Bienvenue à la 4e partie de notre série de blogues sur les justificatifs d'identité numériques vérifiables (VDC)! Dans les précédents articles de blogue, nous avons préparé le terrain pour pourquoi les VDC sont importants, déballé ce que sont les VDC, et exploré cas d'utilisation pratiques où les VDC ajoutent de la valeur.
Dans cet article, nous examinerons de plus près l'écosystème VDC, notamment :
- Terminologie clé
- Comment les VDC se comparent à la fédération et aux passkeys
- Normes et protocoles
- Comment les informations d'identification sont émises et approuvées
- Où Okta et Auth0 s’inscrivent-ils ?
Allons-y sans plus tarder !
Terminologie
Pour rendre les détails techniques plus faciles à comprendre, revenons au scénario du magasin de feux d’artifice de notre blog précédent. Imaginez que vous essayez d’acheter des cierges magiques et des toupies en ligne, et que le magasin doit vérifier que vous avez plus de 18 ans. Voici comment les principaux acteurs et concepts du monde des justificatifs numériques vérifiables (VDC) correspondent à cette expérience :
Les acteurs
Vous êtes le détenteur : Vous êtes la personne en possession des informations d'identification. (Dans certains cas, un parent peut détenir les informations d'identification d'un enfant en son nom.
Le magasin d'articles pyrotechniques est le vérificateur :il demande et valide l'identifiant pour confirmer votre âge.
Votre DMV d'État est l'émetteur :il affirme des allégations à votre sujet (en l'occurrence, que vous avez 18 ans ou plus) en émettant un permis de conduire mobile (mDL).
Les outils
Votre portefeuille est l'application sur votre téléphone qui stocke et présente les informations d'identification (un type de gestionnaire d'informations d'identification, qui comprend plus largement les logiciels de gestion des mots de passe, des clés d'identification et des identifiants numériques).
Le mDL lui-même est l'identifiant numérique vérifiable (VDC) : un identifiant numérique qui est cryptographiquement vérifiable.
Confiance et contrôle
Lorsque vous passez à la caisse, vous pouvez utiliser la divulgation sélective pour ne partager que le fait que vous avez 18 ans, sans révéler votre date de naissance complète ou votre adresse personnelle.
Le magasin d'artifices sait qu'il peut faire confiance au DMV parce que le DMV fait partie d'une liste de confiance : un registre des émetteurs de confiance et de leurs ancres cryptographiques..
Derrière cette liste de confiance se trouve un cadre de confiance : les règles commerciales et politiques qui déterminent comment les émetteurs sont inscrits sur la liste et quelles normes ils doivent respecter.
En quoi les VDC sont-ils différents de la fédération et des passkeys ?
Les VDC ne remplacent pas la fédération ou les passkeys. Considérez-les comme des outils complémentaires : la fédération connecte les identités entre les systèmes, les passkeys sécurisent l'authentification et les VDC apportent des informations portables et vérifiables. Ensemble, ils créent un écosystème d'identité plus fort et plus convivial.
Fédération
L'authentification fédérée (également appelée authentification sociale) est un élément essentiel de l'authentification des consommateurs et des entreprises depuis des années. Voici comment fonctionne cette intégration :
- L'utilisateur se connecte via un fournisseur d'identité (IdP) tel que Google.
- L'IdP authentifie l'utilisateur et émet un jeton (avec des revendications telles que le nom, l'adresse électronique et le numéro de téléphone).
- Le jeton est renvoyé au service, qui crée un compte pour l'utilisateur.
L'avantage : Les utilisateurs n'ont pas besoin de se souvenir d'un autre mot de passe.
L'inconvénient : Chaque fois que vous utilisez un IdP fédéré, vous signalez le service auquel vous essayez d'accéder, ainsi que des métadonnées telles que votre position approximative. Bien que l'IdP fédéré soit utile dans les contextes de la main-d'œuvre, cela crée des risques importants pour la vie privée des consommateurs.
VDC
- Vous pouvez considérer les VDC comme une forme évoluée de fédération.
- Un émetteur (similaire à un IdP dans la fédération) affirme des revendications à votre sujet.
- Vous, le détenteur, présentez ces revendications à un vérificateur (semblable à un fournisseur de services dans la fédération).
- Le vérificateur contrôle la validité à l'aide d'une ou plusieurs listes de confiance.
Différence essentielle : vous pouvez conserver et contrôler ce qui est partagé dans VDC. Il n'est pas nécessaire que vos données personnelles soient stockées dans votre compte fédéré (ou de connexion sociale). Et l'entreprise qui possède votre compte fédéré n'a pas à conserver vos informations personnelles, et elle ne voit pas quand ni comment vous les utilisez. De cette façon, les VDC renforcent la confidentialité en vous donnant plus de contrôle sur vos données d'identité.
