Identité numérique

Cette page essaie de suivre et de présenter l'évolution européenne de l'identité numérique, dans une acception restreinte qui n'est ni anthropologique ni juridique, mais plutôt une acception technique contrainte par l'évolution et la convergence des méthodes d'identification informatiques des individus humains. Les méthodes d'identification dans les domaines administratifs, bancaires et du commerce en ligne semblent promis à une interconnexion, voire à une fusion, à l'instar de ce qui se fait en Estonie, au Danemark, en Chine…

Remarque importante - Cette page ne prend pas en compte les acceptions suivantes de l'identité numérique :

• Identité numérique au sens anthropologique : Dans son ouvrage "Qu’est-ce que l’identité numérique ? Enjeux, outils, méthodologies" paru en 2013, le chercheur français en sciences de l'information et de la communication Olivier Ertzscheid explique que "l’identité numérique peut être définie comme la collection des traces (écrits, contenus audios ou vidéos, messages sur des forums, identifiants de connexion, etc.) que nous laissons derrière nous, consciemment ou inconsciemment, au fil de nos navigations sur le réseau et le reflet de cet ensemble de traces, tel qu’il apparaît « remixé » par les moteurs de recherche."¹⁾
• Identité numérique au sens juridique : La notion d'authentification – même forte – qui est utilisée par abus de langage en informatique et par suite, dans l'ensemble de la sphère commerciale, ne correspond pas en droit, à la notion d'authentification, mais à celle d'identification. En d'autres termes, la plupart des "authentifications" par Internet ne sont pas légales (abus de langage) car selon le droit, elles sont des identifications.
  Plus d'info en annexe : "Différence juridique entre authentification et identification".

Accès rapide aux chapitres :

• Identification numérique bancaire
• Identification numérique administrative

Voir aussi en annexe dans le bas de cette page les chapitres "Différence juridique entre authentification et identification" et "Lexique de l'identification numérique bancaire".

Selon Wikipedia :

Electronic IDentification Authentication and trust Services (eIDAS) est un règlement de l'UE sur l'identification électronique et les services de confiance pour les transactions électroniques au sein de l'Union Européenne.

C'est un ensemble de normes pour l'identification électronique et les services de confiance pour les transactions électroniques dans l'Union Européenne. Il a été établi dans le règlement de l'UE n°910/2014 du 23 juillet 2014 sur l'identification électronique et abroge la directive 1999/93/CE.

eIDAS supervise l'identification électronique et les services de confiance pour les transactions électroniques au sein de l'Union Européenne. Il régule la signature électronique, les transactions électroniques, pour fournir un moyen sûr aux transactions en ligne comme le transfert électronique de fonds ou les transactions avec les services publics. À la fois, le signataire et le destinataire ont accès à un niveau supérieur de confort et de sécurité. Au lieu de s'appuyer sur des méthodes traditionnelles, telles que le courrier, la télécopie (fax), ou de délivrer en personne des documents sur papier, ils peuvent désormais effectuer des transactions à distance - y compris à travers les frontières internationales.

En particulier dans le domaine bancaire, l'Union Européenne impose une Directive sur les Services de Paiement (DSP) dans ses versions DSP1 et DSP2.

L'identification conforme à la DSP 1 est appliquée depuis 2009.
L'identification appelée "authentification forte" conforme à la DSP 2 est cours d'application progressive depuis septembre 2020. Cela induit une nouvelle contrainte pour les utilisateurs.

Selon la DSP 2 :

1. Les critères d'authentification d'un sujet peuvent être de natures :
   • mémorielles : ce que le sujet connaît (un mot de passe, etc.)
   • matérielles : ce que le sujet possède (une clé USB, un smartphone, etc.)
   • ontologiques : ce que le sujet est (empreinte biométrique corporelle ou comportementale)
2. L'authentification forte implique de compliquer la procédure par l'utilisation de 2 critères de nature distincte

Selon certaines sources, la double authentification conforme à la DSP2 est obligatoire à partir de 30€ depuis le 31/12/2020²⁾.

Un article de journaldunet.com³⁾ présente le calendrier du refus d'autorisation de transaction ("soft decline") sur absence d'authentification DSP2 :

• Montant > 2000 € à partir du 01/10/2020
• Montant > 1000 € à partir de janvier 2021
• Montant > 500 € à partir de février 2021
• Montant < 500 € euros à partir d'avril 2021

Plus de détails (techniques) sur la DSP2 : voir plus bas le chapitre "Lexique de l'identification numérique bancaire".

