Qu’est-ce que l’identité décentralisée ?

Temps de lecture : 9 minutes

L’identité décentralisée est un système universel qui vise à simplifier l’authentification des personnes en s’appuyant sur les technologies de la blockchain et autres registres distribués. Alors que les premiers standards émergent, l’identité décentralisée promet d’être une nouvelle norme dans un futur (très) proche.

Imaginez un monde où vous n’auriez plus jamais à renseigner votre identité sur les sites que vous visitez. Un monde dans lequel l’authentification reposerait sur votre identité numérique propre stockée dans une blockchain et qui vous éviterait de disséminer vos données personnelles un peu partout sur le web. C’est toute l’ambition de l’identité décentralisée : proposer une authentification plus robuste tout en permettant à chacun d’avoir un meilleur contrôle de ses données personnelles. Une vision sur laquelle Microsoft travaille depuis plusieurs années. Comment fonctionne l’identité décentralisée et quelles pourraient être ses applications ? Explications avec Philippe Béraud, Chief Technology and Security Advisor chez Microsoft.

Lire aussi Contrôlez votre identité numérique

Livre Blanc
Penser sa transformation numérique à l’aune de la cybersécurité

Découvrez notre rapport annuel sur la défense numérique.

Télécharger

Qu’est-ce que l’identité décentralisée ?

Ce concept est apparu vers 2015. On parlait alors de “sovereign identity”. L’identité décentralisée permet de disposer de son identité propre, en contrôlant les informations que l’on choisit de partager sous formes d’attestations.

Pourquoi vouloir développer une identité décentralisée ?

Dans notre monde actuel, tout repose sur l’identité centralisée. En cas d’achats en ligne, on doit s’enregistrer sur un site e‑commerce et livrer des informations sur son identité (nom, adresse, mail, téléphone, coordonnées bancaires…). Nous partageons donc beaucoup d’informations personnelles, sans savoir quel usage sera fait de ces données malgré le Règlement général sur la protection des données personnelles (RGPD). Il y a donc une kyrielle de sites qui possèdent une information sur moi, sans compter le phénomène de l’authentification unique.

C’est-à-dire ?

Certains sites délèguent l’authentification à des tiers de confiance. Ils proposent de se loguer avec l’identité d’une boîte mail ou d’un réseau social. L’entreprise qui vous emploie crée également un compte pour vous. Donc finalement, plein d’entités possèdent des informations que vous avez consenti à partager, avec un contrôle total sur vos comptes et la possibilité de vous couper vos accès, voire de supprimer ces comptes.

Nous sommes donc dans un monde où tout est fondé sur les accès, sur une notion d’authentification avec des données qui sont maintenues par des tiers et sans contrôle d’accès. Par opposition, l’identité décentralisée est la promesse d’être en propriété pleine, propre et entière de toutes les informations qui vous appartiennent. On passe à un monde fondé non plus sur l’authentification et le contrôle d’accès, mais sur la notion d’authenticité (vérifiabilité). C’est une nouvelle façon d’établir la confiance.

Livre Blanc
Optimiser le télétravail Office 365 avec le split-tunneling

Découvrez comment une approche plus ouverte de type Zero Trust peut vous aider à franchir plus sereinement le défi du travail à distance en toute sécurité.

Télécharger

Comment fonctionne l’identité décentralisée ?

L’identité décentralisée permet à un utilisateur de s’authentifier sur un site via une ou plusieurs attestations numériques délivrées par des entités, avec lesquelles l’utilisateur a une relation naturelle. Ce sont ces attestations (ou verifiable claims dans le jargon des standards), que l’utilisateur présente au site final pour s’authentifier.

Cela implique différents acteurs : l’émetteur d’une revendication vérifiable, le destinataire qui collecte cette revendication vérifiable (ou plusieurs) et derrière une entité qui va vérifier ces revendications via des informations (métadonnées) dans la blockchain.

Concrètement, cela passe par différentes briques technologiques :

  • - une application de portefeuille numérique qui va permettre à l’utilisateur de créer son identité (identifiant ou DID dans le jargon des standards) propre, avec MS Authenticator ou d’autres solutions. Cette application permet à l’utilisateur de récupérer l’attestation émise à son encontre par une entité comme fournisseur d’identité et de la stocker pour présentation future.
  • - une solution de blockchain ou autre registre distribué dans lequel est stocké l’identifiant propre créé. À partir de là, j’ai un identifiant avec des informations et des métadonnées ancrées dans une blockchain, qui peuvent être retrouvées par un émetteur et par un vérificateur. Mais mon identité est vierge à cet état-là, je n’ai aucune attestation.
  • - un résolveur qui va faire le lien entre les informations de l’utilisateur et celles du fournisseur d’identité (mon entreprise, mon université…). C’est ce qui permet notamment à un destinataire de pouvoir demander à l’utilisateur via son portefeuille numérique une ou plusieurs attestations émises par des entités(un fournisseur d’identité par exemple)..