Passkeys
Les passkeys sont apparues comme une alternative résistante au phishing aux mots de passe, aux OTP et aux liens magiques. À première vue, elles peuvent ressembler aux VDC (toutes deux impliquent la cryptographie et peuvent résider dans un portefeuille ou un gestionnaire d'informations d'identification), mais elles résolvent un problème différent :
Clés d'identification = pour l'authentification (prouver à un service que « c'est moi »).
VDC = pour la présentation de revendications (prouver quelque chose sur vous).
Il convient de noter que les clés d'identification sont uniques à chaque site Web ou application, comme si vous aviez une clé différente pour chaque serrure, ce qui les rend respectueuses de la vie privée par défaut. Aucun service ne peut relier votre utilisation des clés d'identification sur différents sites. En revanche, les VDC nécessitent des mesures de protection supplémentaires (comme la cryptographie avancée et l'émission en masse) pour garantir qu'ils ne deviennent pas des vecteurs de suivi lorsqu'ils sont présentés en ligne.
Comment ils fonctionnent ensemble
Les passkeys, la fédération et les VDC s'adressent à différentes couches de la pile d'identité, et ils sont complémentaires plutôt que concurrents. En pratique, ils fonctionnent souvent ensemble :
Une demande de prêt hypothécaire peut commencer par une VDC émise par le gouvernement pour prouver l'identité. Une fois l'identité vérifiée et un compte créé, une clé d'identification est créée pour l'utilisateur pour les futures connexions.
Un service de livraison d'alcool peut permettre de s'inscrire par l'intermédiaire d'un fournisseur d'identité fédéré (par ex.fournisseur d'identité connexion avec Google), de vous authentifier à l'aide d'une adresse passkey auprès de ce fournisseur d'identité (afin de ne pas vous fier à un mot de passe), puis de demander un CDV délivré par l'État lors du paiement afin de vérifier l'âge.
Pour une analyse plus approfondie, consultez ma session Identiverse 2025 : Passkeys and Verifiable Digital Credentials: Friends or Foes?
SD-JWT VC, Digital Credentials API, OpenID for Verifiable Presentations, Oh My
L'écosystème des informations d'identification numériques vérifiables est assez vaste et implique de nombreuses normes techniques différentes élaborées par de nombreux organismes d'élaboration de normes. Les normes couvrent tous les aspects de l'écosystème afin de favoriser l'interopérabilité : identificateurs, gestion des clés, schémas, formats d'informations d'identification, protocoles de présentation, protocoles d'émission, API Web, et plus encore. Voici quelques normes de base.
Formats d’informations d’identification
SD-JWT VC est un format d'informations d'identification VDC qui prend en charge la divulgation sélective et est basé sur le jeton Web JSON familier et convivial pour les développeurs. SD-JWT VC est développé dans l'IETF.
Le format mdoc, défini dans la spécification ISO 18013-5, est principalement utilisé pour les mDL et autres documents d'identité délivrés par le gouvernement. Alors que le mdoc définit la structure de l'identification, la norme ISO 18013-5 spécifie également des règles pour l'émission et l'utilisation physique, en personne. La norme ISO 18013-7 étend cela aux scénarios de présentation à distance (en ligne), en profilant les spécifications existantes comme OpenID4VP et l'API d'identification numérique pour prendre en charge la vérification sécurisée sur le Web.
*Remarque : les spécifications ISO ne sont pas disponibles gratuitement et doivent être achetées par tous les lecteurs.
Protocoles
OpenID pour l'émission de justificatifs vérifiables (OpenID4VCI) définit comment un émetteur et un gestionnaire de justificatifs (portefeuille) échangent des informations pour émettre un VDC. Il prend en charge plusieurs formats d'identification et peut être utilisé seul ou via l'API Digital Credentials.
OpenID for Verifiable Presentations (OpenID4VP) définit comment un gestionnaire d’identifiants (portefeuille) présente un VDC à un vérificateur. Le protocole est indépendant du format des identifiants et peut être pris en charge par n’importe quel portefeuille. OpenID4VP peut être utilisé avec des flux traditionnels basés sur la redirection ou via l’API Digital Credentials.
Ensemble, OpenID4VCI et OpenID4VP forment la famille OpenID for Verifiable Credentials, développée à la OpenID Foundation.
API
L'W3C Digital Credentials API, un effort mené par Okta en collaboration avec certains partenaires de l'industrie, est un élément crucial de l'écosystème VDC. Il permet une émission et une présentation sécurisées et conviviales des VDC sur le Web et dans les applications. Si vous connaissez l'API WebAuthn pour les passkeys, la Digital Credentials API joue un rôle similaire pour les VDC.
Voici pourquoi c'est important :
Visuel de gauche : flux de présentation VDC avec « schéma personnalisé » : un utilisateur voit une invite vague à sélectionner un portefeuille et n’a aucun contexte concernant la demande.
- Image de droite : Flux de présentation de la VDC avec l'API Digital Credentials — l'utilisateur voit qui demande l'authentification et un carrousel clair d'options pour la remplir—l'utilisateur n'a pas besoin de se souvenir où il a stocké chaque authentification.