Les banques invitent leurs clients à utiliser l'authentification forte en incitant l'utilisation d'un smartphone, pour des raisons budgétaires et commerciales (rappel : un smartphone est un objet connecté bourré de programmes mouchards et de portes dérobées) : Une authentification forte 1 fois tous les 3 mois à l'aide d'un smartphone :

• 01/10/2019: youtube.com > Credit Mutuel Nord Europe > DSP2-Authentication forte (clip de 0'46")
• 06/12/2019: youtube.com > Crédit Agricole Centre Loire > Authentification forte - DSP2 (clip de 1'06")
• 06/05/2020: youtube.com > ConsoMag > Paiement en ligne : des évolutions pour toujours plus de sécurité (Clip de 1'57")
• 23/06/2020: youtube.com > Banque Populaire > [Appli Mobile] Comment accéder à vos comptes avec l'authentification forte ? (Clip de 1'26")
• 23/06/2020: youtube.com > Caisse d'Épargne > [App Mobile] Comment accéder à vos comptes avec l'authentification forte ? (Clip de 1'26")

Si vous ne pouvez pas faire autrement qu'utiliser un smartphone pour l'authentification, et étant donné que le système absurde nous contraint à consommer des objets numériques superficiels, je conseille d'acheter un smartphone d'occasion reconditionné⁴⁾ et à souscrire à un abonnement mobile à 2 € TTC / mois non financé par la publicité⁵⁾, afin d'avoir un numéro 06 ou 07 dédié aux interlocuteurs commerciaux et bancaires (numéro poubelle).

Les clients de banque sans smartphone ou bien situés en zone blanche doivent contacter leur conseiller financier pour savoir s'il peuvent obtenir un lecteur de carte très simple à utiliser (et plus sécurisé) comme le fait la banque Rabobank avec son Digipass⁶⁾ pour ses clients belges et néerlandais.

En France, la Banque populaire propose gratuitement depuis des années son "Pass CyberPlus" qui permet de s'identifier pour sécuriser les achats par Internet :

• bpaca.banquepopulaire.fr > Comment utiliser le Pass Cyberplus ?
• file.ordi49.fr > Banque Populaire - Notice Pass Cyberplus.pdf

Fin mars 2021, sa société sous-traitante IBP (api.89c3.com) a (enfin) rendu cet appareil compatible avec la DSP2. Cette méthode permet aux clients de la Banque Populaire de pouvoir se connecter sur leurs comptes en ligne à l'aide de leur identifiant et de leur carte bancaire mais sans taper leur mot de passe.

Boîte de dialogue permettant la connexion au compte Banque Populaire via le lecteur de carte Pass Cyberplus de la Banque Populaire :

Il ne faut JAMAIS utiliser de technologie biométrique ! En effet, il existe une tendance massive de fuites de données des serveurs à plus ou moins longue échéance. En cas de suspicion, un mot de passe se change très facilement tandis que se faire refaire le visage, les empreintes digitales, ou l'iris est assez difficile…

Étant donné que les sociétés Apple, Google et Microsoft ont mis en place et banalisé les technologies biométriques par reconnaissance faciale, digitale et oculaire, la tentation étatique du recours massif abusif aux données biométriques est extrêmement forte, bien que très controversée (cf. application mobile française AliceM qui sera prochainement remplacée par la Carte Nationale d'Identité électronique CNIe) :

• technopolice.fr > Reconnaissance faciale
• 07/08/2020: laquadrature.net > Nous attaquons la reconnaissance faciale dans le TAJ
• 08/07/2020: nextinpact.com > Identité numérique : Alicem c’est fini, bienvenue à la CNIe
• 22/06/2020: laquadrature.net > Racisme policier : les géants du Net font mine d’arrêter la reconnaissance faciale
• 22/11/2019: laquadrature.net > Reconnaissance faciale : le bal des irresponsables
• 12/11/2019: lesnumeriques.com > Alicem : pourquoi le système de reconnaissance faciale de l'État suscite la controverse
• 28/10/2019: laquadrature.net > Lycées Nice Marseille : première victoire contre la reconnaissance faciale
• 17/10/2019: laquadrature.net > Le Conseil d’État autorise la CNIL à ignorer le RGPD
• 27/09/2019: laquadrature.net > Ce que nous avions à dire à ceux qui bâtissent la technopolice
• 21/06/2019: laquadrature.net > Le vrai visage de la reconnaissance faciale
• 17/06/2019: laquadrature.net > La Quadrature du Net attaque l’application ALICEM, contre la généralisation de la reconnaissance faciale
• 19/02/2019: laquadrature.net > Reconnaissance faciale : un recours pour faire barrage à la surveillance biométrique

Selon Wikipedia :

Electronic IDentification Authentication and trust Services (eIDAS) est un règlement de l'UE sur l'identification électronique et les services de confiance pour les transactions électroniques au sein de l'Union Européenne.

