Bientôt la fin des noms d’utilisateur et des mots de passe ?

Andy Tobin 26 août 2022

La législation eIDAS 2.0 vise à créer une capacité d’identité numérique harmonisée pour tous les citoyens de l’UE.

Le point de vue d’Avast sur le projet de rapport sur la proposition de règlement du Parlement européen et du Conseil pour modifier le règlement (UE) n° 910/2014 sur l’établissement d’un cadre européen relatif à une identité numérique. Publié par la commission de l’industrie, de la recherche et de l’énergie, le 31 mai 2022.

Introduction

L’Europe en est aux premiers stades d’une transformation du mode d’identification en ligne des personnes et de la confiance numérique qu’elles établissent entre elles et et avec les organisations. 

Une nouvelle législation a été proposée, communément appelée « eIDAS 2.0 », afin de créer une capacité d’identité numérique harmonisée pour tous les citoyens de l’UE. La loi proposée est axée sur la vie privée, la confiance et le contrôle par l’utilisateur. Elle cherche à rééquilibrer le monde numérique en faveur de l’individu et moins des mégacorporations.

Correctement mise en œuvre, elle aboutira à de belles expériences utilisateur pour les internautes, la fin du remplissage fastidieux de formulaires, la fin de la préoccupation de savoir qui voit vos données, et peut-être même l’élimination totale des noms d’utilisateur et des mots de passe. Pour les organisations, les résultats pourraient être tout aussi transformateurs en réduisant les points de tension et les coûts de vérification de l’identité des personnes ou de leurs droits tout en freinant massivement la fraude en ligne.

La législation proposée est complexe d’un point de vue juridique et technique. De potentielles lacunes ou insuffisances pourraient bien se glisser dans cette loi sans être remarquées, ce qui pourrait avoir des répercussions négatives importantes sur la vie privée et la sécurité. Une grande attention doit être portée aux détails de la proposition afin d’éviter d’introduire des problèmes en aval.

Cette nouvelle approche est actuellement en phase d’examen et une importante série de révisions vient d’être publiée. Nous sommes très heureux de constater le sérieux qui a été accordé à ces propositions d’amendements. Cet article analyse certains des changements les plus importants et leur impact potentiel.

Amendements proposés

L’eurodéputée Romana Jerković (S&D, Croatie) a publié son projet de rapport modifiant la proposition de règlement eIDAS 2.0 pour l’identité numérique européenne au sein de la commission de l’industrie, de la recherche et de l’énergie (ITRE) du Parlement européen. Le projet de rapport est très complet et contient 139 propositions de modifications du règlement. Le niveau de détail est impressionnant, tout comme la compréhension technique démontrée dans les amendements.

Les membres du Parlement européen (MPE) vont maintenant débattre de la proposition le 27 juin avant la date limite du 28 juin pour les amendements et le vote en commission provisoirement prévu à la fin du mois d’octobre. 

Dans cet article, nous présentons les amendements les plus importants (selon nous) et leurs implications pour les fournisseurs de portefeuilles d’identité numérique de l’UE ainsi que pour l’ensemble de l’écosystème eIDAS 2.0 ; et surtout pour les citoyens européens. 

Ajout 3b

(3b) Tous les citoyens de l’Union ont le droit inaliénable à une identité numérique dont ils ont le contrôle exclusif et qui leur permet d’exercer leurs droits de citoyens dans l’environnement numérique et de participer à l’économie numérique. Une identité numérique européenne doit être légalement reconnue dans toute l’Union.

L’accent mis sur le « contrôle exclusif » est le bienvenu. Ces deux mots auront un impact important sur la conception des protocoles et des portefeuilles eIDAS 2.0. La mention « légalement reconnue » est également très importante car elle pose les bases d’une acceptation généralisée de l’identité numérique dans l’UE.

Ajout 3c

(3c) Dans le contexte du présent règlement, les personnes physiques et morales peuvent avoir une identité numérique. Les technologies et normes de mise en œuvre développées dans le cadre de l’application du présent règlement pourraient être étendues à la création d’identités numériques pour les objets connectés afin de définir une couche de confiance pour le développement de l’Internet des objets.

