Qu’on le veuille ou non, l’identité numérique existe : profils sur les réseaux sociaux, comptes e-commerce, utilisation de sa carte bancaire sur internet, etc. Et les risques liés à ces usages sont très nombreux, en termes d’usurpation d’identité notamment. Et si l’on outillait enfin l’identité numérique ? La réponse existe déjà : le certificat électronique.

 

Qu’est ce que l’identité numérique ?

Authentification : la pierre angulaire de l’identité numérique

Contrairement à la croyance populaire, disposer d’une pièce d’identité n’est pas obligatoire en France. Pourtant, tout le monde ou presque s’impose quotidiennement le port de sa carte d’identité ou de son passeport. Tout simplement parce que cela facilite les démarches (administratives notamment), et permet de justifier rapidement et facilement de son identité et de sa nationalité. Mais dès qu’on évoque une numérisation ou une informatisation des systèmes d’identité, les Français grincent des dents…

Récemment, c’est la carte d’identité à puce signature électronique qui a été retoquée par le Conseil Constitutionnel. Pour les détracteurs de la numérisation de l’identité, les arguments avancés tiennent généralement de la protection de la vie privée et des données personnelles.

Pour autant, la dématérialisation des services et autres démarches administratives, sollicitée par les utilisateurs eux-mêmes, est en pleine croissance. Et les risques sont importants, et avérés : usurpation d’identité, risques juridiques en l’absence de valeur probante des envois (impossibilité de justifier légalement de son identité dans le cadre d’un envoi numérique), etc.

Disposer d’une capacité de s’authentifier numériquement permet donc à toutes les parties prenantes de gagner en sécurité. Et cet outil existe déjà : il s’agit ni plus ni moins que du certificat électronique, déjà utilisé par les entreprises et les administrations

Le certificat électronique est un fichier mis sur une puce (carte ou clé (USB) cryptographique) qui comprend le nom, prénom, l’adresse e-mail et le numéro Siren de l’entreprise. Ce certificat, pour qu’il soit polyvalent, est remis au porteur après vérification de son identité sur présentation de justificatifs.

Telle une carte bancaire, le certificat est reconnu sur les applications web et nécessite l’utilisation d’un code pin pour valider la demande du porteur.

Les types d’authentification pour convaincre de son identité numérique

A ce jour, les questionnements liés à l’identité numérique sont encore d’ordre purement philosophique. C’est bien sûr nécessaire, à condition que cela ne tourne pas au débat stérile. Ce qui peut facilement arriver lorsqu’il s’agit de mettre en place de trop grands projets. Et pourquoi ne pas compter sur une adoption progressive, favorisée par des aspects pratiques du quotidien ? Car personne ne peut le nier, l’Internet est partout, dans tous les actes, ou presque, de la vie quotidienne : achats en ligne, envoi de documents, inscription à un événement, déclaration et paiement des impôts, etc.

Et pour tous, le même problème : la nécessaire authentification, plus ou moins sécurisée. Avec un login / mot de passe, mais également un captcha (pour vérifier que l’utilisateur n’est pas un robot), la « mini-calculette » d’authentification, le code envoyé par SMS, etc. Au final, et afin d’éviter de s’y perdre, tout le monde utilise la même méthode : un, deux voire trois couples login / mot de passe pour les plus prudents (!), et un souffle d’exaspération à chaque inscription sur une nouvelle plateforme.

Les systèmes d’authentification courante

L’authentification courante repose sur un seul facteur d’authentification, généralement un mot de passe. Toutefois, il existe plusieurs attaques permettant de forcer un mot de passe telles que les attaques à force brute, les attaques par dictionnaire, le hameçonnage, les écoutes du clavier ou du réseau. Ce système d’authentification n’offre donc pas toutes les garanties.

L’authentification forte, un système à double verrou

Pour assurer une haute protection des informations confidentielles, il est préférable d’opter pour l’authentification forte, un procédé qui requiert la consécution de deux facteurs d’authentification. Il s’agit d’un système à double verrou, plus difficile à forcer par des personnes malveillantes. Dans la plupart des cas, l’authentification se fait par login (mot de passe) et par certificat électronique, aussi appelé certificat à clé publique. Ce certificat est une sorte de carte d’identité numérique signée par un tiers de confiance qui, à travers sa signature, garantit l’intégrité et la confidentialité des données. L’authentification forte est un gage de confidentialité particulièrement utile aux Comités de direction, d’administration et aux Conseils de surveillance, qui manipulent au quotidien des documents à caractère sensible.

Avec la multiplication des sites et applications en ligne, l’intérêt du certificat d’authentification prend dès lors tout son sens. Et ce quel qu’en soit le support : puce sur une carte d’identité ou carte bancaire comme cela a été déjà fait dans de nombreux pays tels que la Belgique, l’Espagne, l’Estonie ou encore la Suède.

