Alors que nous évoluons vers un monde plus soucieux du respect de la vie privée, nous devons nous préparer à ce que les principales plateformes résistent au mouvement.
L'identité et la vie privée ont toujours été un point de discorde, tant en ligne que hors ligne. Mais alors que nous pouvons généralement contrôler facilement notre identité et notre vie privée dans le monde hors ligne, l'identité numérique a longtemps été contrôlée par des entités tierces avec lesquelles nous interagissons et qui promettent de garder nos données en sécurité.
L'histoire a montré à maintes reprises, avec des piratages majeurs qui ont révélé nos noms, adresses, numéros de téléphone et données de cartes de crédit, parmi d'innombrables autres attributs d'identification, que l'on ne peut pas faire confiance à ces tiers pour nos informations d'identification. Tout aussi inquiétant, les tiers ont depuis longtemps monétisé nos données, créant une utilisation insidieuse et malveillante des données pour leur gain financier. Nous vivons à l'heure du capitalisme de la surveillance numérique.
La notion d'identité en ligne évolue rapidement dans le but de donner aux internautes un plus grand contrôle sur leurs informations et sur les personnes qui peuvent y accéder. Dans plusieurs pays du monde, le concept d'identité auto-souveraine ou de technologie d'identification décentralisée (deux termes qui, dans la grande majorité des situations, sont interchangeables) s'impose rapidement. Les utilisateurs en ligne ont accès aux services qu'ils souhaitent tout en contrôlant ce qu'ils partagent sur eux-mêmes - et comment.
Mais à mesure que nous évoluons vers un monde plus soucieux du respect de la vie privée, nous devons nous préparer à ce que les grandes plateformes résistent au mouvement. Nous devons insister pour que les décideurs politiques du monde entier nous rejoignent dans notre effort pour améliorer la vie privée et les services de données centrés sur l'utilisateur. Et nous devons être prêts à relever les défis en matière de sécurité, de respect de la vie privée et de modèle économique qui se présenteront en cours de route.
L'évolution de l'identité
La vision du monde sur l'identité est radicalement différente selon que vous êtes en ligne ou hors ligne. Dans le monde hors ligne, vous détenez votre permis de conduire et votre passeport et ne les montrez que lorsque cela est nécessaire. Vous voulez prendre l'avion ? Montrez votre passeport, mais gardez-le sur vous. Lorsque vous voulez acheter de l'alcool au magasin, quelqu'un vérifie votre âge en examinant votre permis.
Mais lorsque vous quittez ces établissements et après avoir vérifié votre identité, l'établissement que vous avez visité ne stocke pas votre permis ou votre passeport dans ses systèmes. Ils comprennent que ce que vous avez une forme d'identification vérifiable, et que vous, la personne mentionnée sur le document, le leur avez présenté, et ils ont confiance en ce qu'il dit parce que c'est une carte officielle délivrée par le gouvernement. Il s'agit d'une forme d'identification auto-souveraine, entièrement détenue et contrôlée par l'individu et servant de justificatif vérifiable sans transfert de données sensibles à un tiers.
Historiquement, l'internet a adopté une approche résolument différente. Lorsque Google, Facebook ou d'autres plateformes importantes veulent vérifier votre identité, ils vous demandent de fournir des données sous forme numérique. Ils stockent ensuite ces données sur leurs propres serveurs. Dans ces cas, les internautes ont essentiellement remis leur passeport ou leur permis à un tiers et espèrent que leurs données seront protégées.
Dans de trop nombreux cas, elles ne sont pas protégées. Et si nous pouvons espérer qu'un fournisseur protège nos données, le fait est que même les plus grandes organisations (ou gouvernements) du monde ne peuvent garantir la sécurité des données. Cela ne fait que renforcer le problème plus général de confiance que les internautes continuent de rencontrer. Nous, internautes, avons découvert que, même dans le meilleur des cas, les plateformes auxquelles nous sommes censés confier nos données ne sont tout simplement pas dignes de confiance. Et dans le pire des cas, nous découvrons qu'elles utilisent nos données à leur propre avantage. D'un point de vue structurel, il s'agit d'un problème difficile, car les grandes quantités de données (comme les grandes réserves d'or) sont attrayantes pour les fraudeurs et, pour la plupart, presque impossibles à protéger entièrement.
C'est précisément la raison pour laquelle le mouvement en faveur des services de données décentralisés et de l'identité numérique est si important - et correspond à la manière dont la société fonctionne depuis des générations.
Avec ces technologies en place, nous pouvons reprendre le contrôle de nos données personnelles. Au lieu de confier nos informations à un fournisseur tiers, nous pouvons les stocker en toute sécurité dans une application de portefeuille numérique sur notre appareil. Ces données, appelées "justificatifs", peuvent prendre de nombreuses formes mais sont généralement les équivalents numériques de documents que nous connaissons déjà : passeports, permis de conduire, cartes de membre, voire cartes d'embarquement ou dossiers médicaux ; à l'avenir, elles comprendront également de nouveaux justificatifs numériques concernant de nombreuses autres parties de notre vie numérique et de notre réputation numérique.
Ensuite, lorsqu'une organisation ou un pair nous demande des informations, nous pouvons partager une preuve numérique qui peut être immédiatement vérifiée tout en gardant nos données en sécurité. C'est aussi simple que de présenter son passeport ou son permis de conduire dans le monde réel. Et c'est tout aussi portable et fiable : Ces informations d'identification peuvent être vérifiées par n'importe qui, n'importe où, grâce à une série de normes et de protocoles ouverts que l'équipe d'Avast a contribué à élaborer.
Un problème concret
Nos efforts dans ce domaine ne sont pas uniquement centrés sur la possibilité que les identités soient ciblées, ils sont centrés sur la réalité très difficile que les identités sont attaquées - et de plus en plus monétisées par ceux qui devraient être plus concernés par leur protection.