Pour nous, cet ajout est très positif. L’identité auto-souveraine a toujours été conçue pour les personnes, les organisations et les objets. Avec l’essor des voitures intelligentes, des téléviseurs connectés et des compteurs intelligents, il est de plus en plus important de savoir que l’on se connecte au bon « objet ». Si elle est correctement mise en œuvre, la même technologie utilisée pour le portefeuille européen d’identité numérique (EUDI) peut être appliquée aux organisations et aux objets, comme aux personnes.

Amendement 4

(4) ... permettant aux citoyens, aux autres résidents tels que définis par la législation nationale et aux entreprises de s’identifier et de s’authentifier en ligne et hors ligne de manière pratique et uniforme dans toute l’Union. 

Les termes « et hors ligne » ont été ajoutés. Les conséquences sont importantes pour la conception de la technologie sous-jacente du portefeuille EUDI. Les transactions entièrement hors ligne impliqueront des compromis, rendant par exemple difficile la vérification en temps réel du statut de révocation. L’utilisation hors ligne est une bonne chose, mais elle implique des compromis qu’il faudra accepter.

Amendements 5 et 5a

(5) Un cadre d’identité numérique harmonisé a le potentiel de réduire considérablement les coûts opérationnels liés aux procédures d’identification, par exemple lors de la prise en charge de nouveaux clients, et de réduire les dépenses et les dommages liés aux cybercrimes, tels que le vol de données et la fraude en ligne, de soutenir l’innovation et la compétitivité, et de promouvoir la transformation numérique des petites et moyennes entreprises (PME) de l’Union.

(5a) Un cadre d’identité numérique entièrement harmonisé peut permettre la création de valeur économique pour les particuliers et les entreprises en favorisant une plus grande inclusion, ce qui permet un meilleur accès aux biens et aux services en augmentant l’officialisation, contribuant à réduire la fraude, à protéger les droits et à accroître la transparence en réduisant les coûts opérationnels, ce qui soutient l’innovation et la compétitivité, et en promouvant la numérisation, permettant des gains d’efficacité et une plus grande facilité d’utilisation.

Ces nouvelles sections sont vraiment très intéressantes. Les documents publiés jusqu’à présent ne mettent pas suffisamment l’accent sur les bénéfices économiques de l’adoption d’eIDAS 2.0. Ces ajouts marquent le début de la reconnaissance de cette lacune. Il reste encore beaucoup de chemin à parcourir pour « vendre » le règlement eIDAS 2.0 aux propriétaires de grandes entreprises et aux PME du secteur privé. Ce sont ces organisations, et la propension de leurs clients à utiliser eIDAS 2.0, qui détermineront inévitablement son succès ou son échec. Nous recommandons à la Commission de mettre davantage l’accent sur les bénéfices économiques pour tous les participants à l’écosystème eIDAS 2.0.

Ajout 6b et amendement 31

(6b) La preuve à divulgation nulle de connaissance (ZKP) permet de vérifier une affirmation sans révéler les données qui la prouvent, sur la base d’algorithmes cryptographiques. Le portefeuille européen d’identité numérique devrait permettre de vérifier les affirmations déduites de l’identification des données personnelles ou de l’attestation des attributs sans avoir à fournir les données sources, afin de préserver la vie privée de l’utilisateur du portefeuille européen d’identité numérique tout en présentant une preuve à valeur juridique...

(31.5a) La « preuve à divulgation nulle de connaissance » désigne toute méthode cryptographique par laquelle une partie utilisatrice peut valider la véracité d’une déclaration donnée basée sur l’attestation électronique des attributs contenus dans le portefeuille européen d’identité numérique de l’utilisateur, sans lui transmettre les données relatives à cette attestation électronique des attributs ;

Il est extrêmement encourageant de voir figurer dans ce document la fonctionnalité de preuve à divulgation nulle de connaissance (ZKP). Dans certains milieux, les ZKP sont considérées comme « exotiques », mais en réalité, elles reposent sur une cryptographie parfaitement éprouvée. L’utilisation des ZKP représentera un avantage majeur pour le portefeuille EUDI et permettra de nouveaux types de transactions évitant une collecte excessive de données.