C’est d’ailleurs l’une des solutions retenues en France par certaines professions : ordre des avocats, banques, collectivités locales, et plus globalement toutes les entreprises souhaitant répondre à un appel d’offres public.

Le certificat électronique : une authentification forte

Au-delà des « simples » aspects pratiques, c’est aussi toute la chaîne de sécurité qui pourrait être améliorée. En effet, l’adoption d’un certificat électronique permet par exemple de recueillir le consentement ou l’engagement de l’utilisateur, à l’image d’une signature manuscrite. Dès lors, tous les usages de la vie courante pourraient être dématérialisés et surtout accélérés : plus d’échanges papier nécessaire, tout pourrait se transmettre par voie électronique, et en toute sécurité juridique.

En d’autres termes, la ou les identités numériques doivent s’appuyer sur des outils pratiques, fiables et sécurisés. Et dès lors que l’on aura compris que les risques sont plus importantes sans qu’avec, l’adoption sera fera naturellement, tant sur le plan personnel qu’au niveau professionnel.

 

L’identité numérique pour lutter contre les usurpations d’identité

L’actualité de ces derniers mois a mis en lumière la vulnérabilité des systèmes informatiques des entreprises. Les cyberattaques se multiplient et les techniques employées sont de plus en plus sophistiquées. Vol de données, gains financiers, usurpation d’identité… La finalité n’est pas toujours la même. Tous ces événements sont l’occasion de s’interroger sur les solutions qui peuvent être mises en place pour garantir la provenance des documents émis chaque jour via internet et éviter la diffusion de fausses informations.

Certains secteurs d’activité sont particulièrement concernés par le sujet. Il est indispensable pour eux de diffuser de l’information en garantissant sa provenance. Un journaliste reçoit en moyenne un communiqué de presse toutes les 8 minutes. Les 10% les plus sollicités en reçoivent plus de 200 chaque jour. Face à un tel volume d’informations, comment être certain de l’origine de chacune ? Il est pourtant essentiel, dans le climat actuel, d’être vigilant et de protéger son identité en ligne. Et les solutions techniques existent déjà.

Sécuriser tous les accès

La notion d’identité est très forte sur internet. Les entreprises ont majoritairement pris conscience de cet état de fait. Sécuriser leurs données est un véritable enjeu au quotidien. C’est pourquoi elles ont commencé par protéger leurs sites internet grâce au protocole HTTPS. Il garantit l’identité numérique du site web, grâce à un certificat SSL et l’internaute sait donc avec certitude qu’il navigue bien sur le bon site et non sur une copie malveillante. Mais pour garantir l’identité des personnes lors de l’envoi d’un mail par exemple, il est nécessaire de déployer des systèmes de sécurité de façon plus globale.

Les conséquences d’une usurpation d’identité peuvent être dramatiques. Une entreprise du CAC 40 en a récemment fait l’amère expérience, son action décrochant de près de 19 %, suite à un faux communiqué adressé en son nom et relayé par la presse.

Mais comment de telles attaques peuvent aboutir alors qu’il existe des solutions simples pour garantir l’identité d’une personne et la provenance d’un document ? Cela passe entre autre par des sauvegardes régulières, la sensibilisation de tous les salariés sur le sujet ou encore l’utilisation d’outils sécurisés. Mais pour travailler et échanger sereinement, il est possible d’ajouter un élément : la confiance.

Intégrer la confiance numérique dans ses échanges

Les services de presse, les agences, les médias… Tous ces acteurs peuvent communiquer en toute sécurité grâce aux outils proposés par des partenaires de confiance comme CertEurope (société du groupe Oodrive). Diffuser un communiqué de presse en garantissant l’identité de son auteur, l’intégrité du document ou encore la traçabilité des échanges est aujourd’hui possible grâce aux solutions liées à la confiance numérique, et notamment la signature électronique.

Avec la signature électronique (via un certificat électronique), plus aucun doute sur l’identité de l’expéditeur d’un communiqué de presse. Cette solution, simple à mettre en place, permet d’identifier avec certitude la personne ou l’organisme expéditeur et ainsi prévenir les actes frauduleux de falsification. L’intégrité du contenu du document est garantie de l’expédition à la réception.

« Le risque d’usurpation d’identité s’annule puisque seul le porteur du certificat sera en mesure de s’authentifier, de consentir ou de s’engager. En complément de quoi, le cryptage des données échangées permet au signataire de s’assurer de leur intégrité et donc de la sécurité du contenu de son engagement », explique-t-on chez CertEurope. « Les identités numériques doivent s’appuyer sur des outils pratiques, fiables et sécurisés. Et dès lors que l’on aura compris que les risques sont plus importants sans qu’avec, l’adoption se fera naturellement ».

Hélène Toutchkov

Hélène Toutchkov
Content Manager