Oktane fut un vrai succès ! Oktane fut un vrai succès ! Visionner nos sessions à la demande. →
+33 1 85 64 08 80 Recherche

Self-Sovereign identité (SSI) : Gestion autonome des identités

Mis à jour: 26 août 2024 Temps de lecture: ~

Sujette

IAM

Sommaire

 

Cet article a été traduit automatiquement.

 

L'identité souveraine (SSI) est un formulaire d'identité numérique sur lequel l'utilisateur a un contrôle total. Cela signifie que l'utilisateur décide qui voit quelles informations et quand. 

L'identité numérique est l'identification en ligne d'un utilisateur, similaire à une carte d'identité physique telle qu'un passeport ou un permis de conduire. Une identité numérique contient des caractéristiques ou des attributs de l'utilisateur. Grâce à l'identité souveraine, ces informations d'identification sensibles sont conservées en toute sécurité et en toute confidentialité. Les technologies de l'information sont à tout moment sous le contrôle de l'utilisateur.

L'identité auto-souveraine utilise les technologies de la blockchain. Les systèmes SSI sont décentralisés et utilisent un canal numérique et sécurisé de paire à paire qui repose sur le triangle de confiance. Le triangle de confiance du SSI comprend trois entités : l'émetteur de l'identifiant numérique, le propriétaire de l'identifiant et le vérificateur de l'identifiant. 

Contrairement à d'autres formulaires d'identité numérique, avec SSI, il n'est pas nécessaire de partager à chaque fois toutes les informations figurant sur la carte d'identité. Cela peut contribuer à garantir le respect de la vie privée et la sécurité en ne partageant les informations pertinentes qu'avec le demandeur d'identité.

Comprendre l'identité souveraine

L'identité souveraine peut contribuer à instaurer le même niveau de confiance et de liberté pour le partage ou la distribution des caractéristiques de l'identité dans le monde numérique que celui dont dispose un individu dans le monde physique. SSI est utilisateur-axé sur, ce qui signifie que l'utilisateur possède ses propres données et ne dépend pas d'une autorité centrale pour prouver qu'il est bien celui qu'il prétend être. 

Avec SSI, l'utilisateur contrôle totalement les informations qu'il partage et avec qui. En utilisant un métasystème d'identité commun, les utilisateurs sont en mesure de vérifier leur identité numérique sur plusieurs plateformes et dans des lieux différents. L'identité souveraine est donc privée, sécurisée et portable.

Protocoles à l'origine de l'ISS

Le SSI repose sur trois protocoles principaux : les identifiants vérifiables, les identifiants décentralisés et les technologies de registre distribué (DLT) ou blockchain. 

  • Identifiants vérifiables : Le protocole des identifiants vérifiables, tel que normalisé par le W3C, garantit que les déclarations faites par l'émetteur de la carte d'identité numérique le sont dans le respect de la vie privée et de l'inviolabilité. Avec l'identité souveraine et les identifiants vérifiables, des techniques sont utilisées pour préserver la vie privée à l'aide de la cryptographie à clé publique et du tatouage numérique.

Le propriétaire des identifiants peut décider de la quantité et des composants exacts de l'identifiant numérique à partager avec le vérificateur, ce qui lui permet de ne montrer que ce qui est nécessaire et demandé. Le vérificateur d'identité est alors en mesure de vérifier instantanément les données sans avoir à contacter l'émetteur de l'identité.  

  • Identifiants décentralisés : Les identificateurs numériques classiques s'appuient sur des intermédiaires pour établir une connexion entre deux parties. Il peut s'agir de fournisseurs de courrier électronique, d'opérateurs de réseaux mobiles, de Facebook et de Google. Ces intermédiaires stockent les informations relatives à l'identité numérique personnelle dans une base de données centralisée. 

Cette base de données centralisée est vulnérable à une brèche de données potentielle où les cybercriminels peuvent avoir accès à ces identifiants personnels. Les interactions entre ces connexions ne sont pas non plus protégées et l'utilisateur n'a aucun contrôle sur l'utilisation des métadonnées recueillies par ces parties.

