URL: https://linuxfr.org/news/authentification-et-identite-numerique-en-france Title: Authentification et identité numérique en France Authors: Nicolas Boulay theojouedubanjo, Davy Defaud, Benoît Sibaud, Ysabeau, TintinL et Yves Bourguignon Date: 2020-08-03T17:45:36+02:00 License: CC By-SA Tags: authentification et identité Score: 32 L’[identité numérique](https://fr.wikipedia.org/wiki/Identit%C3%A9_num%C3%A9rique) est un sujet qui a récemment été mis dans les priorités principales de la France par un groupe d’expert dans [une tribune de presse](https://www.lepoint.fr/politique/pour-un-ministere-du-numerique-a-la-hauteur-de-nos-enjeux-25-06-2020-2381752_20.php). Quel défi l’État français devra relever pour pouvoir numériser les services publics ? À un poste frontière, on présente un passeport au douanier. Celui‑ci a plusieurs moyens pour vérifier que le passeport est authentique (créé par l’État français), il vérifie ensuite notre visage. Avec ces informations, il en déduit que l’identité écrite dans le passeport est la vôtre. L’identité numérique permet de faire toutes les démarches légales en ligne sans devoir se déplacer et de le faire de façon sécurisée. On peut résumer les défis ainsi : ne pas pouvoir lier un compte Internet Tartempion, en se faisant passer pour M. Macron, pour voir ses fiches de paie, de préférence sans intervention humaine et sans ficher tout le monde. On identifie une personne avec son nom. Mais il existe des homonymes, on utilise donc le nom complet (tous les prénoms en France), sa date et son lieu de naissance. On identifie ainsi une personne de façon unique. On voit parfois l’ajout de l’adresse actuelle, mais cette information a le mauvais goût de pouvoir changer. Le numéro français INSEE (numéro de Sécurité Sociale) est une donnée unique mais est pourtant peu utilisée directement [N. D. M. : historiquement, la polémique autour de [SAFARI](https://fr.wikipedia.org/wiki/Syst%C3%A8me_automatis%C3%A9_pour_les_fichiers_administratifs_et_le_r%C3%A9pertoire_des_individus "Système automatisé pour les fichiers administratifs et le répertoire des individus") sur la généralisation de ce numéro a conduit à la création de la [Commission nationale de l’informatique et des libertés (CNIL)](https://fr.m.wikipedia.org/wiki/Commission_nationale_de_l%27informatique_et_des_libert%C3%A9s_(France))]. Cela se complique, quand il faut prouver son identité, « s’[authentifier](https://fr.wikipedia.org/wiki/Authentification) » : auprès de sa banque ou des impôts par exemple. Il existe trois façons de base de le faire : posséder quelque chose, être quelque chose, ou connaître quelque chose. ---- [54 personnalités appellent le gouvernement à bâtir une véritable stratégie numérique nationale.](https://www.lepoint.fr/politique/pour-un-ministere-du-numerique-a-la-hauteur-de-nos-enjeux-25-06-2020-2381752_20.php) [France Connect : un SSO pour les Français ?](https://franceconnect.gouv.fr/) [Cybersécurité. La carte nationale d’identité numérique arrivera en 2021](https://www.ouest-france.fr/societe/cybersecurite-la-carte-nationale-d-identite-numerique-arrivera-en-2021-6714089) [Les spécifications techniques de la puce CNIe](https://ants.gouv.fr/Les-solutions/Identite-numerique/Puce-de-la-CNIe) ---- Ce qui se fait actuellement =========================== Typiquement, on possède une carte d’identité ou un passeport qui contient une photo montrant une partie de ce que l’on est. Le système se complexifie avec les empreintes digitales. La biométrie a une caractérisation désagréable : on ne peut pas changer le moyen d’identification s’il a été compromis. On ne peut pas changer de doigts ou de tête. En revanche, cela peut arriver en cas d’accident ou de brulure par exemple, le système peut ne plus pouvoir nous identifier, c’est comme perdre un mot de passe mais en pire. Sur