Ajout 9

(9) ... Les portefeuilles européens d’identité numérique doivent bénéficier du potentiel offert par les solutions inviolables telles que les éléments sécurisés et le chiffrement de pointe

Certains États qui définissent la spécification du portefeuille EUDI se sont montrés réticents à utiliser les méthodes de chiffrement, y compris des technologies telles que les preuves à divulgation nulle de connaissance et le secret de liaison. Ils ont exprimé le souhait de s’en tenir aux anciennes techniques. Cet ajout ouvre la porte à de nouvelles capacités qui, à leur tour, permettront de mettre en place des méthodes nouvelles et innovantes de traitement des données et de sécurisation de la connectivité.

Ajout 11

(11) …Les données biométriques utilisées dans le but d’identifier et d’authentifier une personne physique dans le cadre du présent règlement ne doivent pas être stockées dans le nuage.

Et

Le stockage des informations du portefeuille européen d’identité numérique dans le nuage doit être une fonction facultative activée uniquement après le consentement explicite de l’utilisateur. Lorsque le portefeuille européen d’identité numérique est fourni sur le smartphone de l’utilisateur, son contenu cryptographique doit être, lorsqu’il est disponible, stocké dans les éléments sécurisés de l’appareil.

Un petit ajout, mais très important. Il existe différentes façons de concevoir un portefeuille EUDI. Un portefeuille « périphérique » dont toutes les données, les clés et les données biométriques sont conservées sur le dispositif (par exemple, un smartphone). Un portefeuille « hybride » dans lequel certaines données (par exemple, une clé principale) se trouvent sur l’appareil et d’autres sont stockées dans le nuage. Et un portefeuille entièrement « en nuage » où l’appareil n’est qu’un canal vers les données, les clés, etc. qui sont toutes stockées dans le nuage.

Cet ajout indique qu’un portefeuille entièrement en nuage ne sera pas autorisé en cas d’utilisation de données biométriques. Étant donné que les données biométriques seront probablement un « attribut facultatif supplémentaire recommandé » des données d’identification personnelle sous la forme d’une photographie numérisée (sauf dans certaines juridictions comme l’Allemagne), cela implique que les portefeuilles devront être principalement « périphériques » par défaut, et « hybrides » si l’utilisateur le demande explicitement. L’utilisation de portraits numérisés sous forme de « modèles » apportera probablement une grande valeur à plusieurs des principaux cas d’utilisation décrits par la Commission, notamment les voyages et l’identification des personnes.

Ajout 21a

(21a) Le présent règlement vise à faciliter la création, le choix et le passage entre différents portefeuilles européens d’identité numérique. Afin d’éviter le cloisonnement, les émetteurs des portefeuilles européens d’identité numérique doivent, à la demande de l’utilisateur du portefeuille, assurer la portabilité effective des données, y compris l’accès continu et en temps réel aux services, et ne doivent pas être autorisés à utiliser des obstacles contractuels, économiques ou techniques pour empêcher ou décourager le passage effectif d’un portefeuille européen d’identité numérique à un autre.

Avast juge ce texte très encourageant. La portabilité des données et l’absence de portefeuilles propriétaires sont essentielles au succès du règlement eIDAS 2.0. Ce point est également extrêmement important du point de vue des portefeuilles intégrés aux systèmes d’exploitation existants fournis par Apple et Google. Actuellement, il n’est pas possible de transférer le contenu de votre Apple Wallet vers votre Google Wallet ou vice versa. Des barrières artificielles ont été mises en place pour enfermer les utilisateurs dans un écosystème particulier. Si Apple et Google veulent participer au projet eIDAS 2.0, ils devront ouvrir leurs écosystèmes pour permettre la portabilité et l’interopérabilité.

Ajout 30a

(30a) Les sources authentiques utilisatrices d’un portefeuille européen d’identité numérique doivent être en mesure de délivrer une attestation électronique non qualifiée des attributs en utilisant directement le portefeuille européen d’identité numérique. ... celles-ci offrent un potentiel pour de nombreux cas d’utilisation (par exemple, les justificatifs de fidélité, d’adhésion à un club, de coupons de réduction, etc.), ce qui permet d’assurer la flexibilité nécessaire et d’anticiper l’évolution future du cadre, notamment en augmentant sa convivialité globale pour les utilisateurs des portefeuilles européens d’identité numérique.

