Identité numérique

(Crédit photo : geralt pour pixabay.com sous licence libre Creative Commons CC0)

Cette page essaie de suivre et de présenter l'évolution européenne de l'identité numérique, dans une acception restreinte qui n'est ni anthropologique ni juridique, mais plutôt une acception technique contrainte par l'évolution et la convergence des méthodes d'identification informatiques des individus humains. Les méthodes d'identification dans les domaines administratifs, bancaires et du commerce en ligne semblent promis à une interconnexion, voire à une fusion, à l'instar de ce qui se fait en Estonie, au Danemark, en Chine…

Remarque importante - Cette page ne prend pas en compte les acceptions suivantes de l'identité numérique :

  • Identité numérique au sens anthropologique : Dans son ouvrage "Qu’est-ce que l’identité numérique ? Enjeux, outils, méthodologies" paru en 2013, le chercheur français en sciences de l'information et de la communication Olivier Ertzscheid explique que "l’identité numérique peut être définie comme la collection des traces (écrits, contenus audios ou vidéos, messages sur des forums, identifiants de connexion, etc.) que nous laissons derrière nous, consciemment ou inconsciemment, au fil de nos navigations sur le réseau et le reflet de cet ensemble de traces, tel qu’il apparaît « remixé » par les moteurs de recherche."1)
  • Identité numérique au sens juridique : La notion d'authentification – même forte – qui est utilisée par abus de langage en informatique et par suite, dans l'ensemble de la sphère commerciale, ne correspond pas en droit, à la notion d'authentification, mais à celle d'identification. En d'autres termes, la plupart des "authentifications" par Internet ne sont pas légales (abus de langage) car selon le droit, elles sont des identifications.
    Plus d'info en annexe : "Différence juridique entre authentification et identification".

Accès rapide aux chapitres :

Synthèse de l'évolution des méthodes d'identification via Internet en France (2021) (Crédit : ordi49.fr sous licence CC BY 4.0)

Identification numérique bancaire

Principe de l'identification numérique bancaire dans l'Union Européenne

Selon Wikipedia :

Electronic IDentification Authentication and trust Services (eIDAS) est un règlement de l'UE sur l'identification électronique et les services de confiance pour les transactions électroniques au sein de l'Union Européenne.

C'est un ensemble de normes pour l'identification électronique et les services de confiance pour les transactions électroniques dans l'Union Européenne. Il a été établi dans le règlement de l'UE n°910/2014 du 23 juillet 2014 sur l'identification électronique et abroge la directive 1999/93/CE.

eIDAS supervise l'identification électronique et les services de confiance pour les transactions électroniques au sein de l'Union Européenne. Il régule la signature électronique, les transactions électroniques, pour fournir un moyen sûr aux transactions en ligne comme le transfert électronique de fonds ou les transactions avec les services publics. À la fois, le signataire et le destinataire ont accès à un niveau supérieur de confort et de sécurité. Au lieu de s'appuyer sur des méthodes traditionnelles, telles que le courrier, la télécopie (fax), ou de délivrer en personne des documents sur papier, ils peuvent désormais effectuer des transactions à distance - y compris à travers les frontières internationales.

En particulier dans le domaine bancaire, l'Union Européenne impose une Directive sur les Services de Paiement (DSP) dans ses versions DSP1 et DSP2.

L'identification conforme à la DSP 1 est appliquée depuis 2009.
L'identification appelée "authentification forte" conforme à la DSP 2 est cours d'application progressive depuis septembre 2020. Cela induit une nouvelle contrainte pour les utilisateurs.

Selon la DSP 2 :

  1. Les critères d'authentification d'un sujet peuvent être de natures :
    • mémorielles : ce que le sujet connaît (un mot de passe, etc.)
    • matérielles : ce que le sujet possède (une clé USB, un smartphone, etc.)
    • ontologiques : ce que le sujet est (empreinte biométrique corporelle ou comportementale)
  2. L'authentification forte implique de compliquer la procédure par l'utilisation de 2 critères de nature distincte

Selon certaines sources, la double authentification conforme à la DSP2 est obligatoire à partir de 30€ depuis le 31/12/20202).