un site Web, on utilise un couple de données : nom d’utilisateur et mot de passe que l’on connaît. En général, ce système est associé à un autre couple nom d’utilisateur et mot de passe en cas de problème : celui de son système de courriel. Les systèmes [2FA](https://fr.wikipedia.org/wiki/Double_authentification) (_two factor authentication_) ajoutent aux systèmes précédents la connaissance d’un téléphone mobile, que cela soit par l’envoi d’un SMS (connaissance du numéro) ou par la fourniture préalable d’une clef publique (FreeOTP). C’est ceinture et bretelles. Voler le mot de passe n’est pas suffisant, il faut aussi détourner le portable (c’est déjà possible avec les SMS, qui sont vus comme peu sécurisés). Tous ces systèmes garantissent que vous êtes bien la personne qui a créé le compte web, mais ne dit rien sur votre identité civile. Les réseaux sociaux ont inventé le concept de compte certifié dans ce but. Ils demandent des informations vérifiables : biographie, copie de pièce d’identité, site Web personnel. Cela peut être suffisant pour des personnes connues, mais beaucoup moins pour n’importe qui. Une photo de passeport, cela peut se voler. C’est même parfois partagé en ligne. Le badge d’entreprise est un objet à l’image d’une clef, qui sert à s’identifier auprès des portes ou du système. Les films d’espionnage montrent souvent le vol de celui‑ci. On nous demande parfois un justificatif de domicile, comme une facture EDF, qui permet ainsi de lier un nom à une adresse physique. EDF a tous les Français ou presque comme clients, il peut ainsi fournir une preuve d’adresse physique liée à un nom donné. Lors de l’usage du protocole HTTPS par un site Web, un certificat contenant une clef publique est utilisé. Ce certificat est associé au site Web que l’on visite pour établir un canal sécurisé entre leur serveur et notre navigateur Web. Mais comment savoir qu’il s’agit du bon certificat et non d’un usurpateur qui tente l’attaque de « l’homme du milieu » ? Pour cela, les certificats sont signés par d’autres certificats dit de confiance, distribués de base dans les navigateurs. Ils appartiennent à des sociétés dont le rôle est de bien vérifier l’identité de ceux qui demandent des certificats. Il existe une série de scandales sur ce système, les vérifications étant plus que légères ([ici](https://groups.google.com/a/chromium.org/forum/#!topic/blink-dev/eUAKwjihhBs%5B1-25%5D), [là](https://www.eff.org/deeplinks/2010/03/researchers-reveal-likelihood-governments-fake-ssl) ou [là](https://www.zdnet.fr/actualites/apple-force-l-industrie-a-adopter-des-certificats-https-d-un-an-39905897.htm)). L’organisation « [Let’s Encrypt](https://letsencrypt.org/) » propose un moyen plus simple : il veut une preuve que vous contrôlez le site Web pour lequel vous demandez un certificat. Pour ce faire, il donne un fichier particulier à placer à sa racine, ou dans un champ d’enregistrement DNS particulier ou un en‑tête TLS. C’est un bon moyen de vérifier le contrôle effectif que vous avez sur celui‑ci. Ainsi, on a une liaison forte entre le site Web et son certificat. [GPG](gnupg.org) est un ancien système de chiffrement de courriel. Il utilise un couple de clefs publique‑privée, comme pour le HTTPS. Encore une fois, comment être sûr de la clef publique annoncée dans le courriel ? Cette fois‑ci, ce sont les utilisateurs du système qui signent les clefs des autres. Lors des fameuses « _key signing parties_ », les personnes donnaient une carte de visite avec l’empreinte de leur clef publique et montraient une pièce d’identité pour prouver qu’ils étaient bien les personnes qu’ils affirmaient être. Le nombre de signatures sur la clef publique distribuée par les serveurs de clefs était la garantie de leur authenticité. Le système était alourdi par la distribution de la liste des clefs révoquées, qui