C'est un ensemble de normes pour l'identification électronique et les services de confiance pour les transactions électroniques dans l'Union Européenne. Il a été établi dans le règlement de l'UE n°910/2014 du 23 juillet 2014 sur l'identification électronique et abroge la directive 1999/93/CE.

eIDAS supervise l'identification électronique et les services de confiance pour les transactions électroniques au sein de l'Union Européenne. Il régule la signature électronique, les transactions électroniques, pour fournir un moyen sûr aux transactions en ligne comme le transfert électronique de fonds ou les transactions avec les services publics. À la fois, le signataire et le destinataire ont accès à un niveau supérieur de confort et de sécurité. Au lieu de s'appuyer sur des méthodes traditionnelles, telles que le courrier, la télécopie (fax), ou de délivrer en personne des documents sur papier, ils peuvent désormais effectuer des transactions à distance - y compris à travers les frontières internationales.

L'identification numérique administrative repose sur la technique de "l'Authentification unique", également appelée "Single Sign On" (SSO). Cette technique correspond juridiquement à une identification unique sans authentification d'identité avérée (plus d'info en annexe : "Différence juridique entre authentification et identification"). Ces techniques d'identification unique sont utilisées depuis quelques années dans le commerce par délégation d'identification de l'acheteur auprès des grands groupes numériques états-uniens (Microsoft, Apple, Google, Facebook, Yahoo!, AOL, etc.).

En France, l'identité numérique par Internet FranceConnect qui a été développée sur le modèle décentralisé OpenID, permet de se connecter à certains sites en un seul clic, après s'être connecté à l'un des serveurs faisant autorité selon le choix de l'internaute. Ces serveurs correspondent, soit aux administrations impots.gouv.fr, ameli.fr, msa.fr, soit à des groupes commerciaux collectant et revendant peu ou prou les données personnelles comme idn.laposte.fr (Société Anonyme Groupe La Poste), mobileconnectetmoi.fr (Groupe Orange), soit encore au serveur des identités biométriques faciales qui se trouve derrière l'application mobile ALICEM et permet d'optimiser le contrôle policier de la population (plus d'info concernant ALICEM sur le site de défense des libertés numériques laquadrature.net).

Comme cela existe depuis longtemps ailleurs (Estonie, Chine, etc.), cette identité numérique française – de plus en plus biométrique – a vocation à être intégrée dans une prochaine version des Cartes Nationales d'Identité (CNI), ce qui implique des problèmes supplémentaires⁷⁾…

Par ailleurs, le principe même de FranceConnect est discutable comme le signale ce commentaire en date du 13/02/2019, émanant à priori d'un ressortissant européen, sur la page europa.eu > "France Connect: an ID federation system to simplify administrative processes" :

France Connect discrimine les citoyens de l'UE en France. À moins de posséder un numéro de sécurité sociale, il est impossible de se connecter à France Connect.

Des millions de personnes qui paient des impôts en France ne peuvent plus effectuer de démarches administratives, car la seule façon de le faire est de se connecter à France Connect. Les préfectures n'offrent plus ces services.

France Connect indique qu'il faut donner une procuration à une tierce personne ou engager un professionnel pour faire ces démarches administratives en son nom.

France Connect est un système draconien qui discrimine délibérément des millions de citoyens européens qui paient des impôts en France.

(Texte traduit avec www.DeepL.com/Translator)

FranceConnect est un dispositif permettant de garantir l’identité d’un utilisateur en s’appuyant sur des comptes existants pour lesquels son identité a déjà été vérifiée. Ce dispositif est un bien commun mis à la disposition de toutes les autorités administratives. Il est mis en œuvre par la Direction interministérielle du numérique (DINum), un service du premier ministre. Certains acteurs du secteur privé peuvent aussi en bénéficier s'ils contribuent à l'action publique (banques et assurances par exemple).

