Mots-clés : thématique, identité numérique

LA THEMATIQUE:

Quelques éléments sémantiques:
- L'identité est une représentation de votre personne unique.
- L'authentification est le processus qui doit faire la preuve que vous êtes qui vous affirmez être, que l'identité que vous utilisez est bien votre représentation.

La problématique de l'identité a été de tout temps une problématique au coeur du fonctionnement des sociétés (appartenance et preuve de l'appartenance aux groupes sociaux de plus en plus élargis depuis le cercle familial jusqu'à ... l'humanité), mais - d'abord et surtout - la problématique est au coeur de l'équilibre psychique de chaque être humain qui cherche à connaître et comprendre quels sont les attributs divers qui forge son identité. On est à la source de la définition individuelle (qui suis-je ?) et sociale (qui sont les autres et comment leur fait confiance) de l'être humain, qui se retrouve dans les débâts plus larges en cours sur la confiance numérique.

Avec l'arrivée d'Internet et de la virtualisation grandissante des relations, cette problématique s'est de fait démultipliée car, alors que dans le monde "physique", c'est souvent la matérialité de la preuve de l'identité qui fait foi, sur Internet, il faut trouver un/des substitut(s) qui "marche(nt)".

Dans le monde social "physique" traditionnel, une grande partie de la matérialité de l'identité était assumée par l'Etat (carte d'identité, passeport,  livret de famille, permis de conduire, etc..) ou par des institutions respectables et respectées comme la Banque, La Poste, etc...

De plus, dans le monde marchand, une pratique multi-millénaire et une juris-prudence ad-hoc ont permis de cadrer, en général par des contrats, la façon d'assurer la confiance entre les parties prenantes des relations d'affaires, en particulier en ce qui concerne la façon d'assurer l'identification des parties, de manière à pouvoir mener des "bonnes" affaires entre parties confiantes, y compris régler les conflits de façon harmonieuse.

La rupture historique est arrivée avec l'Internet qui a négligé, depuis sa conception et par delà son irruption dans la vie de chaque personne qui y a accès, la problématique de définir de façon non-ambigüe, voire garantie, l'identité des Internautes. Ceci expliquant d'ailleurs en partie son succès. Cela correspondait en fait à une sorte de mystique initiale où l'Internaute était par définition un être de confiance. Depuis, le principe de réalité a rattrapé tout le monde et le chaos le plus total règne sur ce point.

Bien sûr, tout le monde, ou presque, apprécie la liberté de cet anonymat, de fait très souvent relatif (les traces laissées sur Internet ...). Mais, inversement, conduire des affaires de façon confiante est devenu difficile car les critères classiques qui permettent de l'établir ne sont pas forcément au rendez-vous et en premier lieu la disponibilité d'une identification très sûre. sans compter, la manipulation laborieuse des multiples identités "locales" aux sites auxquels on se connecte et qui sont très volatiles.

Mais cette virtualisation des relations a permis de mettre en évidence de nouveaux droits fondamentaux pour tous les êtres humains qui n'étaient pas très perceptibles dans le monde traditionnel physique. Ainsi les organisations et institutions politiques qui se préoccupent des droits de l'homme essayent d'identifier ces caractéristiques et leurs expressions publiques de manière à pouvoir définir leur protection et leur défense. On peut lister:
- le droit à la protection des données personnelles
- le droit à l'oubli de ses actes sur internet = droit à la vie privée
- le droit à ce que l'on ne puisse pas croiser facilement ses données personnelles dans des buts non avoués et sans son consentement express
- le droit à disposer d'identités numériques multiples pour ne divulguer que le strict nécessaire des informations constituant ses atribts d'identité suivant leur contexte d'usage
- le droit de les créer comme droit fondamental de se définir de façon multiple
- etc....

