ;
  • La minimisation en ne divulguant que le strict nécessaire en termes d’informations pour l’accès service (être majeur ne nécessite pas de partager sa date de naissance) ;
  • Le consentement de l’utilisateur par rapport à tout ce qui à trait à son identité et les informations qui lui sont rattachées ;
  • La protection des libertés et droits de l’utilisateur en se basant sur des technologies résilientes à la censure, le pistage et l’indisponibilité. Les principes de sécurité by design et by default doivent être complètement intégrés ; 
  • La simplicité  de l’expérience utilisateur pour favoriser l’adoption et l’utilisation du système. Cela passe par une réflexion du design et parcours utilisateur qui est au centre du système
L’écosystème SSI doit respecter ses principes pour une identité à la hauteur de l’ère du digital répondant aux enjeux de sécurité et d’expérience utilisateur.

Identité numérique

Notre ère digitale nous impose en effet de poser les bases d’une sécurité centrée autour de l’utilisateur qui corresponde aux usages actuels et en devenir. Aujourd’hui, les frontières entre les sphères personnelles et professionnelles sont de plus en plus imbriquées et notre environnement (inter)connecté s’agrandit de jour en jour depuis la montre, à la maison jusqu’à la voiture intelligente. Dans ce contexte, afin de créer des expériences client et consommateur tout aussi fluides que personnalisées dans une approche UX, il faut pouvoir accéder aux informations pertinentes sans compromettre la sécurité des données. Cette approche est valable pour les individus à la fois citoyens, consommateurs et professionnels, et pour les organisations.

Le SSI va donc non seulement mitiger les risques liés aux facteurs humains mais aussi améliorer l’expérience utilisateur avec un seul dispositif à authentification forte plutôt que plusieurs. En outre, il gardera la possibilité de différencier les usages de l’identité. Nous possèderons toujours plusieurs identifiants professionnels et personnels mais ces derniers seront attachés à notre identité unique. Nous choisirons alors de ne divulguer que le strict minimum nécessaire pour accéder à un service et garder notre anonymat sans pour autant être dans l’impunité.

A l’ère post-industrielle, il faut repenser en profondeur notre vision de l’identité et plus généralement notre approche de la sécurité qui doit être "user-centric". Nous en sommes au début du SSI et les acteurs doivent encore mettre en place les standards d’une identité qui serait alors souveraine et universelle. Aujourd’hui, les solutions ne sont pas encore suffisamment matures pour passer à une plus grande échelle alors que la valeur commerciale du SSI est immense avec de nouveaux services privés et publics qui peuvent s’appuyer sur ce nouveau système et régler des problématiques comme la fraude et le suffrage en ligne.