Au début de l'été, des millions de personnes ont commencé à utiliser une nouvelle technologie qui pourrait modifier la façon dont nous gérons, partageons et utilisons nos données.
Cette technologie est au cœur de la Certificat numérique COVID de l'Union européenne (parfois appelé à tort "passeport vaccinal" de l'Europe).
En quelques mois, cette identité distribuée par la technologie (ou "identité") est devenue une réalité.identité décentralisée) et des références spécifiquement vérifiables - a été mis à la disposition de la quasi-totalité des citoyens de l'UE. En revanche, il a fallu une dizaine d'années pour que les Fédération d'identité ou identité fédérée-la méthode de mise en œuvre des normes d'identité et des protocoles d'authentification - pour s'imposer comme une meilleure pratique en matière de cybersécurité.
Bien que des millions de personnes utilisent ces technologies pour lutter contre la propagation du COVID, de nombreuses personnes - et même de nombreux experts en identité - ne connaissent pas encore l'identité distribuée et les références vérifiables. C'est pourquoi j'ai été très enthousiaste à l'idée de discuter de ces innovations lors d'un discours-programme à l'occasion de la conférence KuppingerCole's Conférence européenne sur l'identité et l'informatique dématérialisée.
Car si l'identité distribuée et les références vérifiables sont importantes pour le certificat numérique COVID de l'UE, il n'en reste pas moins que nous sommes loin d'avoir réalisé leur potentiel.
L'identité distribuée permet de résoudre un problème presque aussi vieux que l'internet : comment un utilisateur peut-il partager en toute sécurité certaines informations (peut-être sensibles) avec des spectateurs spécifiques ?
C'est un problème qui est devenu de plus en plus urgent au fur et à mesure que le web s'est développé : aujourd'hui, nos données et nos identités tendent à être sous le contrôle des grandes entreprises technologiques qui gèrent des applications et des services centralisés. Ces données ont tendance à être achetées, vendues et utilisées à notre insu et sans notre permission, ce qui a suscité de vives inquiétudes et donné lieu à de nouvelles réglementations. Tim Berners-Lee, souvent considéré comme l'inventeur de l'internet, a "déploré le fait que l'internet ne soit plus accessible à tous". état de la toile et comment elle s'est progressivement éloignée de sa vision initiale d'un espace numérique où règnent la liberté et l'égalité".
L'identité distribuée change cette dynamique. Elle permet aux utilisateurs de spécifier les informations qu'ils souhaitent partager et les personnes avec lesquelles ils souhaitent les partager.
Le certificat numérique COVID de l'UE utilise l'identité distribuée pour partager une preuve numérique qu'une personne a été vaccinée contre le COVID-19, a reçu un résultat de test négatif ou a guéri du COVID-19.
Il est important de noter que l'identité distribuée permet à l'utilisateur de seulement partager leur certificat, et de ne le partager qu'avec les spécifié les utilisateurs. C'est l'utilisateur, et lui seul, qui décide qui peut voir quoi.
L'identité distribuée permet aux utilisateurs de contrôler leurs données et de les partager comme ils l'entendent et avec qui ils le souhaitent. Dans le cas du certificat numérique COVID de l'UE, il permet aux citoyens de l'UE d'affirmer numériquement qu'ils ont été vaccinés, qu'ils ont reçu un test négatif ou qu'ils ont guéri du COVID-19.
Mais dans ce cas, le contrôle de la utiliser de nos informations ne suffit pas. Nous devons également vérifier les précision d'une demande d'indemnisation.
Références vérifiables sont spécifiquement la technologie qui alimente le certificat numérique COVID de l'UE. Lorsque j'utilise une identité distribuée pour affirmer que j'ai été vacciné et que je partage cette information avec quelqu'un d'autre, des références vérifiables me permettent de faire cette affirmation.
