L'avenir de l'identité numérique nous offre-t-il une plus grande sécurité et des expériences pratiques ?

OneSpan Team,

Une grande partie des promesses associées aux futures infrastructures d'identité numérique est liée à une plus grande automatisation du cycle de vie de l'identité et à un plus grand contrôle des données personnelles par les utilisateurs finaux. Mais l'automatisation peut aussi réduire le contrôle des données personnelles par l'utilisateur au lieu de l'accroître. Dès lors, comment faire en sorte que les futures infrastructures d'identité numérique soient plus pratiques sans compromettre la sécurité ?

Nouvel intérêt pour l'identité numérique

Les nouvelles approches de l'identité numérique visent à donner plus d'autonomie aux utilisateurs finaux et à séparer les préoccupations entre l'organisation qui vérifie initialement une identité et les organisations qui s'appuient sur la fiabilité de cette identité à un moment ultérieur. Dans le cadre de ce paradigme, plusieurs initiatives sont actuellement en cours pour explorer ce à quoi pourrait ressembler l'identité numérique moderne. L'année dernière, le gouvernement britannique a lancé son cadre de confiance pour l'identité numérique et les attributs, qui définit les principes fondamentaux d'un système permettant aux utilisateurs de partager des références vérifiables entre les services. De son côté, l'Union européenne est en train de créer une identité numérique européenne et prévoit que 80 % des Européens l'utiliseront d'ici à 2030. Alors que la planification de ces systèmes se fait à un niveau politique et idéologique, nous devrions commencer à nous préparer à certains des défis potentiels en matière de sécurité et de facilité d'utilisation à un niveau opérationnel.

Identité centrée sur l'utilisateur

L'utilisateur jouant un rôle privilégié dans le contrôle de la divulgation des données personnelles, l'identité centrée sur l'utilisateur est devenue un paradigme de facto pour les futures infrastructures d'identité. Cependant, bien que la mission centrée sur l'utilisateur, qui consiste à lui donner le contrôle de son identité, soit une orientation importante pour la protection de la vie privée, elle comporte des limites. Tout d'abord, elle fait peser une plus grande responsabilité sur les actions de l'utilisateur et peut rendre les interfaces utilisateur plus complexes. Deuxièmement, une aspiration plus faible au contrôle de l'utilisateur est devenue courante sous la bannière "centrée sur l'utilisateur", ce qui convenait bien aux grandes entreprises fournissant des technologies d'ouverture de session sur le web qui portent atteinte à la vie privée.

L'identité souveraine est une proposition qui vise à étendre et à renforcer les promesses de protection de la vie privée du modèle centré sur l'utilisateur. L'utilisateur devrait être au centre de l'administration de l'identité, et toutes les informations divulguées devraient provenir de l'appareil de l'utilisateur. La vie privée de l'utilisateur est primordiale. La technologie centrale déployée par SSI est la cryptographie à clé publique - avec un accent particulier sur les signatures numériques. En outre, les systèmes SSI intègrent des techniques informatiques décentralisées dans leur architecture, comme les registres distribués. Les grands livres distribués, ou blockchains, sont essentiels à la promesse de la SSI car ces techniques ont le potentiel d'améliorer la confidentialité fournie par l'architecture d'identité. Plus précisément, elles peuvent contribuer à atténuer le problème d'un fournisseur d'identité occupant une position de pouvoir et construisant un profil d'activité sur chacun de ses utilisateurs. Hyperledger Ind y est un exemple de la manière dont les grands livres distribués peuvent être adaptés aux applications de l'identité numérique. Hyperledger Indy intègre les normes émergentes en matière d'informations d'identification vérifiables et d'identifiants décentralisés, et il est raisonnablement sûr, même en cas d'attaques malveillantes visant à perturber son mécanisme de consensus.

Un portefeuille d'identité numérique fourni aux utilisateurs est le deuxième élément crucial de la promesse de la SSI d'être centrée sur l'utilisateur. Il agira comme une "plaque tournante" qui recevra les demandes d'accès aux informations personnelles et enregistrera le consentement ainsi que les outils qui permettent des opérations telles que la création et la vérification des signatures numériques et, en effectuant une divulgation respectueuse des informations aux services en ligne, par exemple, les preuves à connaissance nulle. Ce portefeuille d'identité numérique pourrait être mis en œuvre sous la forme d'un dispositif matériel sur mesure ou d'une application mobile, en fonction des exigences de sécurité et des besoins du contexte.

Le SSI est une proposition prometteuse et concrète pour la prochaine génération d'identité numérique, car il incarne l'esprit de centrage sur l'utilisateur et vise à renforcer les formes de protection de la vie privée. Nous devons examiner attentivement le caractère inclusif de certains aspects de la vision de l'ISS. Par exemple, la facilité d'utilisation des portefeuilles d'identité que les utilisateurs possèdent, et leur adéquation avec les expériences des personnes âgées et d'autres groupes souffrant de handicaps. L'identité numérique est un besoin universel et nous ne devrions pas utiliser la technologie pour réintroduire les limites de nos anciennes méthodes de travail.

