Français (France)
Le besoin de numérisation touche tous les secteurs de la vie économique et sociale. Ce besoin s'accompagne d'un corollaire inévitable : l'identification des utilisateurs. Et ce, avec un maximum sinon de certitude, du moins de probabilités. La procédure utilisée doit apporter le niveau de garantie nécessaire sur l'identité de l'utilisateur générant la confiance des entités chargées d'une relation contractuelle avec cet utilisateur.
Il est évident que tout chercheur cherche à réunir les éléments essentiels à l'identification en mettant au point une procédure simple, rapide, efficace.
Tout repose sur une base solide qui est définie au moment de ce que l'on appelle "l'enrôlement" de l'utilisateur. Il est d'une extrême importance que dès le départ la procédure d'identification repose sur une quasi-certitude d'avoir à traiter avec la vraie personne. Jusqu'à présent, cet enrôlement s'effectuait toujours en présence d'une personne habilitée à vérifier les documents de base présentés par l'utilisateur. "Aujourd'hui, les services en ligne se généralisent et l'utilisation de nouveaux canaux tels que la tablette et le smartphone pour effectuer des opérations sensibles n'importe où et n'importe quand est de plus en plus récurrente. Or, l'identification reste cruciale aussi en situation de mobilité et il faut donc trouver des solutions permettant aux usagers de s'identifier de manière sécurisée ! » souligne Laurent Guillaume, responsable Marketing opérationnel au sein de la division Digital Security & Authentication de Safran Identity & Security. « En utilisant ces systèmes et en créant ainsi son identité numérique, le client peut par exemple ouvrir à distance un compte en banque. D'où la création par Safran Identity & Security de "l'auto-enrôlement des individus sur smartphone". L'idée est de permettre à toute personne de s'enrôler en utilisant l'auto-enrôlement proposé par l'intermédiaire de sa banque en ligne ou mobile, du site de sa ville et de tout autre site qui a adopté cette nouvelle procédure.
Comment ça marche ?
Pour réaliser l'auto-enrôlement, l'utilisateur doit disposer de documents officiels comme la carte d'identité, le passeport, le permis de conduire qu'ils soient électroniques ou pas (tous les documents n'étant pas électroniques et tous les smartphones n'étant pas équipés de module NFC pour lire les puces électroniques).
Pour s'auto-enrôler, l'utilisateur prend une photo d'au moins un document d'identité officiel, puis d'un autre document comme sa facture d'énergie ou de consommation d'eau qui vont prouver qu'à une date récente l'utilisateur habitait bien à une certaine adresse et d'autres pièces qui vont apporter des éléments supplémentaires d'identification. Une fois ces éléments scannés, la solution proposée met en œuvre des algorithmes qui vont s'assurer de la validité des documents présentés en vérifiant plusieurs éléments comme la structure des documents, l'emplacement de la piste MRZ (Machine Readable Zone) des passeports et la correspondance de son contenu avec les éléments visibles sur le titre, ainsi que la présence des éléments de sécurité des titres présentés. Ainsi, l'auto-enrôlement peut se faire avec tout smartphone disposant d'une simple application photo, mais aussi ceux disposant de la fonction NFC qui pourra lire les informations stockées dans les titres sécurisés électroniques. Le système de Safran Identity & Security s'adapte à tout produit et peut lire tout type d'identifiant.
L'identité numérique en Grande-Bretagne
Depuis mars 2016, les résidents du Royaume-Uni doivent disposer d'une identité numérique pour accéder à tous les services administratifs. Etonnant dans un pays qui refuse la carte d'identité, mais réaliste pour être reconnu sur l'Internet, le monde invisible. Le gouvernement de sa gracieuse majesté a lancé le service UK IDAP (Identity Assurance Programme) accessible sur le site Gov.UK Verify*, le service qui identifie tout utilisateur des services proposés par l'Administration. Ce système d'identification utilise un "score de confiance". Pour disposer de ce service, l'administré répond à quelques questions simples sur le type d'appareil utilisé, l'âge, mais aussi et surtout son choix d'une société spécialisée dans la vérification d'identité comme dig identity, Post Office, Experian. Mais l'administré pourra également utiliser la société dont il utilise les services comme Citizen Safe, Royal Mal, Verizon, Barclays et Secure Identity fourni par Safran Identity & Security**. Enfin, l'administré indique le type de documents d'identité dont il dispose. Une fois enregistré, l'administré utilisera une double authentification avec son smartphone et un PIN pour accéder au service désiré. Safran Identity & Security intervient comme l'un des fournisseurs d'identité de l'administré.
Le service d'auto-enrôlement est utilisable par quiconque en utilisant le service d'une entreprise ou d'une entité administrative. Dans le cas d'une collectivité territoriale, le système est fourni sous forme d'un SDK (Software Development Kit) qui sera intégré dans l'application du territoire. Même principe pour un établissement bancaire qui utilisera son application de banque mobile.
La question qui se pose est de savoir quelle est la garantie sur l'identité de la personne qui s'est enregistrée ? Pour Laurent Guillaume, "il existe deux approches possibles, qui ne sont pas exclusives. La première repose sur l'utilisation d'un selfie qui permettra de faire une comparaison avec la photo figurant sur les documents scannés par l'utilisateur ou extraite de la puce du titre sécurisé. La comparaison se fait par un procédé d'analyse biométrique du visage. La deuxième approche consiste à poser à l'utilisateur un certain nombre de questions secrètes sur des sujets enregistrés dans des bases de connaissance non publiques, comme par exemple pour UK IDAP sur les crédits en cours".
En France, le service intéresse des entreprises, l'Etat et les collectivités territoriales, mais Laurent Guillaume reste très discret sur le sujet, sécurité et confidentialité oblige.
* voir l'application en détail sur YouTube :
https://www.youtube.com/watch?v=UXFgaDfWcnI
https://www.gov.uk/government/publications/introducing-govuk-verify/introducing-govuk-verify
** Secure Identity : https://secureidentity.co.uk/