Discussion utilisateur:Philippe Vacheyrout

De Intercoop
Sauter à la navigation Sauter à la recherche

Mythes et légendes de l'Identité Numérique

La notion d’identité numérique apparait dans la loi Informatique fichiers et liberté de 1978 et le concept s’est imposé progressivement au fil des pratiques d’identification et d’authentification, notamment dans le cadre des procédures administratives et de la mise au point de processus de signature numérique. Par ailleurs, l’utilisation du Web dans une perspective participative, le développement des réseaux sociaux ont permis l’émergence d’autres problématiques qui y sont liées. On en arrive donc à l’utilisation du même terme dans deux contextes différents :  L’identité numérique perçue en termes d’image de l’individu au sens social du terme, c'est-à-dire l’e-réputation.  L’identité numérique en tant que support de procédures légales, recouvrant la notion d’identification et de possibilité d’authentification de documents à valeur probante, reliés à l’identité au sens légal du terme (authenticité). C’est dans ce sens là que nous l’envisagerons sous le terme de Cyber Identité en liaison avec les labels SuisseID, IDéNum et les cartes Nationales d’Identités Electroniques. Techniquement, l’identité numérique se définit comme un « lien technologique entre une entité réelle et une entité virtuelle ». (voir Wikipedia)

MYTHE N° 1 : L'IDENTITE NUMERIQUE EST UNIQUE : Ceci est à la fois vrai et faux. L’entité réelle en cause étant l’individu, elle est unique malgré la diversité des moyens employés pour l’authentifier. Par contre, l’entité virtuelle, en tant que profil utilisateur (Avatar) : national, familial, professionnel, médical, juridique, consommateur, etc. - est multiple avec les données qui s’y attachent et qui ne sont pas nécessairement toutes les mêmes. Dans les deux cas l’individu doit pouvoir bénéficier de l’application de la loi Informatique et liberté et des recommandations diverses qui l’accompagnent :  Anonymat  Droit à l’oubli  Protection des données personnelles  Propriété intellectuelle  Traçabilité des données  Maitrise de son Identité Numérique au niveau international En ce qui concerne les dispositifs, divers processus, méthodes, sont possibles. Plusieurs niveaux de certification existent, les autorités de certifications peuvent être privées ou publiques. Il en résulte une multitude de moyens et même de façons d’en aborder le concept. En ce sens il est possible de parler de multiplicité des identités virtuelles, du simple pseudonyme à usage ciblé à l’identité certifiée à travers un acte authentique Il en est de même des procédés, du couple login/ mot de passe au système basé sur des données biométriques dont le plus extrême serait l’ADN, en passant par les systèmes de Mythes et légendes des TIC 48 / 113 certificats. Il convient de protéger cet identifiant par les dispositifs disponibles sur le marche (PKI, IGCP 2.0, OTP, SSO, Token etc.)

MYTHE N° 2 : L'IDENTITE NUMERIQUE RELEVE DE L'AUTORITE REGALIENNE. Les gouvernements délèguent à des tiers certificateurs le soin d'établir l'identité nationale par le biais d'une identité numérique (Carte bancaire, clé USB, mot de passe dynamique etc…) De plus toute identité numérique n’est pas utilisée dans un cadre nécessitant une identification certaine (Cartes prépayées) Il est possible de mettre en place des «cyber- identités » destinées à retracer une activité tout en permettant un certain anonymat – sous réserve des possibilités d’identification dans un cadre règlementé, par exemple à travers la possibilité d’indiquer simplement l’hébergeur dans le cas de blogs individuels. Cette Cyber Identité permet à l’utilisateur de conserver l’anonymat, assurer la protection de ses données personnelles et de préserver la propriété intellectuelle, mais elle n’est pas dépendante de l’autorité régalienne.

MYTHE N° 3 : IDENTIFICATION ET AUTHENTIFICATION C'EST PAREIL. L'identification repose sur les informations associées à un objet ou un humain dans un contexte donné pour le distinguer. Il s’agit de disposer des informations nécessaires pour déterminer que l’individu est bien, selon les données que l’on possède, celui qu’il prétend être. Elle s’applique à l’individu. L'authentification consiste à s'assurer de l'authenticité, l'intégrité et la non-répudiation des informations fournies. Il peut s’agir des informations fournies pour l’identification ou de tout autre processus ou document. Elle s’applique à l’objet et non à l’individu.

MYTHE N° 4 : LA SECURITE EST GARANTIE PAR LES REFERENTIELS DE SECURISATION ET D'INTEROPERABILITE (RGS 2 - RGI 3) Selon le Référentiel Général de Sécurité : « L’objectif du RGS n’est pas d’imposer une technologie, une architecture ou une solution technique, ni même les fonctions se sécurité décrites dans le RGS » Le socle de sécurisation IAS (Identification, Authentification, Signature) sur lequel s’appuient les rapports de certification 4 pour les Carte d’Identité Électronique ne peut pas fonctionner, dans la mesure où les identifiants biométriques sont des données statiques numérisables et reproductibles. Il est donc possible, partant d’une fausse identité authentifiée, d’aboutir à une signature techniquement valide mais fausse.


2 

Le référentiel RGS peut être trouvé sur le site : http://www.ssi.gouv.fr/IMG/pdf/RGSv1-0.pdf

3 

Voir le référentiel sur le site :

https://www.ateliers.modernisation.gouv.fr/ministeres/domaines_d_expertise/architecture_fonctio/public/rgi/referent iel_general1617/downloadFile/file/Referentiel%20General%20Interoperabilite%20Volet%20Technique%20V0.9 0.pdf 4 

Voir sur le site du gouvernement : http://www.ssi.gouv.fr/IMG/certificat/anssi-cc_2009-56fr.pdf

http://forumatena.org/LivresBlancs/MythesEtLegendesDesTIC0101.pdf

Récupérée de « http://www.intercoop.info/index.php?title=Discussion_utilisateur:Philippe_Vacheyrout&oldid=4961 »