Contrairement au monde physique, les Etats semblent décidés, in fine, à laisser à la société la responsabilité de définir et gérer les identités numériques et ,corrolairement, essaient néanmoins de déterminer leurs rôles comme sorte de garant de la qualité et confiance des organisations qui s'en chargeront et de leurs processus. Des initiatives globales sont en cours sous le couvert de la Commission Européenne et également, pour les Etats-Unis, sous le couvert du gouvernement américain, pour arriver à trouver les bonnes solutions de gestion des identités numérqiues dans le respect des droits étendus de la protection des données privées, y compris les atributs constituants l'identité numérique.

Dans toutes ces évolutions, les organisations qui sont considérées comme des zones de confiance ont un avantage certain. Les banques ont perçu cet aspect dès la fin des années 1990 et ont essayé de construire un système de confiance permettant d'émettre et de gérer des identités numériques globales à usage multiples. C'était le but de la société Identrust qui a .... failli et, en l'espèce, depuis plus de 10 ans, les banques et autres entreprises de la finance n'ont plus participé de façon globale au débat sur la meilleure façon de gérer les identités numériques.

Or, la problématique reste presqu'entière sur beaucoup de points:

- Les affaires sont basées sur la confiance entre les parties prenantes. Le premier niveau de confiance se situe au niveau de la confiance dans l'identité entre les parties concernées. Comment la gérer de façon efficae et efficiente ?

- Comment, dans notre monde moderne et complexe, démontrer son identité à ceux qui ont besoin de la connaître, sans toute fois abdiquer de sa vie privée, à savoir pouvoir limiter la quantité d'information livrée à ce qui est strictement nécessaire comme éléments de preuve d'identité pour le besoin de la demande exprimée ?

- Dans le monde de la banque, la faible qualité de nos identités numériques, qui sont fournies et gérées par chaque banque indépendemment les unes des autres, nous limite dans l'étendue de nos possibilités d'actes bancaires et quand le besoin s'en fait sentir, la banque nous force à recourir à des compléments d'authentification complexes que ce soit le recours à des mot de passe à utilisation unique ou à des cartes de codes, dont les spécificités sont propres à chaque banque par manque de standardisation. 

Exemple que je trouve extrême: pour effectuer un virement depuis le site Web de ma banque, je dois m'identifier sur le site avec mon userId/password, puis pour initier le virement, utiliser un nombre aléatoire porté sur un carton envoyé par la poste par la banque, enfin, pour confirmer le virement, je dois taper le code reçu en temps réel sur mon portable ou par e-mail !!

Il faut également rappeler que la multiplication des acteurs en contact avec l'entreprise comme les sous-traitants, les partenaire, les agents, les intermédiaires, les consultants, etc... est la conséquence naturelle de l'ouverture de l'entreprise à son éco-système. L'entreprise est ouverte sur le monde, ceci étant facilité par l'ubiquité des réseaux alors qu'en même temps les obligations de protection contre les intrus et malveillants ainsi que les nécessités d'une traçabilité fine de tous les actes de tous les intervenants dans les transactions financières augmentent à toute allure.

Or la garantie de l'identité de chaque acteur de l'éco-système de l'entreprise est absolument nécessaire pour attribuer des droits ad-hocs dans les chaînes des interactions financières, pas plus pas moins.

C'est une évolution très rapide d'une problématique éternelle mais qui semblait plus maîtrisable quand le contrôle de l'identité était surtout réservé au personnel de l'entreprise dans le périmètre physique très limité.

Il est temps que les établissements financiers, porteurs d'une confiance forte et légitime (même si parfois un peu forcée : obligation de compte bancaire, de contrats d'assurance divers, etc..), ont non seulement rôle important à jouer, mais doivent réfléchir sur l'impact forcément très important sur leurs produits et services à venir.