devenait toujours plus grande. Les cartes bancaires avec leur puce identifient leur porteur et sont sécurisées par leur code PIN. La carte est un coffre‑fort de clef privée qui nécessite de gros moyens pour être extraite. Le code PIN permet seulement d’autoriser des opérations avec cette clef. Il existe une norme _open source_ de carte à puce USB qui a fait un peu parler d’elle. Le but était de pouvoir se connecter avec elle sur un site Web, Firefox ayant un module dédié pour cela. Les impôts, au début, utilisaient la méthode des certificats personnels pour s’identifier, le problème est qu’ils étaient stockés sur la machine et étaient perdus en cas de changement ou de réinstallation. Ils pouvaient aussi être volés (par un virus dédié). Cela n’aurait pas été le cas avec une telle sorte de clef. Une carte d’identité numérique est prévue en France pour l’an prochain (2021) [N. D. M. : les tentatives précédentes ont échoué, comme [INES en 2005](https://fr.m.wikipedia.org/wiki/Identit%C3%A9_nationale_%C3%A9lectronique_s%C3%A9curis%C3%A9e), ou plus tard [IDéNum et FranceConnect](https://www.nextinpact.com/article/20814/97892-lidentite-numerique-a-francaise-didenum-a-franceconnect)]. A priori, c’est une carte à puce avec code. Le niveau de sécurité sera donc semblable à celle d’une carte bancaire. Les spécifications sont en lien plus bas. Difficile de savoir ce qu’impliquera la perte de la carte en termes d’utilisation frauduleuse possible ou simplement pour en faire une autre, et invalider la précédente. Ce qui serait souhaitable ========================= Pour revenir au défi initial, comment pourrait faire la sécurité sociale ? Elle dispose d’un identifiant unique (le numéro de sécurité sociale) et doit le relier au bon compte Internet. La sécurité complète n’existe pas, il faut lister les risques et les hiérarchiser : fuite d’informations personnelles, usurpation d’identité, opération faite sous un autre nom, empêcher l’accès à la personne légitime. S’il est impossible de garantir cela, il faut moins pouvoir régler le problème simplement pour la victime et pouvoir poursuivre l’escroc (un « vol d’identité » peut être très pénible et insoluble actuellement). Créer un compte Internet typique, avec 2FA si l’on veut, permet d’être à peu près certain que la personne derrière son adresse de courriel est toujours la même. Il reste à la relier à une identité civile. L’utilisateur va donc la déclarer (noms, date et lieu de naissance). Comment peut‑il la prouver ? Il peut fournir une image d’un passeport, mais il va être difficile de vérifier que la photo est récente et qu’elle n’a pas été volée. Il peut fournir une photo de lui et du passeport ensemble pour valider le fait que les visages correspondent. On peut aussi fournir une adresse physique, validée par un document d’EDF (car associé à son nom), pour envoyer par la poste des codes secrets ou une carte à puce. Ainsi, on peut vérifier le lien entre l’adresse physique et le compte Internet. EDF permet de faire le lien entre l’adresse physique et le nom de la personne. Cela ne marche que pour le titulaire du compte EDF. Une simple facture, surtout en PDF, cela se falsifie facilement. Le courrier peut se voler aussi. Un paiement par carte bancaire nécessite d’inscrire son nom de porteur de carte, c’est un besoin du système bancaire (norme [KYC](https://fr.wikipedia.org/wiki/Know_your_customer)). Cela ne lève pas le problème des homonymes, et il faut être sûr que tous les fournisseurs de cartes bancaires sont sérieux sur les vérifications d’identité des porteurs. On peut imaginer se faire valider son compte par des tiers. Leur rôle serait de vérifier les papiers de la personne, par rapport aux noms déclarés. C’est le rôle des signatures sur GPG ou des certificats HTTPS. Si les personnes ne se connaissent pas, une fraude est