Cela suppose que tous les fournisseurs d’identité soient capables d’émettre des attestations numériques…

Effectivement ! Si on veut que les sites puissent utiliser des attestations numériques, on doit fournir les moyens d’en créer facilement. Pour cela, toutes les entreprises clientes de notre plateforme d’identité universelle Azure Active Directory, peuvent aujourd’hui émettre ce type de revendications, grâce à la fonctionnalité Verifiable credentials.

Le deuxième prérequis, c’est de disposer de portefeuilles numériques à même de recevoir, présenter et contrôler la présentation de ces attestations numériques. C’est ce que l’on fait dans Microsoft Authenticator qui est très largement utilisé. Microsoft donne également accès en open source à ces briques pour que d’autres puissent à leur tour les mettre en œuvre dans d’autres solutions. Ce qui donnera un choix et contribuera à nécessaire émergence de cet écosystème.

Nous avons également des projets open source pour permettre à tout site de vérifier facilement les attestations émises.

Quels sont les avantages de l’identité décentralisée ?

Le premier avantage, c’est que ce système permet d’éviter toute traçabilité et corrélations possibles. Dans une identité centralisée, je suis obligé de m’authentifier auprès de sites (voire de fournisseurs d’identité) qui ont connaissance de toutes mes interactions. Avec une identité décentralisée au contraire, j’ai pu obtenir auprès de différentes entités plusieurs attestations et approbations numériques. Elles sont déjà dans mon portefeuille et je peux attester à tout moment de mon identité pour accéder à un service en ligne en les présentant sans que l’entité émettrice n’en soit informée – nous agissons de la sorte dans le monde physique en présentant un passeport ou une carte d’identité –. Une personne peut également avoir plusieurs identifiants personnels, d’usage général, mais aussi des identifiants spécifiques à une entité (son entreprise par exemple). De cette manière, il n’y a pas de corrélation et de traçabilité de son activité entre plusieurs entités. Cela permet de respecter et de protéger la vie privée.

Le deuxième avantage, c’est moins de stockage. Il n’y a plus de raison pour les services accédés de stocker des informations sur les personnes. Avec les attestations numériques, je suis en mesure de fournir à chaque transaction des informations vérifiées et à jour. Le site qui me fournit le service n’a plus besoin de stocker de l’information pour moi. Cela certifie de facto sa conformité avec le RGPD.

Troisième avantage, l’identité décentralisée contribue à améliorer la sécurité des transactions. Dans un système classique, tout est basé sur l’authentification et le contrôle d’accès. L’authentification est fondée sur un nom de compte et un mot de passe. Or, le mot de passe, d’un point de vue cybersécurité, est exactement le contraire de ce que l’on voudrait : c’est pénible pour l’utilisateur et facile pour l’attaquant. Il y a aujourd’hui une vraie réflexion sur la pertinence de faire disparaître l’usage des mots de passe pour les remplacer par des mécanismes forts. Avec l’identité décentralisée, je n’ai plus cette notion de compte et de mot de passe à terme. Je veux accéder à quelque chose, je fournis des pièces numériques sur moi.

Replay
Déployer & gérer des terminaux partagés pour les Frontline Workers

Découvrez à travers plusieurs scénarios, comment organiser votre système d’information en combinant des fonctionnalités telles que Intune, Azure Active Directory ou encore Microsoft Teams.

S’inscrire

Quels cas d’usages pouvons-nous imaginer pour l’identité décentralisée ?

Il y en a beaucoup ! Par exemple, si je suis étudiant dans une université, plutôt que d’avoir un compte sur moi avec de l’information, l’université va me délivrer une attestation de scolarité numérique. Dès que je vais vouloir accéder à une bibliothèque étudiante en ligne, je vais pouvoir y accéder sans me créer de compte. Je vais simplement donner mon attestation numérique à la bibliothèque pour y avoir accès. La bibliothèque de son côté pourra vérifier qu’il s’agit d’une attestation délivrée par l’université dans laquelle je suis étudiant, que je suis bien dans tel cursus et donc légitime pour télécharger tel contenu numérique sur tel ou tel sujet.

L’identité décentralisée pourrait également s’appliquer dans les transports, pour le boarding pass, dans le tourisme pour la réservation de voiture ou d’un hôtel, dans le commerce pour avoir accès à des coupons de réduction via une carte de fidélité ou un comité d’entreprise.