Lectures de soutien:
(Fidis) - Identity REvolution
Why is Identity Management so complicated ?
If Identities are unique why do I have so many ?
Les différentes modalités de l'identité en diagrammes
Kim Cameron - the 7 laws of Identity
L'identité numérique en question
combien pèse votre double numérique
Identity Weblog - Cameron - Social Network Users Bill of Rights - 2011


LA CONFIANCE NUMERIQUE
FING - les nouvelles approches de la confiance - introduction
FING - les nouvelles approches de la confiance - CR du 10 juin 2010 
FING - les nouvelles approches de la confiance - CR du 27-09- 2010
FING - les nouvelles approches de la confiance - ODJ du 17-11-2010
FING - les nouvelles approches de la confiance - synthèse avant la journée du 01-02-11
FING - les nouvelles approches de la confiance - rapport final - fev 2011
FING - la synthèse de l'expédition "les nouvelles approches de la confiance" - fev 2011
FING - la synthèse de l'expédition "les nouvelles approches de la confiance" - fev 2011 -2

FriendsClear - JC Capelli - "expédition confiance"
Hill - O-Hara - A cognitive theory of trust
Dominique Schnapper - Le Monde - en qui peut-on avoir confiance - juillet 2010
CITA - Bajoit - La mutation du contrat social - 2007
JL Lemoigne - complexité et confiance - 2004
Olivier Glassey - communautés de confiance et médiations techniques - 2010
JH Morin - to trust or not trust - 2010
VRM - Du_concept_au_marché - 2011
BCG - the value of our Digital Identity - 2012

PRIVACY
Ann Cavoukian - Privacy by Design and the emerging personal data ecosystem - 2012
Ann Cavoukian - Livre - Privacy by Design - 2010
Ann Cavoukian - Privacy-by-Design material - 2010
ENISA - Privacy - Accountability and Trust - 2010
ENISA - Privacy_features_eID card specifications - 2009

FTC - protecting consumer privacy in an era of rapid change - 2010
PbD - PbD risk mgmt- 2010
CyberSecurity - Empowering Individuals to control their personal information - 2008
ICO - enforcing_the_revised_privacy_and_electronic_communication_regulations_v1 - 2011
BITS - Privacy in the 21st century - the impact of technology on Privacy - 2011
Future Company - Privacy - 2012

VRM et gestion personnelles des données privées
FING - La révolution des données personnelles partagées - 2012
FING - mes infos - Expérimentation - 2013
VRM - du concept au marché - 2010

LES INITIATIVES PUBLIQUES
Sweden - BankId
Norge BankId

EC - The PRIME Program
EC - FIDIS - the Future of Identity in the Information Society
EC- les textes sur la protection des données
EC - projet STORK - WP3.2.6 SignatureTrustVerification
EC - projet STORK - WP3.3.3 RFID & NFC
EC - The state of electronic identity market - 2010

ENISA - National Cyber Security Strategies - 2012
ENISA - eID online banking - 2009
ENISA - eID_online_banking - 2010
ENISA - reputation_based_system - 2007
ENISA - security issues and recommendations for online social networks - 2007
EuroSmart - The smart secure world in 2020 - 2012
EU - Data Retention Directive - 2006
EU - Evaluation report on the Data Retention Directive - 2011

SSEDIC - Scoping the Single European Digital Identity community - fact Sheet - 2011
SSEDIC - Explanetary Leaflet for an european Id - 2010
SSEDIC - Call for Paper - Universal Id - 2010

OECD - The Role Of eIDM In The Internet Economy - 2009
OECD - At a crossroad - PERSONHOOD and digital identity in the information Society - 2007

The US Government initiative - 2009
US - National Strategy for Trusted Identities in Cyberspace - 2010
FTC - protecting consumer privacy in an era of rapid change - 2010
US - National Strategy for Trusted Identities in Cyberspace - 2011
US - California - Privacy on the Go - 2013

UK - LSE - identity report - 2005
UK Gov - Requirement for the Secure Delivery Of Public Services Part1 - 2010
UK Gov - Requirement for the Secure Delivery Of Public Services Part2 - 2010
UK Gov - Safeguarding Identity - 2009
UK Gov - Challenges and Opportunities in Identity Assurance - 2008
UK Gov - The Coleman Report - Information Assurance Review - 2008