Les technologies de l'information peuvent être utilisées de manière anodine, par exemple pour adapter la publicité de Sommaire sur vos médias sociaux en fonction de vos interactions. Cependant, les technologies de l'information peuvent également être utilisées à des fins malveillantes. Le point essentiel est que vous, en tant que propriétaire des identifiants, n'avez aucun contrôle sur l'utilisation des métadonnées collectées.

Le SSI repose sur un identifiant décentralisé (DID), qui peut être privé ou public. Avec un DID privé, personne en dehors de la connexion sécurisée paire à paire n'a connaissance de votre interaction ou de vos informations d'identité personnelles. On utilise un canal sécurisé qui ne dépend pas d'une autorité centrale.

Les DID publiques sont utilisées pour partager uniquement les informations que le propriétaire de l'ID veut et doit partager. Cela se fait par le biais d'une connexion sécurisée.  

  • Technologies des registres distribués (DLT) ou technologies de la chaîne de blocs : Les technologies blockchain sont à l'origine des bases de données décentralisées. La technologie de l'information permet à tous les membres du réseau sécurisé d'avoir la même source fiable concernant la validité des identifiants et la personne qui a attesté de la validité des données contenues dans les identifiants, tout en préservant la confidentialité des données réelles. La vérification de la preuve repose alors sur la validité de l'attestateur.

Par exemple, si vous devez prouver votre âge sans communiquer votre date de naissance, vous pouvez simplement communiquer la signature de l'autorité qui a délivré vos pièces d'identité, comme une carte d'identité délivrée par le gouvernement, et le vérificateur peut alors valider que vous avez l'âge requis puisqu'il a confiance en l'autorité qui a délivré la carte. Aucune donnée à caractère personnel n'est stockée dans la blockchain, et tout ce qui est inscrit dans le grand livre distribué (la blockchain) ne peut être supprimé ou modifié, ce qui rend la technologie de l'information immuable.

Qu'est-ce que l'identité numérique ?

Une identité numérique est l'identification numérique d'un utilisateur ou d'une entité, et elle est composée de caractéristiques ou d'attributs de données. C'est ce qui permet d'identifier un utilisateur ou une entité en ligne et dans le monde numérique.  

Une identité numérique peut comprendre les informations suivantes :

  • Nom d’utilisateur et mot de passe
  • Date de naissance
  • Numéro de sécurité sociale (SSN)
  • Historique et transactions en ligne
  • Citoyenneté
  • Permis d'exploitation
  • Informations médicales
  • Diplôme universitaire
  • Attestations de collègues ou d'amis
  • Compte et activité dans les médias sociaux

Les identités numériques sont liées à au moins un identifiant numérique, qui peut être un nom tbd, une adresse URL ou une adresse électronique. Les informations relatives à l'identité numérique peuvent être stockées dans un portefeuille numérique, tout comme les identifiants physiques sont conservés en toute sécurité dans un portefeuille sur soi ou dans un lieu sûr. 

Types d'identité numérique

L'identité numérique a évolué en même temps que les technologies afin de protéger les informations personnelles identifiables (PII) contre les acteurs malveillants.

Le premier modèle d'identité numérique est appelé le modèle en silos. L'utilisateur devra demander une identité numérique à chaque service qu'il souhaite utiliser. L'utilisateur devra alors présenter à chaque fois ses identifiants de connexion à chaque service.

Cela peut créer des frictions pour l'utilisateur et présenter un risque pour la sécurité avec la possibilité d'une faiblesse du tbd. L'utilisateur n'a pas non plus de contrôle sur ses données, notamment sur ce qui est partagé, comment et avec qui.

Le second modèle est appelé identité fédérée. IT fait appel à un tiers émetteur d'identités numériques identifiantes, comme Facebook et Google. Avec ce modèle, l'utilisateur se voit délivrer une identité numérique par ce tiers, qu'il peut ensuite utiliser pour accéder à des services supplémentaires à l'adresse log. 