toujours possible (papiers volés ou falsifiés) et si les personnes se connaissent, elles peuvent organiser une fraude à plus grande échelle. Il faudrait donc surveiller les groupes (« _clusters_ ») de personne se faisant confiance, et en cas de doute, vérifier tout le monde. On peut imaginer la livraison par courrier de [codes QR](https://fr.wikipedia.org/wiki/Code_QR) à usage unique pour [FreeOTP](https://fr.wikipedia.org/wiki/FreeOTP). Cela permet d’utiliser un autre moyen de communication que le Web pour le transmettre. C’est équivalent à des codes secrets à usage unique. Ce courrier peut aussi contenir des listes de codes, comme à la grande époque des jeux vidéo, comme moyen supplémentaire pour les personnes sans téléphone mobile. Une personne par foyer peut se porter garante pour les personnes sous le même toit. Les personnes les plus soucieuses pourraient d’elles‑mêmes utiliser plusieurs moyens d’authentification. Des cartes à puces pourraient être mises en vente dans le commerce. Ainsi, l’identité pourrait être signée par une clef cryptographique qui aurait le même rôle qu’un couple identifiant et mot de passe sur un site Web. La carte pourrait accumuler d’autres signatures de confirmation (de tiers, d’agent public, etc.). La carte permet d’éviter de créer une base de données géante. Posséder plusieurs cartes ne pose pas de problèmes. Tout comme les clefs asymétriques, on peut en avoir plusieurs pour gérer les pertes, et les signer entre elle. La carte devrait être protégée par un code PIN et devra avoir une durée de vie pour éviter des soucis en cas de perte, comme pour les cartes de paiement. On peut aussi imaginer l’usage de guichets qui permettraient de faire vérifier par une personne habilitée, une identité déclarée et des papiers d’identité. L’identité pourrait être exprimée dans une carte à puce ou sur un site Web, l’agent devrait seulement valider la justesse des informations par rapport à un passeport et au visage de la personne. Cela pourrait être plus ou moins automatique, lors de passage à la douane ou à un guichet d’une mairie. J’aurais aimé rajouter l’hôpital, mais vu le temps perdu en procédures administratives actuellement, cela serait plus efficace que les personnels hospitaliers soient seulement utilisateurs de l’identité numérique. L’unicité des personnes physiques n’a pas encore été exploitée, si deux comptes Internet déclarent la même identité, cela peut provoquer une alerte. Ainsi, une fois toutes les personnes reconnues, il devient très difficile de se faire passer pour une autre personne. Sauf si la personne perd l’accès à son compte Internet ou si elle crée un nouveau profil. Chaque moyen proposé a des défauts. À l’image du 2FA, il paraît nécessaire de proposer plusieurs moyens d’authentification mais d’exiger que deux sur trois fonctionnent, par exemple. Selon les situations personnelles, l’usage de certains moyens n’est pas possible (adresse EDF…) et nécessite des garants au minimum. Il faudra de la souplesse et croiser les moyens mis à disposition. Il n’y a pas que l’adresse postale qui change. Le nom peut changer : francisation lors d’une naturalisation, « intérêt légitime » à changer, « nom d’épouse » même si ce n’est qu’un [nom d’usage](https://www.service-public.fr/particuliers/vosdroits/F868) (et retour au nom de naissance après divorce). La loi a d’ailleurs évolué concernant les mariages : l’épouse ne « change » plus de nom de famille, elle peut choisir un nom d’usage, ainsi que son époux (les deux noms de famille accolés). Malheureusement un grand nombre de systèmes d’information ne sait pas gérer ce cas de figure. Pour retrouver une personne, cela voudrait dire qu’elle peut avoir un nom de naissance, un nom d’usage et un nom officiel qui peut être différent de celui de naissance. On pourrait même résumer cela à un nom