Programme d’apprentissage – Qu’est-ce qu’une identité numérique?

Partie 2

Introduction

Dans la dernière publication de ce programme d’apprentissage, nous avons défini les principes importants de l’identité (voir Qu’est-ce qu’une identité numérique – Partie 1). Comme nous l’avons vu, l’identité est ce que vous affirmez être et qui vous êtes. Nous pouvons maintenant commencer à décrire l’identité numérique et ses avantages. Il s’agit essentiellement d’un moyen de prouver que vous êtes bien la personne que vous prétendez être, en ligne. Cela peut inclure des éléments comme le nom, l’âge et les qualifications professionnelles. Une identité numérique est la représentation électronique de l’ensemble de ces assertions. Mais cela peut susciter de nombreuses questions, telles que :

  • À quoi ressemble une identité numérique? 
  • Comment une identité numérique est-elle créée et utilisée?
  • Comment peut-on faire confiance à une identité numérique?

Nous commencerons par définir quelques concepts supplémentaires relatifs à l’identité numérique et fournirons des exemples concrets pour faciliter l’explication. Nous examinerons ensuite comment une identité numérique est créée et utilisée et discuterons des différents changements qui peuvent être apportés à une identité numérique.  


Composants primaires de l’identité numérique : justificatifs et authentifiants

Les deux composants de base d’une identité numérique sont souvent les justificatifs et les authentifiants

Un justificatif est un ensemble d’attributs liés à un identifiant. Illustrons cela par un exemple. Prenons l’exemple de votre passeport : 

  • Le passeport lui-même est le justificatif. 
  • Les attributs sont les éléments d’information figurant sur la carte, comme le nom, la date de naissance, le lieu de naissance, etc. 
  • L’identifiant est le numéro unique figurant sur le justificatif, en l’occurrence le numéro du passeport.

Une personne peut avoir plusieurs justificatifs qui composent son identité numérique, tout comme nous le faisons avec les justificatifs physiques. Par exemple, votre certificat de naissance prouve que vous êtes né, votre permis de conduire prouve que vous avez le droit de conduire, votre diplôme de médecine peut prouver que vous pouvez pratiquer la médecine. La somme totale de vos justificatifs numériques constitue votre identité numérique.

Un authentifiant est un élément qui vous permet de prouver que l’identité numérique en question est la vôtre. Par exemple, la photo de votre passeport remplit cette fonction. Elle permet à la personne qui regarde le passeport de regarder cette photo et de vous regarder. Si la photo correspond (sauf en cas de fraude, bien sûr), la personne qui regarde votre passeport peut confirmer que c’est le vôtre. Dans le monde de l’identité numérique, cela fonctionne un peu différemment. Prenons un exemple : la création d’un compte bancaire en ligne.

Lors de la création d’un compte bancaire en ligne, la banque a un processus pour vérifier votre identité. Ce processus confirme que vous êtes bien vous. Elle ne se contente pas de vous croire sur parole. Le processus peut inclure : 

  • vérifier votre connaissance d’une relation bancaire existante (p. ex., avez-vous une carte de crédit auprès de nous? Quelle est sa limite de crédit?)
  • produire des preuves provenant d’autres sources, comme un passeport ou une autre pièce d’identité avec photo délivrée par le gouvernement 
  • et/ou fournir des preuves supplémentaires, comme une copie d’une facture de services publics comportant votre nom et votre adresse. 

Ces preuves permettent à la banque de mener sa propre vérification diligente (sa validation et sa vérification) sur les informations que vous avez fournies. Une fois ce processus terminé, la banque enregistre dans son système les informations qu’elle juge importantes pour créer une identité numérique pour vous. Pour ce faire, la banque crée un numéro unique (souvent appelé identifiant unique). Cela garantit que vos informations sont toujours liées à vous dans le système de la banque, et à personne d’autre. Cet identifiant peut être quelque chose d’aussi simple qu’un numéro de client unique. La somme totale de ces informations enregistrées peut être considérée comme le justificatif. Elle crée un compte dans le système de la banque, mais comment y accéder? Pour cela, vous avez besoin d’un authentifiant.

Un authentifiant peut être :

  • Quelque chose que vous connaissez. Les plus courants sont les mots de passe, les NIP, ou même les réponses à des questions d’identification préconfigurées.
  • Quelque chose que vous avez. Il peut s’agir, par exemple, d’une carte à puce ou d’une carte d’accès, de votre téléphone intelligent ou d’un autre type de jeton physique
  • Quelque chose que vous êtes. Souvent, il s’agit d’une caractéristique biométrique, comme une empreinte digitale ou une analyse rétinienne. 

Pour en revenir à notre exemple bancaire, la banque vous demandera de créer un NIP ou un mot de passe pour vous permettre d’accéder aux services bancaires en ligne. Elle peut également vous demander de choisir quelques questions et réponses secrètes pour vous aider à accéder aux services bancaires en ligne. Avec ces éléments en main, l’utilisateur peut accéder aux services en ligne de la banque sans avoir à passer à chaque fois par les étapes initiales de vérification et de validation.