Excellent ajout. Dans notre précédente analyse des règles proposées, nous avons souligné l’importance pour les organismes non gouvernementaux de pouvoir émettre des attestations dans les portefeuilles EUDI. Voilà la flexibilité nécessaire pour faire d’eIDAS 2.0 un succès. Permettre à toute organisation de délivrer facilement une attestation dans n’importe quel but est susceptible de déclencher une nouvelle vague d’innovation dans le secteur privé, et de faire en sorte que des écosystèmes entiers puissent bénéficier du règlement eIDAS 2.0.

Amendement 37

Sans préjudice de l’effet juridique que le droit national confère aux pseudonymes et aux identités auto-souveraines, leur utilisation dans les transactions électroniques ne doit pas être interdite.

Il est bon de voir que l’utilisation explicite du terme « identité auto-souveraine » a été ajoutée. Une grande confusion règne sur la définition de l’identité auto-souveraine, certains commentateurs estimant que cette notion signifie que les personnes s’inventent une identité propre, une interprétation très erronée du terme. L’identité auto-souveraine entraînera un rééquilibrage du pouvoir dans les relations numériques, permettant aux personnes de prendre le contrôle de l’utilisation et de la gestion de leurs propres données.

Amendement 42

(aa) [Les portefeuilles EUDI doivent permettre à l’utilisateur] d’authentifier, d’identifier, de recevoir et d’échanger en toute sécurité des attestations électroniques d’attributs directement à partir d’autres portefeuilles européens d’identité numérique ;

Ce nouvel ajout indique que la preuve entre personnes fait désormais partie du champ d’application. Dans la plupart des mises en œuvre de références numériques à ce jour, une personne prouve quelque chose sur elle-même à une organisation. Avec cet ajout, la fonctionnalité des portefeuilles EUDI devra inclure la possibilité pour un titulaire de portefeuille de demander des données à un autre, puis de vérifier l’authenticité de ces données. Il s’agit d’un élément de conception important à prendre en compte par les fournisseurs de portefeuilles. 

Le texte existant dans le règlement proposé et le cadre de référence de l’architecture comprend une exigence selon laquelle les organismes vérificateurs doivent s’enregistrer auprès de leur État membre et confirmer quelles données ils demanderont et pourquoi. Si chaque titulaire de portefeuille est autorisé à demander et à vérifier les données de tout autre titulaire de portefeuille, cela signifie que chaque titulaire sera un vérificateur ; devra-t-il s’enregistrer comme tel auprès de son État membre ? Seront-ils seulement autorisés à demander certaines données, ou pourront-ils créer des demandes de données en format libre pour leurs besoins spécifiques ? L’amendement 75 contient quelques détails supplémentaires, mais la situation est loin d’être claire.

L’interface utilisateur de cette fonctionnalité devra également faire l’objet d’un examen attentif ; comment l’utilisateur sera-t-il informé que la personne qui lui demande ses données est légitime ? Comment une personne pourra-t-elle voir que les données qu’elle a reçues sont authentiques ?

Amendement 42

(ab) [Les portefeuilles EUDI doivent permettre à l’utilisateur de] signaler facilement toute demande de données illégale ou inappropriée à l’autorité nationale compétente du siège de la partie utilisatrice ;

Un autre ajout intéressant. Comment un utilisateur saura-t-il que la demande reçue est illégale ou inappropriée ? Qui le détermine, et comment ? Cela implique que les portefeuilles EUDI auront besoin d’un processus assez sophistiqué pour leur permettre de déterminer l’exactitude juridique des demandes provenant de millions de vérificateurs dans l’UE et au-delà. Ces vérificateurs existeront dans différents pays avec des réglementations légales différentes. Ce petit ajout déclenche un nouvel écosystème très complexe de registres de confiance qui devront être analysés en quelques millisecondes au fur et à mesure que les transactions auront lieu en temps réel. 

Cet amendement implique que l’eIDAS pourrait être étendu à l’identité numérique organisationnelle, ce qui constituerait une opportunité très intéressante. Les organisations ont autant besoin d’identité que les individus, et un tel dispositif permettrait aux organisations de prouver qu’elles sont autorisées à demander certaines données et qu’elles sont des organismes de vérification agréés dans le cadre du système eIDAS 2.0.