Apprenez-en plus sur les défis de la sécurité dans le Web 3.0 dans cet entretien avec Security Guy TV

Résistance à la fraude

Une nouvelle infrastructure d'identité numérique doit atténuer les niveaux élevés de fraude. En 2020, les consommateurs américains ont perdu 56 milliards de dollars à cause de la fraude à l'identité, ce qui a fait 49 millions de victimes. Quelle que soit la sophistication de la technologie déployée dans les futurs systèmes d'identité bancaire, la fraude constituera toujours un risque à de multiples points du cycle de vie de l'identité. Les futures technologies d'identité doivent redoubler d'efforts pour réduire la menace de l'identité synthétique et de la fraude à l'usurpation d'identité, et améliorer la convivialité et la sécurité de l'authentification de l'utilisateur.

Les organisations basées dans des pays dépourvus d'infrastructure nationale d'identité sont confrontées au risque systémique de l'identité synthétique, car la tâche consistant à déterminer si une identité est réelle est basée sur la probabilité. Dans ce cas, pour réduire le risque d'identité synthétique, un organisme faisant autorité est nécessaire pour vérifier l'existence d'une identité tout en respectant la vie privée des citoyens. Au Royaume-Uni, par exemple, il existe un projet pilote concernant le service gouvernemental de vérification des documents (DCS) qui fournit une réponse autorisée par "oui" ou "non" à une demande d'un service en ligne concernant la validité d'un passeport. Ce service, associé à d'autres services numériques similaires faisant autorité, pourrait contribuer à réduire le risque d'identité synthétique au moment d'établir l'identité d'un consommateur.

La fraude par usurpation d'identité est un autre risque à prendre en compte lorsqu'une personne est connectée à un service en utilisant des informations d'identité volées. Bien qu'il existe des mesures d'atténuation de ce risque, un futur système d'identité numérique peut créer une culture dans laquelle des informations d'identité vérifiables telles que les références vérifiables du W3C - dont l'utilisation est soumise à une authentification locale sur un appareil - peuvent, au fil du temps, réduire la nécessité de procéder à une vérification d'identité "à partir de zéro". En outre, l'évolution d'un écosystème ouvert de fournisseurs d'identité permettra à ceux qui disposent du processus de vérification d'identité le plus résistant de fournir la majorité des identités dans l'écosystème. Cela permettra non seulement d'écarter les fournisseurs d'identité dont les processus sont moins sûrs, mais aussi de renforcer la résistance globale de l'écosystème à la fraude en cas d'utilisation d'identités portables.

Une fois qu'une identité centrée sur l'utilisateur a été établie, des méthodes d'authentification de l'utilisateur sont nécessaires à plusieurs niveaux, par exemple l'authentification locale pour sécuriser le portefeuille de l'utilisateur et réduire le risque que des personnes non autorisées aient accès aux informations d'identification émises ou aux privilèges de l'appareil. L'authentification à distance sur un réseau est également nécessaire pour rétablir l'accès aux services en ligne une fois que le client s'est inscrit avec succès. Dans une enquête menée par le CMO Council, 44 % des personnes interrogées ont déclaré que la biométrie était considérée comme une méthode d'authentification plus facile et meilleure que les autres. Les normes d'authentification ouvertes telles que celles de l'alliance FIDO prennent en charge la biométrie pour l'authentification locale et réduisent également le risque d'hameçonnage lors de l'authentification à distance.

L'adoption de l'identité numérique semble presque certaine à ce stade. Ses avantages potentiels sont considérables et les banques, les institutions financières et les gouvernements sont à l'écoute de ces opportunités. Toutefois, à mesure que le développement progresse, les initiatives en matière d'identité numérique et les organisations qui en favorisent l'adoption devront franchir plusieurs étapes. L'identité numérique doit être simple et conviviale tout en respectant les normes de sécurité les plus strictes. Elle doit également permettre aux utilisateurs finaux de contrôler leurs données personnelles sans les rendre trop complexes - ou pire, sans leur donner l'occasion de partager leurs informations avec des fraudeurs ou des escrocs. Si nous parvenons à franchir ces étapes avec succès, l'identification numérique devrait transformer les services bancaires numériques pour les décennies à venir.

Ce billet, rédigé par Paul Dunphy, chercheur principal chez OneSpan, a été publié pour la première fois sur HelpNetSecurity.com le 10 mars 2022.

Missing élément de média.

The OneSpan Team is dedicated to delivering the best content to help you secure tomorrow's potential. From blogs to white papers, ebooks, webinars, and more, our content will help you make informed decisions related to cybersecurity and digital agreements.