Un article de journaldunet.com3) présente le calendrier du refus d'autorisation de transaction ("soft decline") sur absence d'authentification DSP2 :

  • Montant > 2000 € à partir du 01/10/2020
  • Montant > 1000 € à partir de janvier 2021
  • Montant > 500 € à partir de février 2021
  • Montant < 500 € euros à partir d'avril 2021

Plus de détails (techniques) sur la DSP2 : voir plus bas le chapitre "Lexique de l'identification numérique bancaire".

Authentification forte par smartphone

Les banques invitent leurs clients à utiliser l'authentification forte en incitant l'utilisation d'un smartphone, pour des raisons budgétaires et commerciales (rappel : un smartphone est un objet connecté bourré de programmes mouchards et de portes dérobées) : Une authentification forte 1 fois tous les 3 mois à l'aide d'un smartphone :

Si vous ne pouvez pas faire autrement qu'utiliser un smartphone pour l'authentification, et étant donné que le système absurde nous contraint à consommer des objets numériques superficiels, je conseille d'acheter un smartphone d'occasion reconditionné4) et à souscrire à un abonnement mobile à 2 € TTC / mois non financé par la publicité5), afin d'avoir un numéro 06 ou 07 dédié aux interlocuteurs commerciaux et bancaires (numéro poubelle).

Authentification forte par lecteur de carte (beaucoup plus sécurisé que le smartphone)

Les clients de banque sans smartphone ou bien situés en zone blanche doivent contacter leur conseiller financier pour savoir s'il peuvent obtenir un lecteur de carte très simple à utiliser (et plus sécurisé) comme le fait la banque Rabobank avec son Digipass6) pour ses clients belges et néerlandais.

En France, la Banque populaire propose gratuitement depuis des années son "Pass CyberPlus" qui permet de s'identifier pour sécuriser les achats par Internet :

Lecteur de carte Pass Cyberplus de la Banque Populaire (Crédit : ordi49.fr sous licence CC BY 4.0)

Fin mars 2021, sa société sous-traitante IBP (api.89c3.com) a (enfin) rendu cet appareil compatible avec la DSP2. Cette méthode permet aux clients de la Banque Populaire de pouvoir se connecter sur leurs comptes en ligne à l'aide de leur identifiant et de leur carte bancaire mais sans taper leur mot de passe.

Boîte de dialogue permettant la connexion au compte Banque Populaire via le lecteur de carte Pass Cyberplus de la Banque Populaire : Boîte de dialogue permettant la connexion au compte Banque Populaire via le lecteur de carte Pass Cyberplus de la Banque Populaire (Crédit : ordi49.fr sous licence CC BY 4.0)

Authentification par reconnaissance biométrique (ATTENTION DANGER !!)

Il ne faut JAMAIS utiliser de technologie biométrique ! En effet, il existe une tendance massive de fuites de données des serveurs à plus ou moins longue échéance. En cas de suspicion, un mot de passe se change très facilement tandis que se faire refaire le visage, les empreintes digitales, ou l'iris est assez difficile…

Étant donné que les sociétés Apple, Google et Microsoft ont mis en place et banalisé les technologies biométriques par reconnaissance faciale, digitale et oculaire, la tentation étatique du recours massif abusif aux données biométriques est extrêmement forte, bien que très controversée (cf. application mobile française AliceM qui sera prochainement remplacée par la Carte Nationale d'Identité électronique CNIe) :

Identification numérique administrative

Selon Wikipedia :

Electronic IDentification Authentication and trust Services (eIDAS) est un règlement de l'UE sur l'identification électronique et les services de confiance pour les transactions électroniques au sein de l'Union Européenne.