Australia - National e-Authentication Framework

Sénat - respect de la vie privée - mai 2009
Sénat - proposition de loi relative à la protection de l'identité - avril 2011
Sénat - rapport sur carte identité électronique - avril 2011
Institut Telecom - Nicolas Gaume - identités numériques via le jeu - 2010

Sciences Allemagne - l'identité électronique sécurisée - mars 2009

Swift - Security___digital_financial_life_in_digital_financial_society


LES STANDARDS
L'initiative Jericho
Jericho - Vision - 2005
Jericho - Identity the new perimeter - march 2010
Jericho - Privacy_v1.0
The Open Group - Identity Management - white paper - 2004
The Kantara Initiative
FC2 - la gestion des identités numériques
FC2 - gestion-des-identites_contexte-juridique-et-societal - 2009
Higgins - the framework
Higgins - Overview - 2008

The Open Identity Trust framework model - 2010
Open Identity Exchange - white paper - 2010
OpenId - retail advisory committee - 2009
Online Identity - OpenId OAuth Information Cards - 2009
OpenId - implications of openid - google tech talk - 2007
OpenId - bootcamp tutorial - 2007

OpenId Connect
http://openid.net/connect/
http://openid.net/specs/openid-connect-standard-1_0.html
http://nat.sakimura.org/2012/01/20/openid-connect-nutshell/
http://nat.sakimura.org/2011/05/15/dummys-guide-for-the-difference-between-oauth-authentication-and-openid/

The FIDO Alliance

IDManagement.gov
ICAM - TrustFrameworkProviderAdoptionProcess - 2009

Internet Identity Workshop - Introduction to the Identity Community - 2010
Internet Identity Workshop - User-Centric Digital Identity - 2010
ADAE - ADELE - colloque industriel - 2007
NIST - sp800-103-draft - An Ontology of Identity Credentials, Part I - Background and Formulation - 2010


LES TECHNOLOGIES
EPAConf - ATOS-Worldline sur l'e-identity - 2010
EPAConf - BankID Norge - 2010
EPAConf - IdenTrust - corporate authentication - 2010

Microsoft strategy on identity management
Accenture - The future of Identity
FNTC - guide de la signature électronique - octobre 2008
AFNOR - Etude - La signature électronique et les infrastructures clés publiques - 2007
ENASS - Identity Theft - 2010
Oracle - Understand Identityy as a service 
Oracle - Externalizing Identity
IEEESecPriv - Venn of Identity - 2008
Cryptolog - Lvre Blanc - signature électronique sur tablette - 2013

Comment protéger de façon efficace son/ses identité(s) numérique(s) sur le Web 2.0
Burton - Entreprise identity management - 2006
Everett Paper - Federated Identity V1.0.2 F
IdenTrust - digital authentication in e-commerce - march 2007
IBM - identity management in the 21st century - 2007
IBM - GIO_2008___security_and_society
Cloud Identity Summit - Stewart - SecureAuth - 2010
Cloud Identity Summit - Google - The Future - 2010
Cloud Identity Summit - Primmer - The Technology - 2010
Everett Innopay - E-identity as a business - 2010
Innopay - A Network Approach to E-identification - 2010
Burton - the emerging architecture of Identity management - 2010
Petervan_ Digital Identity Tour Part-3_ Personal data _something_ - 2010

Gemalto - lessons on implementations of e-ID - 2010
Gemalto - What is missing for eID Interoperability - 2009
Gemalto_Eurosmart - European Citizen card - 2008
Guy de Felcourt - Cloud Computing et usurpation d’identité - 2010
Innopay - A Network Approach to E-identification - 2010

DIVERS ARTICLES
Nicolas Gaume - identités numériques via le jeu - 2010
Numident - Hermes
Numident - Combien pèse votre double numérique
Numident - Etats généraux identité numérique
Numident - l'émergence du double numérique
Quest - the right way to prove identity and establish trust
Internet Identity Workshop - introduction to identity community - 2010
Internet Identity Workshop - User centric digital identity - 2010

Aucun article