Le projet FranceConnect prend en septembre 2014 le relais d'Idénum, projet d'identité numérique de niveau élevé (certificat numérique) initialement lancé par Nathalie Kosciusko-Morizet en 2010 avec une vingtaine de partenaires du secteur privé et relancé par Fleur Pellerin en 2013. Le projet Idénum n'avait pas abouti à un ralliement de la part des acteurs économiques : il n'est utilisé en 2016 que par La Poste dans une version mot de passe (donc de niveau faible) pour le suivi en ligne des lettres recommandées en ligne.

En février 2019, FranceConnect compte 8 millions d'utilisateurs et 5 millions de connexions chaque mois. Le dispositif est officiellement ouvert aux entreprises privées.

Sous l'impulsion des hackers logiciels libres de la Free Software Foundation Europe (Campagne "Public Money? Public Code!"), l'Union Européenne préconise désormais aux états membres d'utiliser les logiciels libres pour ses services administratifs.

En France, l'organisme de tutelle de FranceConnect, la Direction interministérielle du numérique (DINum), dépend du Socle interministériel de logiciels libres. Cependant, les produits Microsoft restent encore majoritairement utilisés par les administrations françaises, essentiellement pour des raisons de lobbying auprès des responsables civils et militaires français (sauf la gendarmerie française qui utilise GendBuntu au lieu de Windows).

• societenumerique.gouv.fr
• forum.societenumerique.gouv.fr
• Agence nationale des titres sécurisés > Identité numérique
• franceconnect.gouv.fr > Nos services
• aidantsconnect.beta.gouv.fr
• 08/07/2020: assemblee-nationale.fr > Mission d'information identité numérique : présentation du rapport (vidéo ; 1h28) : Mercredi 8 juillet après-midi, les commissions des Lois et des Affaires économiques ont examiné le rapport d'information présenté en conclusion de la mission d'information sur l'identité numérique (Marietta Karamanli, présidente, Christine Hennion et Jean-Michel Mis, co-rapporteurs) et en ont autorisé la publication.
• laquadrature.net > ALICEM
• Infographie de la feuille de route du développement de l'identité numérique biométrique :
  28/10/2020: nextinpact.com > Identité numérique : Alicem a le seum - L'ENA pointe du doigt "la peur d'un fichage généralisé"
• 08/07/2020: assemblee-nationale.fr > Mission d'information identité numérique : présentation du rapport (vidéo ; 1h28)

La notion d'authentification s'oppose à celle de l'identification d'une personne physique ou morale (dirigeant et toute personne autorisée). Cette distinction est importante puisque par abus de langage, on parle d'authentification alors qu'il s'agit d'identification. Lorsqu'une personne présente sa pièce d'identité lors d'un contrôle, elle est identifiée grâce à un document officiel, mais n'est pas authentifiée, car le lien entre la pièce d'identité et la personne n'est pas établie de façon indiscutable, irrévocable et reconnue par les tribunaux en cas de litige.

Par opposition, lorsqu'une personne est authentifiée, cette authentification doit être apportée par un tiers de confiance et par une preuve au sens juridique reconnue devant les tribunaux (ex. : la signature électronique de la carte bancaire).

Ainsi, pour le e-commerce, un achat réalisé en confirmant le mot de passe ou le SMS reçu sur son téléphone portable, indique seulement que ce message affiché au propriétaire de la ligne de téléphone a été recopié sur une page web du site marchand (même si l'ouverture de session du téléphone se fait par biométrie). Mais ne suppose aucunement de l'engagement du propriétaire de la ligne car ce dernier n'a pas été authentifié (cas du vol d'un portable et utilisation par un tiers). Autrement dit, aucune preuve matérielle ne permet de s'assurer de son engagement dans la transaction.

En synthèse, la charge de la preuve émanant d'un tiers de confiance distingue l'identification de l'authentification en cas de litige ou de contestation.

Source : fr.wikipedia.org > Authentification forte > Notes sur l'authentification et l'identification

En d'autres termes : une authentification d'identité correspondant à une identification à un service numérique est avérée si elle est établie (à posteriori) par une enquête judiciaire.

