Les futures mots de passe sur internet
L’augmentation des recours aux services en ligne rend nos identités numériques vulnérables. Etats et entreprises rivalisent sur le marché de l’authentification
En juillet dernier, alors qu’elle veut faire une mise à jour sur Infogreffe, l’assistante d’Arnaud Garnier découvre que AGDI, la société de démolition créée par son patron, a été radiée fin juin.
La demande de radiation, effectuée auprès du tribunal de commerce, a été transmise par Internet avec de faux documents. Cette escroquerie, relatée dans le « 20 heures » de France 2, mi-août, est loin d’être un fait isolé.
Selon l’Institut de recherche criminelle de la gendarmerie nationale (IRCGN), pas moins de 200 000 Français seraient victimes, chaque année, d’une usurpation d’identité. Certes, la gendarmerie nationale possède de nombreux exemples de documents contrefaits qu’elle analyse et documente pour repérer les techniques utilisées par les faussaires, mais la dématérialisation permise par le numérique facilite la tâche des escrocs et rend plus difficile la vérification de l’authenticité d’un document. Qu’il s’agisse d’un diplôme, d’un titre de séjour, du résultat d’un test Covid19, d’un passeport ou d’un contrat, pas facile de vérifier en ligne qu’un document n’a pas été contrefait.
«On peut difficilement estimer le coût de l’usurpation en France, les mafias ne publient pas leurs résultats! Elles sont devenues très professionnelles, elles industrialisent les fraudes à grande échelle. Et, avec le numérique, vous ne savez pas toujours qu’on vous a volé votre identité puisqu’il n’est plus nécessaire de vous voler le document physique, des données peuvent suffire à produire un faux document numérique », explique Emilie The bault, fondatrice et directrice générale de SerendpTech, éditeur d’une application qui vérifie l’authenticité d’un titre et l’identité de son propriétaire. Les conséquences de l’usurpation sont lourdes. Souvent, l’usurpé se retrouve « fiché Banque de France », autrement dit, il est interdit bancaire et n’a plus accès au crédit. Et pour longtemps si le titre usurpé a une durée de vie longue.
La nouvelle carte nationale d’identité électronique (CNIE), délivrée dans toute la France depuis le 2 août, devrait contribuer à réduire la fraude et l’usurpation d’identité. Elle met la France en conformité avec un règlement européen dont le but est de renforcer la sécurité des titres d’identité des citoyens de tous les Etats membres de l’Union européenne. Au format d’une carte bancaire, la nouvelle CNIE comporte plusieurs dispositifs de sécurité, notamment des données biométriques intégrées dans une puce et une signature électronique dans un QR code, rendant difficile sa contrefaçon. Mais il reste un, voire plusieurs pas à franchir pour passer d’une carte d’identité électronique, qui, comme le passeport biométrique, reste un document physique vérifiable par des moyens électroniques, à une identité totalement numérique. Cette dernière certifierait l’identité d’un individu dans l’espace numérique, l’authentifierait lorsqu’il se connecte à des services en ligne publics ou privés, et permettrait la signature électronique de documents officiels, le paiement de factures, etc.
IDENTITÉ « PIVOT » ET « SYNTHÉTIQUE »
En juin dernier, Monaco a déployé une telle identité numérique pour les nationaux et les résidents. Elle simplifie les démarches administratives en ligne et donne accès à différents services depuis un ordinateur ou un smartphone. « Les usagers veulent pou voir utiliser une identité plus ou moins forte selon qu’ils procèdent à une démarche administrative ou qu’ils accèdent à des services privés comme leur fournisseur d’énergie, par exemple », souligne Didier Trutt, président directeur général d’IN Groupe (Imprimerie nationale), qui a développé et déployé le système monégasque. « C’est à une solution semblable que nous travaillons avec La Poste pour la future identité électronique française », ajoutetil.
Le numérique a contribué à démultiplier nos identités, qui varient selon que nous nous connectons en tant que citoyen, consommateur, professionnel, étudiant, etc. Et la pandémie a considérablement accéléré le re cours à des services en ligne, tant professionnels, notamment avec le télétravail, que personnels, pour les achats en ligne, l’école et les cours, les loisirs… Dans le monde numérique, l’identité est définie par un identifiant et un mot de passe. Nous en avons ou en créons pour les impôts en ligne, la banque, la cantine du collège, pour accéder aux applications informatiques au bureau ou aux réseaux sociaux, pour faire des courses en ligne, réserver des billets de train ou visionner sa série préférée… Pour qu’ils soient plus faciles à mémoriser, nous choisissons des mots de passe d’une banalité déconcertante, faciles à « casser » par des pirates quelque peu aguerris. De même, pour justifier de son identité lors de la création d’un compte en ligne, on scanne sa carte d’identité ou son passeport et on l’envoie par mail sans trop de précaution.
Une identité numérique permettrait à chacun de prouver en ligne qui il est en fournissant le niveau d’informations nécessaire au service auquel il se connecte. «Il faut distin guer l’identité pivot”, les attributs qui nous définissent comme nom, prénoms, naissance, et les “identités synthétiques”, les avatars ou les profils que nous créons nous mêmes pour accéder à différents services et qui ne sont pas vérifiés par l’Etat», précise Pierre Lelièvre, vice président chargé de l’identité numérique de la société Idemia. Par exemple, une banque a besoin de connaître l’identité «régalienne» de son futur client pour lui ouvrir un compte en ligne, et de pouvoir vérifier cette identité, ce qui n’est pas nécessaire pour le service de livraison d’un supermarché ou pour l’inscription sur un réseau social.