C'est un ensemble de normes pour l'identification électronique et les services de confiance pour les transactions électroniques dans l'Union Européenne. Il a été établi dans le règlement de l'UE n°910/2014 du 23 juillet 2014 sur l'identification électronique et abroge la directive 1999/93/CE.

eIDAS supervise l'identification électronique et les services de confiance pour les transactions électroniques au sein de l'Union Européenne. Il régule la signature électronique, les transactions électroniques, pour fournir un moyen sûr aux transactions en ligne comme le transfert électronique de fonds ou les transactions avec les services publics. À la fois, le signataire et le destinataire ont accès à un niveau supérieur de confort et de sécurité. Au lieu de s'appuyer sur des méthodes traditionnelles, telles que le courrier, la télécopie (fax), ou de délivrer en personne des documents sur papier, ils peuvent désormais effectuer des transactions à distance - y compris à travers les frontières internationales.

L'identification numérique administrative repose sur la technique de "l'Authentification unique", également appelée "Single Sign On" (SSO). Cette technique correspond juridiquement à une identification unique sans authentification d'identité avérée (plus d'info en annexe : "Différence juridique entre authentification et identification"). Ces techniques d'identification unique sont utilisées depuis quelques années dans le commerce par délégation d'identification de l'acheteur auprès des grands groupes numériques états-uniens (Microsoft, Apple, Google, Facebook, Yahoo!, AOL, etc.).

FranceConnect

En France, l'identité numérique par Internet FranceConnect qui a été développée sur le modèle décentralisé OpenID, permet de se connecter à certains sites en un seul clic, après s'être connecté à l'un des serveurs faisant autorité selon le choix de l'internaute. Ces serveurs correspondent, soit aux administrations impots.gouv.fr, ameli.fr, msa.fr, soit à des groupes commerciaux collectant et revendant peu ou prou les données personnelles comme idn.laposte.fr (Société Anonyme Groupe La Poste), mobileconnectetmoi.fr (Groupe Orange), soit encore au serveur des identités biométriques faciales qui se trouve derrière l'application mobile ALICEM et permet d'optimiser le contrôle policier de la population (plus d'info concernant ALICEM sur le site de défense des libertés numériques laquadrature.net).

Comme cela existe depuis longtemps ailleurs (Estonie, Chine, etc.), cette identité numérique française – de plus en plus biométrique – a vocation à être intégrée dans une prochaine version des Cartes Nationales d'Identité (CNI), ce qui implique des problèmes supplémentaires7)

Par ailleurs, le principe même de FranceConnect est discutable comme le signale ce commentaire en date du 13/02/2019, émanant à priori d'un ressortissant européen, sur la page europa.eu > "France Connect: an ID federation system to simplify administrative processes" :

France Connect discrimine les citoyens de l'UE en France. À moins de posséder un numéro de sécurité sociale, il est impossible de se connecter à France Connect.

Des millions de personnes qui paient des impôts en France ne peuvent plus effectuer de démarches administratives, car la seule façon de le faire est de se connecter à France Connect. Les préfectures n'offrent plus ces services.

France Connect indique qu'il faut donner une procuration à une tierce personne ou engager un professionnel pour faire ces démarches administratives en son nom.

France Connect est un système draconien qui discrimine délibérément des millions de citoyens européens qui paient des impôts en France.

(Texte traduit avec www.DeepL.com/Translator)

Histoire de FranceConnect selon Wikipedia

FranceConnect est un dispositif permettant de garantir l’identité d’un utilisateur en s’appuyant sur des comptes existants pour lesquels son identité a déjà été vérifiée. Ce dispositif est un bien commun mis à la disposition de toutes les autorités administratives. Il est mis en œuvre par la Direction interministérielle du numérique (DINum), un service du premier ministre. Certains acteurs du secteur privé peuvent aussi en bénéficier s'ils contribuent à l'action publique (banques et assurances par exemple).

Le projet FranceConnect prend en septembre 2014 le relais d'Idénum, projet d'identité numérique de niveau élevé (certificat numérique) initialement lancé par Nathalie Kosciusko-Morizet en 2010 avec une vingtaine de partenaires du secteur privé et relancé par Fleur Pellerin en 2013. Le projet Idénum n'avait pas abouti à un ralliement de la part des acteurs économiques : il n'est utilisé en 2016 que par La Poste dans une version mot de passe (donc de niveau faible) pour le suivi en ligne des lettres recommandées en ligne.

En février 2019, FranceConnect compte 8 millions d'utilisateurs et 5 millions de connexions chaque mois. Le dispositif est officiellement ouvert aux entreprises privées.