Pour rassembler certains éléments (acronymes et tout), nous pouvons émettre un SD-JWT VC en utilisant OID4VCI via l'API Digital Credentials, puis demander une présentation du SD-JWT VC en utilisant OID4VP via l'API Digital Credentials !
Comment obtenir une identification numérique vérifiable ?
Avant de pouvoir présenter un VDC, vous devez d'abord en obtenir un. Voici deux façons courantes dont cela se produit :
1. Émission initiée par un site Web ou une application
Considérez cela comme l’enregistrement d’une carte d’embarquement ou d’un billet de concert sur votre téléphone. Sur un site Web ou une application, un bouton vous invite à « Ajouter au portefeuille ». Pour les VDC, cliquer sur ce bouton appelle l’API Digital Credentials et demande à quel gestionnaire d’informations d’identification (portefeuille) vous souhaitez enregistrer les informations d’identification. Le portefeuille peut alors afficher une interface utilisateur supplémentaire pour terminer le processus.
2. Émission initiée par le gestionnaire d'informations d'identification ou le portefeuille
Parfois, le processus commence directement dans votre gestionnaire d'informations d'identification ou votre portefeuille. C'est typique pour les mDL aux États-Unis ou les informations d'identification dérivées comme Google ID Pass. Le portefeuille vous guide dans la demande et l'enregistrement des informations d'identification sans avoir besoin d'un site Web ou d'une application distincte. Vous trouverez ci-dessous des exemples des écrans « Ajouter au portefeuille » dans Apple Wallet, Google Wallet et Samsung Wallet.
Les deux flux sont conçus pour être simples, sécurisés et familiers, en tirant parti des mêmes modèles que les utilisateurs connaissent déjà grâce aux billets numériques, aux cartes de fidélité ou aux cartes d'embarquement.
Comment faire confiance à un VDC ?
La confiance dans les VDC commence par la cryptographie. Lorsqu'un vérificateur reçoit un justificatif, la première vérification est sa signature numérique, qui confirme qu'il a été émis par une autorité de confiance.
Pour que cela soit possible, les écosystèmes s'appuient sur des listes de confiance et des cadres de confiance. Une liste de confiance est essentiellement un ensemble organisé d'entités de confiance et de leurs clés de signature - considérez-la comme les autorités de certification racine (CA) dans le magasin de confiance de votre navigateur. Un cadre de confiance définit les règles et les politiques relatives à la manière dont les émetteurs sont inscrits sur la liste, combinant à la fois des exigences commerciales et techniques.
Prenons l'exemple des mDL : aux États-Unis et au Canada, les DMV des États et des provinces publient leurs clés de signature par l'intermédiaire de l'American Association of Motor Vehicle Administrators (AAMVA) Digital Trust Service. Ces clés, appelées Issuing Authority Certification Authorities (IACA), servent d'ancres de confiance. Les plateformes comme Okta et Auth0 peuvent se synchroniser régulièrement avec l'AAMVA pour s'assurer que les nouveaux émetteurs sont reconnus automatiquement.
Ce modèle ne se limite pas aux pièces d'identité gouvernementales. Dans le domaine de l'éducation, les fédérations négocient déjà la confiance entre les universités et les pays ; dans les secteurs de la santé, de la finance et autres, les associations industrielles jouent un rôle similaire. Ces listes de confiance et ces cadres de travail sont ce qui assurera l'interopérabilité et la fiabilité des VDC au-delà des domaines et des frontières.
Où Okta et Auth0 s’intègrent-ils dans l’écosystème VDC ?
Imaginez que vous créez une nouvelle application qui doit vérifier l'âge, l'emploi ou le statut de certification des utilisateurs. Sur le papier, cela semble simple, mais en réalité, il peut être difficile de s'y retrouver entre les normes fragmentées, les multiples formats d'informations d'identification et les identités numériques et physiques.
C'est là qu'Okta et Auth0 apportent une réelle valeur ajoutée. Nos plateformes gèrent déjà les fonctions d'identité clés : la création d'assertions, leur consommation à partir d'autres fournisseurs d'identité et la fourniture de SDK et de bibliothèques pour intégrer l'identité dans presque toutes les applications.
En offrant des capacités de vérification et d'émission de VDC, nous simplifions la mise en œuvre pour les développeurs, en faisant abstraction de la complexité d'une pile de normes emmêlées. Cela jette les bases pour que les VDC deviennent un élément de base transparent et réutilisable pour l'identité numérique à l'avenir.
Nous construisons une base qui fait de cette nouvelle capacité de base un élément constitutif transparent pour l'avenir. Pour les cas d'utilisation plus complexes ou à long terme, comme les certifications professionnelles ou les Smart Health Cards, nos outils aident les développeurs, les administrateurs et les consommateurs à construire et à soutenir leurs communautés en toute sécurité.
Pour en savoir plus et voir les VDC en action, consultez oktacredentials.dev.