L'établissement du modèle de confiance est relativement simple et suit le schéma classique suivant Infrastructure à clé publique (PKI) : le système permet à un petit nombre d'organismes autorisés, tels que les agences gouvernementales, de délivrer les informations d'identification.
Par exemple, en Allemagne, le Robert Koch Institut (à peu près l'équivalent des Centers for Disease Control aux États-Unis) délivre la lettre de créance vérifiable pour mon certificat. La lettre de créance vérifiée condensée (et fictive) qui suit montre le type d'informations qui figureraient dans un certificat : l'allégation (j'ai reçu deux doses du vaccin contre le coronavirus) ; qui est concerné par l'allégation (moi) ; qui a délivré l'allégation (l'Institut Robert Koch) ; et une "signature" (preuve) qui empêche quiconque de modifier ou de créer l'allégation.
Je peux ajouter cette demande à une application de portefeuille numérique et l'afficher en cas de besoin via mon smartphone. Je pourrais même imprimer le code QR et l'emporter avec moi sur papier
Voici à quoi ressemblerait un titre vérifié sous la forme d'un code QR prouvant que j'ai été vacciné contre le COVID-19 :
RSA et Janeiro Digital ont déjà utilisé des exemples similaires de cette technologie, notamment dans le cadre d'un projet pilote de grande envergure mené à l'Institut de recherche du Royaume-Uni. Service national de santé (NHS). Nous y avons utilisé l'identité distribuée et les références vérifiables pour aider les patients atteints de démence, leurs soignants et les systèmes hospitaliers à relier et à partager les dossiers des patients.
Devrions-nous utiliser la blockchain pour affirmer que j'ai été vacciné contre le coronavirus ? En bref : non.
Identité distribuée peut sur la blockchain. En fait, l'UE a d'abord essayé d'utiliser plusieurs blockchains superposées et interdépendantes comme base du modèle de confiance. Mais pour quelque chose comme un certificat de vaccination COVID, il est préférable et beaucoup plus simple d'utiliser le modèle PKI classique. Cela permet de limiter les personnes autorisées à délivrer un document vérifié : les agences de santé peuvent le faire, mais pas les particuliers. Le même modèle pourrait s'appliquer à d'autres documents, comme les passeports, les permis de conduire ou d'autres certificats.
J'ai ignoré quelques problèmes fondamentaux dans la description de l'identité distribuée et des informations d'identification vérifiables. Il suffit de dire qu'aucun système n'est intrinsèquement parfait : il y a des façons dont ce processus peut mal tourner, généralement à la suite d'une erreur de l'utilisateur. J'ai moi-même rencontré ces erreurs, généralement lorsque quelqu'un me demande de montrer le code QR de mon certificat de vaccination, mais ne parvient pas à le scanner avec une application capable de valider le certificat de vaccination. Je ne sais pas si vous savez lire les codes QR, mais j'ai beau essayer, je ne peux pas décoder un code QR et vérifier la signature numérique de la preuve dans ma tête.
L'autre erreur typique est de ne pas vérifier si le certificat de vaccination concerne bien la personne qui fait la déclaration. Lorsque j'utilise mon code QR, je dois également présenter une pièce d'identité (comme un passeport) pour établir que l'allégation concernant le vaccin s'applique à moi. La personne qui vérifie mon code QR et mon passeport doit s'assurer que le certificat appartient bien à la personne qui se trouve devant elle.
Mais le fait qu'un si grand nombre de personnes utilisent des identités distribuées et des références vérifiables présente un réel intérêt : il démontre qu'il existe une nouvelle façon pour les utilisateurs de contrôler et de partager leurs données, que nous n'avons pas besoin de nous contenter des "jardins clos" du passé et que nous pouvons instaurer un certain niveau de confiance sur l'internet. Ils témoignent d'un changement d'attitude quant aux personnes autorisées à contrôler, utiliser et partager nos informations.
Plus important encore, ils révèlent que l'identité n'est pas statique et qu'elle continue d'évoluer.
