Outils du site

Menu du site


savoir:identite_numerique

Identité numérique

(Crédit photo : geralt pour pixabay.com sous licence libre Creative Commons CC0)

Suivi de l'évolution de la mise en place de l'identité numérique bancaire et étatique.

Principe de l'identité numérique dans l'Union Européenne

La DSP 1 est appliquée depuis 2009 mais la DSP 2 n'est toujours que partiellement appliquée depuis 2018-2019. Prescrite par la DSP 2, l'authentification forte obligatoire pour tous les paiements en ligne devait entrer en vigueur le 14/09/2019 puis a été retardée. Sa date d'échéance de fin 2020 semble sur le point d'être repoussée à 2021.

Selon la DSP 2 :

  1. Les critères d'authentification d'un sujet peuvent être de natures :
    • mémorielles : ce que le sujet connaît (un mot de passe, etc.)
    • matérielles : ce que le sujet possède (une clé USB, un smartphone, etc.)
    • ontologiques : ce que le sujet est (empreinte biométrique corporelle ou comportementale)
  2. L'authentification forte implique de compliquer la procédure par l'utilisation de 2 critères de nature distincte

Authentification forte par smartphone

Étant donné qu'elle sera bientôt obligatoire, l'authentification forte est préconisée par les banques qui préparent leurs clients à ce changement, en faisant croire pour des raisons budgétaires, que l'utilisation d'un smartphone est nécessaire (rappel : un smartphone est un objet connecté bourré de programmes mouchards et de portes dérobées) :

Une authentification forte 1 fois tous les 3 mois à l'aide d'un smartphone :

Authentification forte par lecteur de carte (beaucoup plus sécurisé que le smartphone)

Les clients de banque sans smartphone ou bien situés en zone blanche doivent contacter leur conseiller financier pour obtenir un lecteur de carte très simple à utiliser (et plus sécurisé) comme par exemple le "Pass CyberPlus" gratuit de la Banque Populaire :

Lecteur de carte Pass Cyberplus de la Banque Populaire (Crédit : ordi49.fr sous licence CC BY 4.0)

Authentification par reconnaissance biométrique (ATTENTION DANGER !!)

Il ne faut JAMAIS utiliser de technologie biométrique ! En effet, il existe une tendance massive de fuites de données des serveurs à plus ou moins longue échéance. En cas de suspicion, un mot de passe se change très facilement tandis que se faire refaire le visage, les empreintes digitales, ou l'iris est assez difficile…

Étant donné que les sociétés Apple, Google et Microsoft ont mis en place et banalisé les technologies biométriques par reconnaissance faciale, digitale et oculaire, la tentation étatique du recours massif abusif aux données biométriques est extrêmement forte, bien que très controversée (cf. application mobile française AliceM qui sera prochainement remplacée par la Carte Nationale d'Identité électronique CNIe) :

Identité numérique en France

En France, l'identité numérique est un service fourni sous autorité de l'état, par un service centralisé hébergé sur le territoire français. Comme cela existe depuis longtemps ailleurs (Estonie), il a vocation à être intégré à une prochaine version des Cartes Nationales d'Identité (CNI), ce qui implique des problèmes supplémentaires1)

Associations de défense des libertés publiques et individuelles

Articles de presse (ordre chronologique)

Annexe

Différence juridique entre authentification et identification

Source : fr.wikipedia.org > Authentification forte > Notes sur l'authentification et l'identification

La notion d'authentification s'oppose à celle de l'identification d'une personne physique ou morale (dirigeant et toute personne autorisée). Cette distinction est importante puisque par abus de langage, on parle d'authentification alors qu'il s'agit d'identification. Lorsqu'une personne présente sa pièce d'identité lors d'un contrôle, elle est identifiée grâce à un document officiel, mais n'est pas authentifiée, car le lien entre la pièce d'identité et la personne n'est pas établie de façon indiscutable, irrévocable et reconnue par les tribunaux en cas de litige.

Par opposition, lorsqu'une personne est authentifiée, cette authentification doit être apportée par un tiers de confiance et par une preuve au sens juridique reconnue devant les tribunaux (ex. : la signature électronique de la carte bancaire).

Ainsi, pour le e-commerce, un achat réalisé en confirmant le mot de passe ou le SMS reçu sur son téléphone portable, indique seulement que ce message affiché au propriétaire de la ligne de téléphone a été recopié sur une page web du site marchand (même si l'ouverture de session du téléphone se fait par biométrie). Mais ne suppose aucunement de l'engagement du propriétaire de la ligne car ce dernier n'a pas été authentifié (cas du vol d'un portable et utilisation par un tiers). Autrement dit, aucune preuve matérielle ne permet de s'assurer de son engagement dans la transaction.

En synthèse, la charge de la preuve émanant d'un tiers de confiance distingue l'identification de l'authentification en cas de litige ou de contestation.

Commentaires

Entrer votre commentaire:
Si vous ne pouvez pas lire le code, téléchargez ce fichier .wav pour l'écouter.
 
savoir/identite_numerique.txt · Dernière modification: 10/09/2020 04:15 de Médéric