La gestion des identités est confiée à un fournisseur d'identité, qui devient alors l'intermédiaire de confiance. Ces fournisseurs conservent les informations relatives à l'identité numérique et aux identifiants dans une base de données centralisée, souvent avec une incitation financière à le faire. Cela pose des problèmes de confidentialité et de sécurité. 

Le troisième type d'identité numérique, plus évolué, est l'identité souveraine. Ce modèle tient compte des préoccupations des utilisateurs en matière de sécurité et de respect de la vie privée, tout en offrant une expérience utilisateur sans friction. 

Les avantages de l'identité autonome

En 2021, près de 1,5 million de cas d'usurpation d'identité ont été signalés à la Commission fédérale du commerce (FTC). 

L'utilisation de SSI permet à l'utilisateur de contrôler son identité numérique et peut constituer une méthode plus sûre pour éviter que des informations sensibles ne tombent entre de mauvaises mains. Voici quelques-unes des prestations offertes par le SSI :

  • La délivrance d'identifiants est simple et rapide.
  • Les identifiants peuvent être vérifiés à tout moment et en tout lieu, que l'émetteur existe toujours ou non et qu'il soit en ligne.
  • La cryptographie garantit l'inviolabilité des identifiants.
  • Grâce aux technologies de divulgation sélective de l'identité, l'identité numérique reste privée et sous le contrôle de l'utilisateur. L'utilisateur décide des informations à révéler et reste maître de la relation avec le vérificateur d'identité.
  • Un canal numérique et sécurisé paire à paire est utilisé pour connecter l'émetteur de l'identifiant, le propriétaire de l'identifiant (l'utilisateur) et le vérificateur de l'identifiant. Même le fournisseur du système SSI ne sait pas quelles informations sont partagées.
  • SSI utilise un système décentralisé, ce qui signifie que les informations relatives à l'identité personnelle ne sont pas stockées sur un serveur centralisé et qu'il est donc beaucoup plus difficile pour un cybercriminel de les pirater.
  • La plupart du temps, vous n'aurez besoin que du mot de passe pour accéder à votre portefeuille numérique avec SSI et non pas de plusieurs tbd pour différents sites. Cela permet de réduire le manque de rigueur en matière de mots de passe, qui peut conduire à des tbd incertains, faibles et répétés.

Distinguer l'identité auto-souveraine

Avec le SSI, il existe un triangle de confiance entre le propriétaire de l'identifiant numérique (l'utilisateur), l'émetteur des identifiants (une entité de confiance) et le vérificateur de l'identifiant (généralement une tierce partie). Le propriétaire de l'identifiant numérique peut décider de la manière dont ses informations sont partagées et de quelle manière. 

Il existe deux méthodes principales d'authentification utilisées pour préserver la confidentialité de la carte d'identité numérique tout en permettant à son propriétaire de prouver qu'il remplit les conditions requises. Cela se fait sans montrer toutes les informations d'identification. 

La première méthode est la divulgation sélective, qui permet à l'utilisateur de générer des preuves à partir de quelques attributs de ses identifiants. Par exemple, ils peuvent prouver leur âge en communiquant leur date de naissance figurant sur une pièce d'identité délivrée par le gouvernement, sans pour autant communiquer le reste des données figurant sur cette pièce d'identité, qui peuvent contenir une adresse personnelle et bien d'autres choses encore. 

La deuxième méthode d'authentification est la preuve à connaissance nulle (ZKP). Cette méthode utilise la cryptographie pour prouver que le propriétaire de la carte d'identité répond à une exigence spécifique sans pour autant partager les informations justificatives. 

SSI utilise des méthodes de chiffrement asymétriques, qui génèrent une clé publique et une clé privée lorsqu'une connexion est établie entre l'émetteur d'un identifiant et le propriétaire de l'identifiant. La clé publique est partagée entre les deux parties, tandis que la clé privée (secrète) est utilisée pour vérifier les informations. Chacune de ces connexions est stockée en toute sécurité dans le portefeuille numérique.