LA BASCULE DU TÉLÉTRAVAIL
«Il n’existe pas de solution idéale, nous aurons toujours plusieurs identités. L’identité numérique forte et unique est un mirage. D’ailleurs, il n’y a pas de modèle économique pour une telle identité, qui est le fait des seuls Etats. Ce qu’il faut, c’est pouvoir adapter le niveau d’identification selon que vous faites un achat en ligne ou que vous louez une maison ou une voiture sur un site de location», précise Gilles Casteran, expert en cybersécurité. Pour les particuliers, La Poste a lancé au mois de juin son service L’Identité numérique. « Numérique et physique sont désormais étroitement liés. Nous n’aurons jamais tout l’un ou tout l’autre. Notre but avec ce service est de permettre à tout un chacun d’avoir une vie numérique saine et sécurisée », affirme Olivier Vallet, présidentdirecteur général de Docaposte, filiale numérique du groupe La Poste. Ce service, disponible gratuitement, peut être souscrit partout en France, en bureau de poste ou à domicile. Il dote chacun d’une identité numérique qui lui donne accès à plusieurs centaines de services en ligne, publics et privés, grâce à un seul identifiant et mot de passe. Cet accès se fait via le dispositif public France Connect, sorte de fé dérateur d’identités. En trois mois, 400000 personnes ont souscrit au service.
La multiplication de nos identités numériques a favorisé le développement du marché de la vérification en ligne. Le cabinet Market sand Markets l’évalue à 6,4 milliards d’euros en 2020 dans le monde et estime qu’il doublera en cinq ans pour atteindre 13,4 milliards d’euros en 2025. La vérification consiste à lire un document transmis en ligne et à vérifier certains points, une adresse, la photo, un selfie, la présence de marqueurs de sécurité, etc. Le coût d’une telle vérification est compris entre 50 cents et 1 euro.
Ces services sont devenus nécessaires pour tous types de transactions en ligne, quand l’internaute n’est pas vu physiquement par le fournisseur de la prestation. Les banques et les services financiers, soumis à la réglementation bancaire Know Your Customer («connaissez votre client »), sont les premiers utilisateurs de ces vérifications pour les opérations en ligne, notamment pour l’ouverture d’un compte. Selon le cabinet Juniper Research, banque et finance représenteraient 62 % des 92 milliards de vérifications d’identité en ligne qui seraient réalisées en 2026.
Les entreprises procèdent également à des vérifications lorsque les employés se connectent à des applications ou des données critiques. «Le but est de garantir que la personne qui se connecte à l’aide d’un identifiant et d’un code qui lui est envoyé, par exemple, est bien celle qu’elle prétend être. Ce segment du marché a considérablement augmenté lorsqu’il a fallu ouvrir des accès aux employés qui sont passés en télétravail quasiment d’un jour à l’autre », remarque Cyril Patou, directeur général France de Ping Identity, une solution d’authentification en ligne. La société Onfido, qui fournit un service de vérification en ligne, a d’ailleurs vu son revenu annuel récurrent progresser de 82 % en 2020.
HOLOGRAMMES ET PAILLETTES
Le besoin de vérifier une identité devrait se généraliser audelà des banques et des entreprises. «Bientôt, on pourra sécuriser toutes les transactions entre particuliers et vérifier l’identité du vendeur à qui on achète un vélo sur Leboncoin, celle de la personne à qui on loue sa voiture personnelle ou de l’entrepreneur qui vient faire des travaux dans son appartement », prédit Franck Guigan. Il a développé et breveté la technologie Optic ID, qui permet d’authentifier un document d’identité à l’aide d’un smartphone. L’application vérifie différents points de référence sur le document et peut reconnaître les hologrammes et les paillettes qui y figurent, pas toujours vérifiables à l’œil nu.
Pour devenir réalité, l’identité numérique devra être homogénéisée à l’échelle européenne et inspirer confiance. «Le passage à grande échelle n’est pas une question technologique mais politique. Pour adopter l’identité numérique, les particuliers ont besoin de transparence et de confiance, c’est à dire de savoir quelles données peuvent être consultées par quel service», remarque Philippe Vallée, vice président identité et sécurité numéri ques chez Thales. En juin, la Commission européenne a lancé un projet de portefeuille électronique européen qui vise à harmoniser les initiatives des Etats membres et à les rendre interopérables. Le dispositif, gratuit et non obligatoire, a aussi pour ambition de réduire l’accès des grandes platesformes aux données d’identité des Européens. «Il y a aujourd’hui de vrais besoins de disposer d’une identité numérique. L’offre s’améliore et de vient plus innovante. Mais il faudra beaucoup de pédagogie pour éviter les solutions de bas niveau. Il faut surtout améliorer la confiance des Français dans les services numériques. Ils se méfient de l’Etat et des pouvoirs publics alors qu’ils vont sans hésiter sur Facebook. Pour devenir une grande nation du numérique, ce que nous ne sommes pas encore, nous devons développer des services et l’identité nu mérique afin de proposer des alternatives aux GAFA », assure Coralie Héritier, responsable de l’activité identité numérique d’Atos.