Accueil Expert Identité numérique européenne : authentification et identification vont de pair

Identité numérique européenne : authentification et identification vont de pair

Stéphane Mavel

AVIS D’EXPERT – Authentification et identification sont des termes couramment rencontrés dans nos usages numériques quotidiens, et ils sont souvent associés et interchangés, à tort, car chacun décrit un processus numérique qui lui est propre. Explications de Stéphane Mavel, responsable de la stratégie Identité Numérique chez IDnow.

 

Ces termes font d’ailleurs l’objet d’une attention particulière en raison des changements récents prévus par le règlement eIDAS 2.0. Dans cette nouvelle version, la Commission européenne promeut un portefeuille d’identité numérique européen (EUDI Wallet), dont l’objectif est de permettre à tous les citoyens européens de s’identifier et s’authentifier numériquement. Il est donc essentiel de comprendre et différencier ces deux termes et de mieux mesurer les possibilités actuelles et futures de l’identité numérique et les enjeux de sécurité pour les citoyens.

Services numériques : un accès sécurisé grâce au parcours en deux étapes

Généralement, l’identification marque la première étape du parcours numérique. Elle a lieu lorsque l’utilisateur se connecte pour la première fois à une plateforme ou un service en ligne : il fournit tout ou partie de ses données d’identité afin d’entrer en relation avec le service (commerce, banque, assurance, administration, …). Ces données font l’objet de plus ou moins de contrôles en fonction de la gestion du risque par le service, et/ou son cadre réglementaire.

Selon les cas d’usage ou les niveaux de sécurité requis – comme dans les secteurs réglementés de la finance ou des jeux d’argent – l’étape d’identification demande aux utilisateurs de fournir des données d’identité. sécurisées, via la copie ou le scan de la pièce d’identité et une mini-transaction avec une carte bancaire par exemple, ou l’usage d’une identité numérique certifiée.

Après l’identification réalisée uniquement la 1ère fois, l’étape d’authentification est requise pour permettre à l’usager d’accéder au service et lui éviter de s’identifier à chaque utilisation de ce même service. Par cela, il prouve « qu’il est bien la personne qu’il prétend être », c’est-à-dire qu’il est bien la même personne que celle qui s’est identifiée la 1ère fois. Il pourra par la suite accéder au service autant qu’il le souhaite, en s’authentifiant à chaque fois.

Différents degrés d’authentification selon les usages

L’authentification prend encore très souvent la forme d’un identifiant et d’un mot de passe personnalisés lors de l’entrée en relation, à la suite de l’identification. Cette méthode, appelée authentification faible, est décriée depuis longtemps pour des raisons de sécurité et des risques de phishing, en particulier, très nombreux.

L’authentification d’un utilisateur est qualifiée de forte lorsqu’elle a recours à une combinaison d’au moins deux facteurs d’authentification fournis par l’utilisateur parmi les 3 possibles : « ce que je sais », « ce que je possède » et « ce que je suis ». Actuellement, la méthode dite forte qui est la plus répandue est celle que nous connaissons lorsque nous devons valider certains paiements en ligne, avec une application mobile qui s’active et sur laquelle nous devons saisir un code que nous sommes seul à connaître (« ce que je possède » : le mobile sur lequel l’application mobile a été téléchargée, « ce que je sais » : le code que je saisis).

Nous possédons et utilisons en moyenne 100 identifiants/mot de passe (étude de NordPass) et il va de soi qu’il est impossible de s’en souvenir, de les gérer, engendrant de facto des risques de négligence, de fraude, de vol de données, de contrats en déshérence… C’est pourquoi l’authentification forte s’installe peu à peu dans le paysage numérique. Cette dernière fait le plus souvent appel à une application mobile qui permettra de prouver les deux facteurs : « ce que je suis » et « ce que je possède ».

Si l’on sort du monde du paiement où cette application n’est autre que celle de la banque, avec des parcours et des notifications qui ont été réalisés sur mesure, nombreuses sont les applications mobiles qui proposent ce service, pour des usages moins « mass market » comme l’accès à des services en BtoB ou les wallets de crypto actifs.

Dans ces nouveaux cas d’usage, les intégrations sont moins fluides, et il n’est pas rare qu’un utilisateur ait plusieurs applications d’authentification sur son mobile, parfois même avec le même nom « authentificator », et des parcours fastidieux à chaque utilisation.

L’identité numérique : gage de confiance et de sécurité

Une autre solution réside dans l’identité numérique, fortement encouragée par l’UE. La mise à jour de sa réglementation ainsi que le développement des EUDI wallets permettront l’authentification d’un plus grand nombre de connexions en ligne, car les services privés seront dans l’obligation de les accepter, ce qui constitue un réel changement par rapport au cadre actuel de la première version d’eIDAS.

Pour créer son identité numérique, l’utilisateur apporte la preuve de son identité via la fourniture d’une pièce d’identité et d’une vidéo de son visage. Après un certain nombre de contrôles automatisés et humains, son identité est créée et accessible à travers une application mobile et un code secret personnel, voire de la biométrie si l’utilisateur en fait le choix.

L’identité numérique peut ensuite être utilisée pour l’authentification forte, en remplacement des multiples applications « privatives » proposant ce service. Une utilisation facilitée et un véritable gain de temps pour l’utilisateur, tout en lui garantissant un cadre de confiance et de sécurité.

Demain, l’authentification forte deviendra la norme pour accéder à nos services digitaux, la méthode faible devenant trop risquée. L’identité numérique sera le moyen simple de réaliser ces multiples authentifications (plus aucun mot de passe à retenir, hormis celui de son identité numérique).