Cette situation va créer une toute nouvelle série de défis à relever pour les fournisseurs de portefeuilles.

Amendements 42 et 52

(ae) [Les portefeuilles EUDI doivent permettre à l’utilisateur de] transférer sa propre attestation électronique d’attributs et de configurations à un autre portefeuille européen d’identité numérique appartenant au même utilisateur.

Cela renforce l’exigence de portabilité ajoutée dans l’amendement 21a mentionné ci-dessus. La portabilité des données d’un portefeuille à l’autre, et éventuellement la synchronisation en temps réel entre des portefeuilles appartenant au même utilisateur mais situés sur des appareils différents, poseront des défis uniques aux développeurs de portefeuilles. Les écosystèmes existants, tels que ceux de Google et d’Apple, permettent la synchronisation en temps réel entre les appareils, mais cela s’accompagne d’un assujettissement à leurs écosystèmes. La portabilité inter-écosystèmes posera un défi unique aux portefeuilles EUDI, mais elle sera également très bénéfique pour l’utilisateur final.

Amendements 56 et 70

Retrait de ce texte de la proposition initiale :

(b) garantir que les prestataires de services de confiance des attestations qualifiées d’attributs ne puissent recevoir aucune information sur l’utilisation de ces attributs ;

Il est très important de veiller à ce que les émetteurs d’attestations ne puissent pas tracer l’endroit où elles sont utilisées. Actuellement, toute personne peut utiliser son passeport physique où elle le souhaite, pour prouver son âge, son nom ou sa nationalité dans des situations de voyage non internationales, et les destinataires ne « rapportent » pas qu’ils ont reçu ces données au service des passeports correspondant. Pourquoi serait-ce différent parce que les données sont numériques ? Il ne devrait pas être possible pour les émetteurs d’attestations de savoir où les gens utilisent ces attestations. 

Heureusement, cette clause est rétablie plus bas dans la révision.

(b) pour les émetteurs de l’attestation électronique des attributs, il sera technologiquement impossible de recevoir des informations sur l’utilisation de ces attributs et sur l’utilisation du portefeuille européen d’identité numérique ;

Cela implique que l’utilisation en ligne de certains protocoles tels que la norme ISO 18013-5 (utilisée pour les permis de conduire mobiles) devra être soigneusement examinée, car ils peuvent permettre au vérificateur de contacter directement l’émetteur en vue de récupérer les données d’un titulaire, l’émetteur sachant ainsi où et quand la personne utilise ses données.

Amendement 87

1. Lorsque des portefeuilles européens d’identité numérique... sont violés ou partiellement compromis d’une manière qui affecte leur fiabilité et la confidentialité, l’intégrité ou la disponibilité des données des utilisateurs, ou la fiabilité d’autres portefeuilles européens d’identité numérique, l’émetteur du portefeuille européen d’identité numérique compromis doit, sans délai, suspendre l’émission et révoquer la validité du portefeuille européen d’identité numérique et informer le point de contact unique conformément à l’article 46 bis, ainsi que les utilisateurs concernés.

Cet amendement n’apporte rien de bien nouveau. Nous l’avons mis en évidence car il fait référence à la révocation du portefeuille. La révocation d’un portefeuille doit être examinée très attentivement car celui-ci peut contenir un grand nombre d’attestations variées provenant de nombreuses sources différentes, qu’elles soient « qualifiées » ou « non qualifiées ». Il peut renfermer l’équivalent de la vie numérique d’une personne. Sa perte en raison d’une révocation équivaudrait à l’incendie catastrophique du classeur et du portefeuille physique d’une personne. 

La révocation soudaine du portefeuille EUDI d’une personne, sans préavis ni possibilité d’en générer un nouveau contenant les mêmes données, équivaudrait à effacer l’existence numérique de cette personne. 

Une réflexion approfondie doit être menée sur le sujet de la révocation des portefeuilles, sur les conséquences de la révocation des portefeuilles par inadvertance ou par malveillance, et sur l’expérience des utilisateurs en cas de révocation.

 

--> -->