L'année dernière, Twitter a annoncé qu'il avait suspendu un pirate informatique malveillant qui avait volé des informations d'identification et d'autres données sur les 45 millions de personnes du pays. Les pirates ont accédé aux données du registre national des personnes de l'Argentine et ont proposé de les vendre sur un forum du marché noir.
Au début de l'année dernière, le chercheur Javelin Strategy & Research a publié une étude selon laquelle les criminels ont volé 56 milliards de dollars aux Américains en 2020 avec des attaques de vol d'identité. Environ 13 milliards de dollars de cette somme ont été volés par des cybercriminels qui ont piraté des informations d'identification.
En décembre, l'Identity Theft Resource Center a révélé que les violations de données ciblant les identités des utilisateurs ont augmenté de 17 % en glissement annuel jusqu'en septembre 2021, avec 1 291 violations. La plupart d'entre nous, dans la communauté de la sécurité, s'attendent à ce que cette tendance à la hausse se poursuive en 2022 et au-delà.
Un mouvement du monde réel
Certes, nous ne nous mettrons pas tous à utiliser des portefeuilles pour protéger nos identités numériques du jour au lendemain. Cette migration prendra un certain temps. Mais il existe déjà des développements prometteurs dans ce domaine.
Alastria, un projet lancé par un consortium d'organisations de premier plan qui utilise la blockchain, en est un excellent exemple. Sa solution donne aux utilisateurs un contrôle total sur leurs identités, et elle est rapidement adoptée (et applaudie) en Espagne. Plusieurs autres pays européens, dont la Finlande, l'Allemagne et les Pays-Bas, adoptent également cette technologie et souhaitent itérer sur certaines de ces premières solutions afin de créer un cadre de travail pour l'évolution de l'identité numérique.
Chez Avast, nous nous intéressons également à l'espace de l'identité décentralisée depuis un certain temps. L'année dernière, nous avons fait l'acquisition d'Evernym, une société américaine largement reconnue comme pionnière dans le développement d'une technologie et de normes d'identité auto-souveraine, et qui est en bonne voie de développer une véritable solution pour améliorer la confiance dans nos interactions numériques. L'ajout de sa technologie à la nôtre nous permettra de faire progresser notre vision de la fourniture de services de confiance numériques décentralisés.
Le défi à relever
Mais même si nous et d'autres entreprises (ainsi que les défenseurs de la vie privée du monde entier) poursuivons notre quête d'une meilleure solution d'identité numérique, les défis sont nombreux.
Si les pays européens sont plus avancés que les États-Unis et d'autres pays dans l'adoption de services d'identité décentralisés, il reste encore beaucoup à faire. Même les pays européens qui sont les plus agressifs en matière d'amélioration de la confidentialité numérique ne font que développer un cadre pour le fonctionnement de ces technologies. Ce qu'il faut en fin de compte, c'est une politique réglementaire, à l'échelle mondiale, qui oblige les entreprises à utiliser des services de confiance numérique décentralisés. Mais c'est loin d'être le cas.
Pire encore, les grandes plateformes comme Facebook et Google ne sont pas très enthousiastes à cette idée. Perdre l'accès aux données d'une personne signifie avoir moins de contrôle sur ces utilisateurs. Cela rend également les données que ces entreprises hébergent beaucoup moins précieuses. Ces plateformes se préparent à lutter contre cette idée en promettant de renforcer leurs dispositifs de protection de la vie privée en limitant le suivi sur le web et dans les applications. Elles s'empressent également de faire remarquer que leur échelle et leurs pratiques constituent notre meilleure chance de sécurité des données. Sans elles, disent-elles, les choses ne peuvent qu'empirer.
Nous devons également reconnaître que même les technologies les mieux intentionnées sont faillibles. Aussi importante que soit cette technologie et qu'elle le sera dans les années à venir, des problèmes de confidentialité et de sécurité subsisteront, et de mauvais acteurs cherchant à perturber nos progrès se livreront à des activités malveillantes. Nous devons être prêts à faire face à ces problèmes au fur et à mesure qu'ils se présentent - ou de préférence avant qu'ils ne deviennent un problème.
Mais les enjeux sont tout simplement trop élevés et l'impact potentiel trop important pour ne pas tracer cette voie et apporter une véritable solution au problème actuel de l'identité numérique. Après tout, si nous ne parvenons pas à résoudre les problèmes auxquels nous sommes confrontés aujourd'hui, comment pourrons-nous faire face à un avenir où les services se lancent en ligne et placent l'identité numérique au premier plan de leurs plateformes ?
Heureusement, les technologies et techniques de données et d'identité décentralisées sont là. Et nous sommes nombreux, au sein de la communauté de la sécurité, à travailler fébrilement à l'élaboration de solutions qui non seulement protègent les données des utilisateurs, mais leur donnent aussi la possibilité de contrôler beaucoup plus facilement qui a accès à ces données et comment elles seront utilisées.
Mais avec les défis qui s'annoncent et les plateformes qui se préparent à se battre, nous devons tous soutenir les initiatives qui favorisent la vie privée et la sécurité, ainsi que les services qui les renforcent. Nous devons nous attendre à mieux et soutenir les solutions qui nous aident à faire mieux. C'est la seule façon de créer un avenir où la confidentialité et la sécurité sont au cœur de nos expériences numériques collectives.
Pour y parvenir, Avast pense qu'un agent numérique intelligent, sous la forme d'un service/application pour les personnes, est le moyen de réaliser des interactions numériques centrées sur l'utilisateur, et que cet agent numérique intelligent est interopérable dans le monde entier, avec une forte collaboration/partenariat entre les secteurs public et privé.
