Le besoin de disposer de services de vérification d’identité à distance s’est accru en France et en Europe au cours des dernières années et a été mis en lumière directement par la crise sanitaire, explique l’ANSSI. Elle vient donc de lancer un appel à commentaires au sujet de son nouveau référentiel pour les prestataires de vérification d'identité à distance (PVID).
L’usurpation d’identité est la principale menace lors d’une vérification d’identité, qu’elle ait lieu en face-à-face ou à distance, précise l'agence en charge de la cybersécurité. Un service de vérification d’identité à distance est donc exposé aux mêmes risques qu’une vérification d’identité en présentiel, mais également, de par sa nature, à des risques spécifiques (manipulation numérique des images (deepfakes), injection de données frauduleuses, tentatives répétées et massives d’usurpation, utilisation de masques…).
À la suite du recueil et de la prise en compte des commentaires, l’ANSSI publiera une première version applicable du référentiel le 1er mars. Valorisé à terme par un visa de sécurité ANSSI, il permettra d’identifier les prestataires fournissant un service de vérification d’identité à distance avec un niveau de garantie substantiel ou élevé.
L’agence rappelle par ailleurs qu’aucun prestataire de service n’a pour le moment été certifié ou ne peut se prévaloir d’une garantie de future certification au titre de ce référentiel.
Hasard ou coïncidence, le ministère de l'Intérieur, de son côté, vient de lancer un nouveau marché de 6 millions d'euros de fourniture d'une solution de comparaison de photo et de vérification d'identité à distance, en prévision du futur Système de Gestion de l'Identité Numérique (SGIN, voir Identité numérique : Alicem a le seum). Les postulants ont quant à eux jusqu'au 5 janvier 2021 pour envoyer leurs offres.
Commentaires (6)
#1
Se serait bien d’avoir adossé a ce service un service de preuve nulle de divulgation de connaissance.
Le besoin le plus évident est de montrer qu’une personne est majeur sans révéler son age.
Exemple un site a besoin de savoir si une personne est majeur, il fournit une clé. L’utilisateur fait vérifier son identité auprès du service, communique la clé et ce qu’il veut prouver. Le service renvoie une preuve non interactive nulle de divulgation de connaissance combinée avec la clé. L’utilisateur transmet la preuve au site qui vérifie la preuve et statue.
De cette façon le service ne sait pas pourquoi la preuve est demandé et le site ne sait rien d’autre que la majorité de l’utilisateur à qui il a fourni la clé.
#1.1
Tu viens de décrire le protocole oauth c’est ce qui si se passe quand tu cliques sur les boutons me connecter avec mon compte Facebook (Microsoft…) sur un site quelconque :)
on pourrait imaginer franceconnect serve de confiance par ex, il faudrait ajouter une surcouche d’autorisation comme sur un téléphone auquel on pourrait ajouter un laïus pédagogique par ex :
le site “xxx” souhaite savoir si vous êtes majeur,
=> xxx n’a aucune connaissance d’autre info, france connect n’a aucune connaissance du site ou d’un identifiant de session sur ce site
le site “y” souhaite accéder à votre date de naissance => “Comprendre ce qu’est une donnée personnelle” / “refuser” / “accepter”
le site “shop” souhaite accéder à votre identité & coordonnées postales
=> meilleur maitrise des données personnelles, on pourrait imaginer avoir une déclaration / contrôle à la CNIL pour vérifier si le site respecte la loi
le site “réseau social” souhaite générer un identifiant anonyme unique associé à votre identité
=> réseau social et france-connect partage un identifiant secret. Chaque site connait le lien avec l’id Facebook, l’id réelle. En cas de pb avec la loi un juge peut réclamer aux 2 parties de divulguer ce secret et l’anonymat est levé. En temps normal aucun des deux sites n’a connaissance de l’identité sur l’autre site la seule info est l’existence d’uin compte sans en connaitre l’id.
C’est théoriquement parfait, en pratique les paranos de services vont crier au scandale dès qu’un truc est géré par l’état. Cf stopcovid, où une partie des médias à crier directement (crie toujours) au scandale sans même comprendre le fonctionnement totalement anonyme de l’outil.
#1.2
Dans mon idée ce n’est surtout pas un système d’authentification. J’imagine que tout le monde comprend que c’est orienté vers l’autorisation à accéder à un site pour adulte. Ce pourrait aussi servir pour prouver que quelqu’un a un minimum de fond sur son compte.
Ensuite la preuve n’est pas en elle-même signifiante pour quiconque n’aurait pas la clé.
#1.3
c’est mon premier point
#2
Il faut que la clé fournie par le site change à chaque fois, sinon on peut vite faire le lien. Pas compliqué mais il faut pas oublier ce détail.
#3
La vérification d’identité est un problème réel. Combien de démarches peut-on faire en ligne en utilisant un scan de carte d’identité ? D’ailleurs, j’écris toujours le nom du destinataire du le scan de ma carte d’identité avant de l’envoyer.
Je me questionne concernant la vie privé pour savoir si on peut faire mieux qu’aujourd’hui. Est-ce à l’état de gérer cette vérification, comme il le fait en imprimant les cartes d’identité aujourd’hui ? D’une manière centralisée, ou géré par des mutuelles de citoyens ? Pourra-t-on avoir un droit à l’oubli ?
Est-ce qu’on va pouvoir renouveler totalement son identité et repartir de zéro ? Aujourd’hui, il est possible de changer d’identité si elle a été usurpée. Je pense qu’il ne faut pas croire que la technique empêchera à 100% l’usurpation, il faut prévoir des portes de sorties.
Pour un pays, un choix technologique est quasiment toujours un choix politique.