Sous l'impulsion des hackers logiciels libres de la Free Software Foundation Europe (Campagne "Public Money? Public Code!"), l'Union Européenne préconise désormais aux états membres d'utiliser les logiciels libres pour ses services administratifs.

En France, l'organisme de tutelle de FranceConnect, la Direction interministérielle du numérique (DINum), dépend du Socle interministériel de logiciels libres. Cependant, les produits Microsoft restent encore majoritairement utilisés par les administrations françaises, essentiellement pour des raisons de lobbying auprès des responsables civils et militaires français (sauf la gendarmerie française qui utilise GendBuntu au lieu de Windows).

Liens relatifs à FranceConnect et à l'identité numérique française

Annexe

Différence juridique entre authentification et identification

La notion d'authentification s'oppose à celle de l'identification d'une personne physique ou morale (dirigeant et toute personne autorisée). Cette distinction est importante puisque par abus de langage, on parle d'authentification alors qu'il s'agit d'identification. Lorsqu'une personne présente sa pièce d'identité lors d'un contrôle, elle est identifiée grâce à un document officiel, mais n'est pas authentifiée, car le lien entre la pièce d'identité et la personne n'est pas établie de façon indiscutable, irrévocable et reconnue par les tribunaux en cas de litige.

Par opposition, lorsqu'une personne est authentifiée, cette authentification doit être apportée par un tiers de confiance et par une preuve au sens juridique reconnue devant les tribunaux (ex. : la signature électronique de la carte bancaire).

Ainsi, pour le e-commerce, un achat réalisé en confirmant le mot de passe ou le SMS reçu sur son téléphone portable, indique seulement que ce message affiché au propriétaire de la ligne de téléphone a été recopié sur une page web du site marchand (même si l'ouverture de session du téléphone se fait par biométrie). Mais ne suppose aucunement de l'engagement du propriétaire de la ligne car ce dernier n'a pas été authentifié (cas du vol d'un portable et utilisation par un tiers). Autrement dit, aucune preuve matérielle ne permet de s'assurer de son engagement dans la transaction.

En synthèse, la charge de la preuve émanant d'un tiers de confiance distingue l'identification de l'authentification en cas de litige ou de contestation.

Source : fr.wikipedia.org > Authentification forte > Notes sur l'authentification et l'identification

En d'autres termes : une authentification d'identité correspondant à une identification à un service numérique est avérée si elle est établie (à posteriori) par une enquête judiciaire.

Lexique de l'identification numérique bancaire

Voir aussi : lafinancepourtous.com > Deuxième directive européenne sur les services de paiement – DSP2

  • ACPR : Autorité de Contrôle Prudentiel et de Résolution : Institution intégrée à la Banque de France, chargée de la surveillance de l'activité des banques et des assurances en France
  • API (Application Programming Interface = Interface de programmation applicative) : Ensemble normalisé de sous-programmes et formats de données qui sert d'intermédiaire par lequel un logiciel (éventuellement service web) offre des services à d'autres logiciels (éventuellement web). Exemple : api.89c3.com > APIs DSP2 du groupe bancaire BPCE
  • BEUC : Bureau Européen des Unions de Consommateurs
  • PSP : Prestataire de Services de Paiement = Banque
  • TPSP (Tiers Prestataire de Services de Paiement) : Entreprise non bancaire qui peut avoir deux statuts :
    • PSIC (Prestataire de Services d'Information sur les Comptes = agrégateur d'informations de type établissement financier ou de fintech) : recueille et regroupe les informations relatives aux différents comptes bancaires détenus par un client particulier ou professionnel
    • PSIP (Prestataire de Services d'Initiation de Paiement) : Intermédiaire proposant des services de paiement parallèles à ceux des banques, via un lien direct entre le débiteur et le bénéficiaire du paiement (carte bancaire ou portefeuille électronique superflu)
  • TPP (Third Party Provider = Fournisseur tierce partie) : agrégateur et initiateur de paiement

Associations de défense des libertés publiques et individuelles

Articles de presse (ordre chronologique)