Au sein de l’entreprise, on peut envisager que l’identité décentralisée remplace les comptes d’identités externes à l’entreprise (fournisseurs, partenaires…) et leur permette d’accéder à des ressources internes (ce qu’on fait déjà avec les identités externes d’Azure AD)… Pour les employés, l’entreprise pourrait mettre en place des revendications vérifiables (nom, service, mission…), une sorte de badge numérique au même titre qu’elle délivre un badge physique.

Bref, il y a des cas d’usages partout où notre identité est sollicitée ! On est dans une expérience qui est très proche du monde physique. Cela revient à afficher les bonnes cartes.

On voit bien tout le potentiel de l’identité décentralisée. Mais où en sommes-nous concrètement aujourd’hui ?

Un certain nombre d’acteurs testent actuellement l’identité décentralisée. Une unité de la défense américaine qui s’occupe des vétérans mène une expérimentation pour émettre des attestations numériques prouvant qu’ils sont bien des vétérans, et leur donner accès à certaines prestations. Les premières briques techniques existent pour tester le système et comprendre comment il fonctionne et ce qu’il peut apporter. L’essentiel des standards est déjà sur la table.

Maintenant, on construit les briques du dessus. Typiquement la notion de hub d’identité (c.à.d. de portefeuille numérique) est là, mais les attestations, quelles sont-elles ? Quelle ontologie ? Quel espace de nom standardisé ? D’un point de vue sémantique, entre ce qu’émet une entreprise et ce que peut demander une autre quand on parle de X, il faut que X soit la même chose d’un point de vue sémantique. Les travaux de standardisation, au niveau du W3C, sont en cours et intègrent les réflexions menées au niveau de la Decentralized Identity Foundation (DIF) dont Microsoft est membre. On devrait avoir un cadre finalisé à l’horizon 2023.

Avec un enjeu de taille : le passage à l’échelle…

La blockchain a beaucoup d’avantages, mais elle a aussi ses inconvénients : sa puissance, sa latence et le nombre de transactions qu’elle peut offrir par seconde. L’enjeu aujourd’hui est de faire en sorte que la blockchain valide des transactions non plus de façon unitaire, mais par paquets. C’est pourquoi Microsoft investit au niveau des couches de niveau 2 de la blockchain.

Avec ces « couches », les transactions peuvent être regroupées avant d’être diffusées, ce qui permet d’économiser des frais et de l’espace. Cela suppose d’intégrer un système de stockage au-dessus de la blockchain et lui faire valider l’empreinte de toute une série d’enregistrements. Donc au lieu d’avoir une opération par enregistrement, j’aurai une opération pour 1000, 10 000 ou 100 000 enregistrements.

À partir du protocole de passage à l’échelle Sidetree, Microsoft a conçu un réseau DID (lire encadré) baptisé ION (Identity Overlay Network). Ce réseau s’exécute au-dessus de la blockchain Bitcoin sur la base d’un ensemble émergent de standards ouverts. Cette approche améliore considérablement le débit des systèmes DID pour réaliser des dizaines de milliers d’opérations par seconde et ainsi passer à l’échelle.

Quels sont les enjeux des prochaines années selon vous ?

Parvenir à une adoption massive de l’identité décentralisée suppose de faire cohabiter les deux systèmes pendant quelques années. Donc de s’appuyer sur des standards ouverts de manière à permettre une interopérabilité, de façon à ce que l’on puisse continuer à fonctionner aujourd’hui tout en traçant la voie de demain. On en est encore au tout début ! C’est une réflexion qui a commencé en 2014–2015 dont on voit aujourd’hui les premiers standards émerger. C’est une dynamique d’écosystème global. Cela ne fonctionne que si tous les acteurs numériques entrent dans cette démarche.

 

L’émergence de nouveaux standards techniques

Microsoft participe à la  Fondation pour l’identité décentralisée (DIF) et développe, en collaboration avec les individus et les organisations participants, les éléments clés suivants :

 

  1. Decentralized Identifiers (DIDS) – une spécification W3C qui définit un format de document commun pour décrire l’état d’un identifiant décentralisé.
  2. Identity hubs – un magasin de donnée d’identité chiffré qui comporte un relais message/intention, une gestion d’attestation et des points de terminaison de calcul spécifiques à l’identité.
  3. Universal DID Resolver – un serveur qui résout DIDS sur blockchains
  4. Verifiable Credentials – une spécification W3C qui définit un format de document pour l’encodage des attestations basées sur les DID.