En quoi la question de l’identification des utilisateurs est-elle stratégique pour les géants technologiques ?
Le premier contact entre l’utilisateur et les services numériques est la phase d’identification et d’authentification. Depuis quelques années, les géants du web ont fédéré en un seul mécanisme les différents mécanismes d’identification et d’authentification qui existaient sur chacun de leurs services. Par exemple, quand un utilisateur configure un nouvel ordinateur ou un smartphone, il lui suffit d’entrer ses identifiants Microsoft ou Apple pour récupérer immédiatement l’accès à l’ensemble des services auxquels il était déjà abonné et aux données sauvegardées sur le cloud. Les services de paiement proposés comme Apple Pay s’appuient également sur ces mécanismes d’identification et d’authentification. Ces derniers sont devenus une véritable colonne vertébrale sur laquelle se greffent d’autres mécanismes de sécurisation ou de protection de la vie privée.
Aujourd’hui, ces géants cherchent à en élargir l’usage bien au-delà de leurs propres services. D’où, par exemple, l’apparition des boutons « Facebook Connect » ou « Google Connect », qui facilitent l’enrôlement au service d’un tiers. Les géants du web ont bien compris qu’il était stratégique d’avoir une maîtrise de l’identification et de l’authentification des internautes. Outre la simplification des usages que cela permet, c’est un axe central de leur modèle économique qui repose sur la donnée et l’analyse des comportements : plus ils parviennent à tracer ce que font leurs utilisateurs même en dehors de leurs services de base, mieux c’est. Ainsi à chaque fois qu’un utilisateur clique sur le bouton Facebook Connect pour se connecter à un service externe, Facebook le sait et peut améliorer son analyse et donc son ciblage publicitaire, source principale de ses revenus.
En résumé, un système d’identification et d’authentification solide est incontournable pour les géants du web, à la fois pour la simplicité d’usage, l’analyse du comportement des internautes, la gestion de la vie privée et la sécurisation des systèmes.
Quelle différence faites-vous entre identification et authentification ?
L’identification permet de garantir que la personne soit identifiée de manière univoque, même en cas d’homonymie. Elle fait le lien avec l’identité réelle, d’où l’obligation lors de l’enrôlement de fournir un titre d’identité reconnu. L’authentification consiste quant à elle à garantir que la personne qui cherche à se connecter est bien celle qui s’identifie. Le niveau de confiance requis peut alors varier, d’un simple identifiant et mot de passe jusqu’à la biométrie. Selon les services, l’accent sera mis sur l’une ou l’autre des dimensions, voire les deux. Déclarer ses impôts en ligne implique une identification rigoureuse. Accéder à son compte bancaire impose à la fois une identification et une authentification sophistiquées. Identification et authentification sont en tout état de cause indispensables à la confiance, tant des fournisseurs de services que des utilisateurs.
Peut-on aujourd’hui se connecter à des offres de services financiers grâce aux systèmes des
Il existe des établissements qui le permettent au moment de la première connexion, mais cela ne suffit pas pour ouvrir un compte. Facebook Connect peut par exemple permettre d’initier l’enrôlement, mais au final, le fournisseur de services financiers délivrera à son client des moyens d’identification et d’authentification qui lui sont propres, après avoir vérifié l’identité réelle de la personne.
Les géants technologiques sont également en pointe en matière de biométrie. Il est par exemple possible d’accéder à son application bancaire grâce au système de reconnaissance d’empreinte de son smartphone…
Les systèmes embarqués dans les smartphones – empreintes digitales ou reconnaissance faciale – ne sont qu’une passerelle sécurisée pour éviter de ressaisir un mot de passe. Ils garantissent uniquement que c’est bien celui qui s’est enregistré dans le téléphone qui est en train de l’utiliser. L’identification, elle, n’est pas garantie à ce stade. Quoi qu’il en soit, ces systèmes permettent une remarquable facilité d’usage et c’est un avantage concurrentiel évident pour les géants technologiques.
Le fait que les banques n’aient pas d’accès direct au smartphone, contrairement à des acteurs comme Apple ou Google, pose-t-il problème ?
En fait, rien n’interdit à une application mise à disposition par une banque de s’appuyer sur les mécanismes d’authentification biométrique intégrés aux terminaux iOS ou Android. Cela a le mérite de faciliter la vie des clients de la banque, mais il ne faut pas oublier les réserves déjà évoquées. L’utilisation d’Apple Pay impose d’autres obligations. Pour ceux qui souhaitaient programmer des services faisant appel directement aux puces NFC embarquées, le chemin a parfois été long, puisque l’utilisation des API était mise sous contrôle par Apple et reste très encadrée.
Quelles contraintes réglementaires pèsent sur les systèmes d’identification et d’authentification ?
Le règlement européen eIDAS de 2014 régule les services dits « de confiance », dont ceux d’identification et d’authentification pour l’accès aux services publics. L’identification doit être sans faille puisque, pour simplifier, les données d’identité prises en compte sont similaires à celles connues par les états civils. Il structure les niveaux de confiance relatifs à l’authentification : faible, substantiel et élevé. Les services d’authentification proposés doivent être certifiés par des organismes agréés par les États. De plus, eIDAS impose une interopérabilité de ces mécanismes d’un État membre à l’autre. En France, cela a conduit au programme France Connect, qui fédère les différents moyens d’identification et d’authentification mis à la disposition des usagers pour accéder aux services publics. L’utilisateur a le choix de son fournisseur d’identification et d’authentification numérique. D’après les dernières annonces du Gouvernement, des fournisseurs d’identité avec un niveau de confiance élevé en termes d’authentification seront proposés prochainement.
Un tel système pourrait-il être utilisé par d’autres acteurs, notamment privés ?
La question qui se pose aujourd’hui est de savoir si d’autres écosystèmes que les services publics, notamment bancaires et financiers, pourraient utiliser France Connect comme mécanisme d’identification et d’authentification robuste et mutualisé. La DSP 2, les partenariats avec les FinTechs ou encore les dispositifs de mobilité bancaire impliquent de plus en plus d’échanges d’informations et nécessitent donc de tels systèmes. D’ailleurs, la DSP 2 s’appuie déjà sur des solutions prônées par eIDAS. Des expérimentations sont menées par la Place française. D’autres pays, comme la Belgique via le consortium Belgian Mobile ID (« it’s me »), sont déjà opérationnels. Les pays baltes sont aussi assez avancés. Ce sont également des outils que, chez Sopra Banking Software, nous sommes prêts à utiliser autour de notre nouvelle plate-forme digitale.
Le modèle d’une identité numérique régalienne est-il selon vous le plus pertinent ?
Idéalement, l’État devrait offrir un système garantissant aux écosystèmes l’identification numérique d’une personne. À charge pour les acteurs de ces écosystèmes de trouver le moyen d’authentification adapté, pourquoi pas en lien avec les technologies proposées par les géants du web. La clé est de trouver le juste équilibre entre cette garantie régalienne de l’identité, le niveau de sécurité requis au moment de l’authentification et la simplicité d’usage. Cela impliquera aussi de trouver le bon modèle économique pour tous les acteurs impliqués et de définir une nouvelle gouvernance.