de naissance, un « nom courant » et d’anciens noms courants. Si l’on pouvait aussi éviter de mettre le « sexe » dans l’identification, cela éviterait tout un tas de complexités inutiles. Il pourrait être seulement [indicatif](https://www.bortzmeyer.org/iso-5218.html) et ne pas nécessiter de passer par le juge pour le changer. Des moyens humains seront nécessaires pour lever les doutes, et gérer les erreurs. Même si le numéro de passeport peut être enregistré, il faut pouvoir vérifier la photo avec le visage de la personne. Il faut aussi essayer de détecter un photomontage pour le rejeter (il existe déjà des logiciels). Pour résumer ============ Informations utilisables : - code à usage unique ; - nom d’utilisateur et mot de passe ; - numéro de téléphone ; - adresse physique ; - identité ; - numéro de sécurité sociale ; - code PIN ; - numéro de carte bancaire ; - IBAN. Objet : - pièce d’identité ; - extrait de naissance ; - carte de paiement (carte bleue, carte Visa, etc.) ; - téléphone ; - carte à puce dédiée ; - carte de sécurité sociale (Vitale) ; - la nouvelle carte d’identité numérique. Moyen de communication : - Web ; - code QR ; - courrier ; - adresse de courriel ; - numéro de téléphone ; - buraliste ou mairie (guichet) ; - commerce (achat de carte à puce). Moyen biométrique : - photo du visage ; - empreintes. Garant : - une autre personne du système ; - un officiel de l’état civil ; - une personne déléguée (buraliste) ; - justificatif de domicile ; - facture d’eau. ![Caricature de cracker](https://securitygladiators.com/wp-content/uploads/2016/12/stay-anonymous-online-tips-header.jpg) Les abus ======== Comme vu plus haut, il y a un grand nombre de moyens pour abuser le système. Par exemple, l’utilisation d’une image du passeport, ou d’une photo de visage. Les deux peuvent être en effet trouvés sur Internet plus ou moins facilement. La plupart des moyens de communication ne peuvent pas vérifier à coup sûr l’identité de la personne venant retirer des informations ou du courrier : le but de l’échange est justement de pouvoir créer ce moyen. Les informations d’identification sont publiques et ne peuvent donc pas être considérées secrètes (nom complet, date et lieu de naissance), voire image du passeport. Il y a des [exemples](https://linuxfr.org/users/malizor/journaux/j-ai-teste-pour-vous-se-faire-usurper-son-identite) de fraudes utilisant les dossiers montés pour les locations immobilières qui contiennent ses informations. Les documents fournis peuvent être modifiés (« photoshopés »). Il serait sain que ces documents puissent être fournis sous forme de fichiers PDF signés par leur créateur, le but étant de garantir leur contenu. Il existe aussi des logiciels capables de détecter si une image a été modifiée (uniformité de la perspective créé par l’objectif, uniformité de la colorimétrie du capteur…). Aucun moyen ne peut être garanti 100 % sûr. Il est souhaitable de cumuler les moyens pour renforcer la probabilité que la personne est bien celle qu’elle prétend être. Il est aussi peu souhaitable que cette identité circule. Personne n’a envie de finir sur une liste publicitaire ciblée de Facebook ou Criteo. Une identité numérique serait utile pour l’échange « légal » avec l’État, ou lors de prestations de service (banque, FAI, etc.), mais problématique si elle est demandée par tous les commerçants pour garder une trace de vente pour le SAV. À l’inverse, il serait difficile de parler d’erreur lors du non‑respect d’un système du type [Bloctel](http://www.bloctel.gouv.fr/). Pour prouver que l’on est majeur sur les réseaux sociaux, on pourrait imaginer un site intermédiaire tampon qui validerait que la personne est majeure, sans donner plus qu’un jeton aléatoire. Celui‑ci ferait le lien entre le couple nom d’utilisateur et mot de passe du réseau et la vraie identité.