Le cycle de vie de l’identité numérique

L’exemple ci-dessus décrit la création d’un type d’identité numérique, le justificatif qui vous associe à votre compte bancaire. Prenons un peu de recul et comprenons les identités numériques de manière plus large. À un niveau général, le cycle de vie d’une identité numérique se compose de trois phases :

  1. Le commencement d’une identité ou d’une entité identifiable – Par exemple, la naissance d’une personne, une personne qui réussit sa formation d’apprenti conducteur et qui peut obtenir un permis de conduire, la constitution d’une entreprise, etc. Il s’agit essentiellement de la venue dans ce monde de quelqu’un, ou de quelque chose, à qui une identité peut être attribuée.
  2. Inscription – La création, également appelée délivrance, d’un justificatif. Il s’agit du processus de création d’un justificatif pour une identité numérique. Nous avons décrit précédemment ce processus avec l’exemple d’une personne souhaitant effectuer des opérations bancaires en ligne. À la fin du processus d’inscription, la banque a enregistré un justificatif – ce numéro de client unique dont nous avons parlé précédemment – dans son système. De plus en plus, cependant, ces justificatifs sont en fait fournis à l’individu pour qu’il les stocke et les utilise lui-même. Pensez aux cartes d’embarquement et aux billets de concert électroniques.
  3. Utilisation – Processus consistant à montrer votre identité et à faire confirmer sa validité par une personne dans le but d’effectuer une transaction électronique (p. ex. l’agent de bord qui scanne votre carte d’embarquement électronique). Cette phase comprend la fourniture d’un authentifiant, pour confirmer que le justificatif vous appartient. Dans l’exemple de la carte d’embarquement électronique, il s’agit de votre pièce d’identité avec photo délivrée par le gouvernement. Lors d’une interaction sur un ordinateur ou un téléphone intelligent, Touch ID (utilisation de votre empreinte digitale pour déverrouiller un appareil ou accéder à une application) est un exemple d’authentifiant.


États de l’identité numérique

En plus des phases du cycle de vie identifiées ci-dessus, une identité numérique peut également être :

  1. Mise à jour – les attributs liés (les éléments d’information vous concernant) peuvent nécessiter des modifications au fil du temps. Par exemple, votre taille ou votre état civil peuvent changer. Dans ce cas, l’émetteur peut mettre à jour un attribut lié et le fournir à vous, le titulaire.
  2. Suspendue – parfois, un justificatif numérique doit être suspendu, ce qui le rend temporairement inutilisable. Cela est souvent dû à une activité suspecte, comme une utilisation abusive, une faille de sécurité, ou quelque chose d’aussi simple que l’expiration du justificatif. Pensez aux cartes de crédit. Lorsque vous ou votre compagnie de carte de crédit soupçonnez que votre carte a été volée, la compagnie de carte de crédit peut suspendre la carte. Pour que les identités numériques suspendues soient réactivées, elles doivent être réévaluées à l’aide d’une partie ou de l’ensemble des processus de vérification utilisés lors de l’inscription.
  3. Réactivée – le processus consistant à remettre l’identité numérique dans un état où elle peut être utilisée à nouveau. Cette opération n’est effectuée qu’après la réévaluation d’une identité numérique suspendue.
  4. Révoquée – cela se produit lorsqu’une identité numérique est désactivée de façon permanente. Les identités numériques révoquées ne peuvent pas être réactivées ; elles doivent être recréées sur la base de l’inscription.

Veuillez noter qu’en pratique, ce n’est pas nécessairement l’identité numérique entière qui est suspendue, réactivée ou révoquée. En général, c’est un justificatif et/ou l’authentifiant qui est signalé pour, en fait, changer le statut d’une identité numérique.


Conclusion

Justificatif, authentifiant, attribut, identifiant, inscription, utilisation, etc. : ce sont tous des termes fondamentaux pour comprendre l’identité numérique. Cependant, nous avons encore du chemin à parcourir. Les prochaines parties à venir dans ce programme d’apprentissage décriront plus en détail les modèles d’écosystèmes d’identité numérique tels que le modèle centralisé, le modèle fédéré et le modèle décentralisé. Cela permettra d’expliquer des concepts comme l’identité auto-souveraine et la divulgation sélective. L’un des objectifs de ce programme d’apprentissage est de présenter les éléments qui garantissent qu’une identité numérique protège votre vie privée, est facile à utiliser et est sécurisée. Nous aborderons les cadres de protection de la vie privée, les niveaux d’assurance (NdA) et la technologie qui rend possible l’identité numérique, comme les portefeuilles numériques et les justificatifs vérifiables

Quels sujets sont encore ambigus? Quels concepts nécessitent plus de détails dans les publications ultérieures? Nous serions ravis de vous entendre et de répondre aux questions les plus demandées dans les prochaines publications du programme d’apprentissage.

 

*À noter que l’emploi du genre masculin a pour but d’alléger la présente publication et d’en faciliter la lecture.

C'est ce qu'ils ont dit ;-)

 «Nous considérons que le travail du Laboratoire d’identité numérique du Canada est crucial pour faire progresser l’économie du Canada par le biais du développement de capacités numériques sécurisées et de confiance. Afin d’assurer le succès de l’identité numérique, il sera nécessaire de veiller à ce que les secteurs public et privé soient alignés. En s’efforçant de réunir ces groupes et de trouver des solutions, le Laboratoire peut contribuer à soutenir un environnement en ligne inclusif et sûr pour que les Canadiens puissent échanger des valeurs fondées sur des standards communs et des capacités fondamentales.»

Neil Butters, Interac