Exemples d'identité souveraine dans le monde réel

SSI peut aider une variété d'industries à améliorer l'expérience utilisateur, réduire la bureaucratie gouvernementale, améliorer les pratiques bancaires, rationaliser la santé, détecter la fraude académique, éviter les brèches de données personnelles, maintenir la conformité GDPR (General Data Protection Regulation), et aider les individus dont l'autorité émettrice de l'identité n'existe plus à être en mesure de vérifier leur identité.

Voici quelques exemples concrets de l'utilisation de l'identité souveraine :

  • La Providence de la Colombie-Britannique, au Canada, possède le premier écosystème de production basé sur Indy qui s'appuie sur le réseau des organisations vérifiables (VON) pour déployer un système d'identité décentralisé. Au Canada, chaque propriétaire d'entreprise doit posséder trois numéros d'identification fiscale différents, attribués par trois niveaux différents de la bureaucratie gouvernementale : local, provincial et fédéral. Avec le SSI, une seule organisation de confiance au sein de cette chaîne de valeur émettra un identifiant numérique vérifiable que les autres organisations seront en mesure de vérifier.
  • L'infrastructure européenne de services blockchain (EBSI) est un autre effort visant à utiliser les capacités de l'ISS pour lancer et exploiter des services publics transfrontaliers à l'échelle de l'UE, permettant aux utilisateurs de contrôler leur propre identité sans dépendre d'autorités centralisées.

L'identité souveraine peut également être bénéfique aux secteurs de la banque, de la santé, de l'aide humanitaire et des ressources humaines. Dans le secteur bancaire, le SSI peut aider à sécuriser les données des utilisateurs et à préserver la confidentialité, ce qui peut contribuer à la connaissance du client (KYC) et aux réglementations de conformité du secteur. 

Pensez à toutes les formalités administratives et aux différentes entités impliquées dans l'obtention d'un prêt hypothécaire, par exemple. Avec l'identité autonome, ce processus pourrait être rationalisé.

Utilisé dans le cadre des ressources humaines, le SSI pourrait potentiellement accélérer l'accès des employés au site onboarding et aider les personnes à vérifier les informations nécessaires, même si l'autorité émettrice n'existe plus. Cela peut être particulièrement utile pour les réfugiés, par exemple, qui ne sont pas en mesure de prouver leurs diplômes ou leurs licences professionnelles si l'institution qui les a délivrés a été détruite. 

Au sein de Santé, l'identité du patient est extrêmement importante, mais de nombreux systèmes impliqués dans les soins médicaux complets ne communiquent pas correctement. L'identité souveraine pourrait permettre aux patients de recevoir le traitement dont ils ont besoin tout en protégeant les informations sensibles relatives à leur identité.

Ressources supplémentaires

Pour plus d'informations sur la sécurité et la commodité d'un portefeuille numérique, ces ressources peuvent vous aider. Vous pouvez En savoir plus sur les technologies blockchain ici. En outre, Okta offre plus de détails sur l'identité fédérée. 

En fin de compte, l'identité souveraine, ou SSI, est un type de modèle d'identité numérique qui peut aider l'utilisateur à protéger et à contrôler la façon dont ses données sont utilisées et consultées, offrant ainsi un niveau élevé de confidentialité et de sécurité.

Références

Modèle de données des identifiants vérifiables v1.1. (mars 2022). W3C.

De nouvelles données montrent que la FTC a reçu 2,8 millions de rapports de fraude de la part des consommateurs en 2021. (février 2022). Commission fédérale du commerce (FTC).

Règlement général sur la protection des données (RGPD). Intersoft Consulting.

Identité décentralisée. (Décembre 2018). Gouvernement de la Colombie-Britannique.

Services transfrontaliers européens avec EBSI. Commission européenne EBSI.

Qu'est-ce qu'un portefeuille numérique ? (mars 2022). U.S. News & World Report.

Qu'est-ce que la blockchain ? (2022). Euromoney Institutional Investor, PLC.

Qu'est-ce que fédéré identité ? (2022). Okta.

Continuez votre parcours dans l‘univers de l’identité

Essayez Okta gratuitement, ou contactez notre équipe pour discuter de vos besoins spécifiques.

Découvrir
Nous contacter