Voir aussi : lafinancepourtous.com > Deuxième directive européenne sur les services de paiement – DSP2

• ABE ou EBA : Autorité Bancaire Européenne
• ACPR : Autorité de Contrôle Prudentiel et de Résolution : Institution intégrée à la Banque de France, chargée de la surveillance de l'activité des banques et des assurances en France
• API (Application Programming Interface = Interface de programmation applicative) : Ensemble normalisé de sous-programmes et formats de données qui sert d'intermédiaire par lequel un logiciel (éventuellement service web) offre des services à d'autres logiciels (éventuellement web). Exemple : api.89c3.com > APIs DSP2 du groupe bancaire BPCE
• BEUC : Bureau Européen des Unions de Consommateurs
• DSP : Directive sur les Services de Paiement
• FBF : Fédération Bancaire Française
• OSMP : Observatoire de la Sécurité des Moyens de Paiement
• PSP : Prestataire de Services de Paiement = Banque
• TPSP (Tiers Prestataire de Services de Paiement) : Entreprise non bancaire qui peut avoir deux statuts :
  • PSIC (Prestataire de Services d'Information sur les Comptes = agrégateur d'informations de type établissement financier ou de fintech) : recueille et regroupe les informations relatives aux différents comptes bancaires détenus par un client particulier ou professionnel
  • PSIP (Prestataire de Services d'Initiation de Paiement) : Intermédiaire proposant des services de paiement parallèles à ceux des banques, via un lien direct entre le débiteur et le bénéficiaire du paiement (carte bancaire ou portefeuille électronique superflu)
• TPP (Third Party Provider = Fournisseur tierce partie) : agrégateur et initiateur de paiement

• laquadrature.net > identité numérique

• 25/03/2013: books.openedition.org (OpenEdition Press) > Qu’est-ce que l’identité numérique ? Enjeux, outils, méthodologies d'Olivier Ertzscheid (lecture gratuite en ligne)
• 02/01/2017: developpez.com > VibWrite : toucher à une surface qui vibre pour générer une signature d'authentification unique au-delà des écrans tactiles pour l'accès aux systèmes
• 30/10/2017: silicon.fr > Pindrop : l'empreinte vocale au nom de la lutte anti-fraude téléphonique : La société américaine Pindrop a développé une solution de lutte contre la fraude téléphonique à base de biométrie vocale et de machine learning.
• 26/02/2018: developpez.com > Quelles sont les règles à suivre pour concevoir un bon système d'authentification ? Un architecte de Google propose une liste de 12 bonnes pratiques (archive.org)
• Source : 12/01/208: cloudplatform.googleblog.com > 12 best practices for user account, authorization and password management (archive.org)
• 13/09/2019: 01net.com > Achats en ligne : le code par SMS devrait presque disparaître d'ici fin 2020. De nouvelles solutions d'authentification forte seront déployées progressivement auprès des consommateurs. L'objectif est de couvrir trois quart de la population d'ici un an et demi. La Banque de France vient de préciser le calendrier de migration vers les nouvelles normes de sécurité dictées par la directive européenne sur les services de paiement (DSP2). Celle-ci entre en vigueur demain, 14 septembre, mais les banques ont reçu un délai supplémentaire pour s'y conformer. Côté grand public, le principal changement concerne les achats en ligne. Actuellement, si le montant est conséquent et que le vendeur est équipé, l'acheteur s'authentifie en donnant le cryptogramme de la carte et un code à usage unique envoyé par SMS (norme 3D Secure). Mais, face à la montée en puissance du piratage, cette méthode n'est plus assez sécurisée. De nouvelles solutions d'authentification forte ("strong customer authentication", SCA) seront donc déployées progressivement. L'objectif est de couvrir plus de trois quart de la population d'ici à décembre 2020 et d'atteindre 90 % en juin 2022. Ces nouvelles solutions s'appuieront sur la norme 3D Secure v2. Elles devront faire intervenir au moins deux facteurs d'authentification de type différent (quelque chose que l'on sait, quelque chose que l'on a, quelque chose que l'on est). Elles pourront s'appuyer, par exemple, sur les applications mobiles des banques, les dispositifs biométriques des appareils, des clés de sécurité, des smartcard avec codes à usage unique, etc. Ces solutions seront choisies par les établissements bancaires et les prestataires de paiement, avant d'être proposées aux clients.
• 27/05/2020: lemondeinformatique.fr > FranceConnect s'ouvre timidement au secteur privé : Mis en place par la Dinum, FranceConnect pouvait être utilisé par le secteur privé depuis deux ans. Les restrictions sont partiellement levées…
• 13/07/2020: lesechos.fr > Paiements en ligne : l'authentification renforcée prend encore du retard (archive.org) : Dans un communiqué, l'Observatoire de la sécurité des moyens de paiement invite les acteurs à reprendre activement le chantier de l'authentification des transactions en ligne, conformément à la directive européenne DPS2. La date butoir de décembre 2020 risque d'être à nouveau décalée de quelques mois…