Cet article est également disponible en espagnol, allemand et anglais.
L'histoire du concept d'identité auto-souveraine (SSI) est relativement courte. Au début, l'identité décentralisée n'était un sujet de préoccupation que pour les professionnels hautement spécialisés, qui s'inquiétaient des problèmes de confidentialité liés aux identités sur l'internet.
L'intérêt pour ce phénomène a grandi au-delà de cette communauté en raison des violations de données, qui ont exposé les données personnelles de millions de personnes, volées à de grandes entreprises telles que Yahoo, Equifax, eBay, Uber, entre autres. Puis est arrivée la technologie blockchain et sa capacité à créer des systèmes résistants à la fraude et plus sûrs. Cela a conduit à la poussée de la décentralisation de l'identité.
Les préoccupations du public concernant la vie privée et la sécurité ont atteint un tel niveau que les gouvernements ont commencé à réglementer ce domaine avec des lois telles que le règlement général sur la protection des données (RGPD) en Europe ou la loi californienne sur la protection de la vie privée des consommateurs (CCPA).
VIDchain, le service d'identité décentralisé proposé par Validated ID, est basé sur les principes de l'identité auto-souveraine.
Pretty Good Privacy
En 1991, le programme Pretty Good Privacy (PGP) de Phil Zimmermann a été l'une des premières mises en œuvre d'un système de cryptage basé sur une clé publique. Ce système, avant l'utilisation massive d'Internet, a jeté les bases du concept de modèle de confiance décentralisé, qui a ensuite servi à créer le modèle d'identité auto-souveraine ou décentralisée.
Pour envoyer des messages chiffrés, PGP exigeait que les utilisateurs échangent des clés cryptographiques avant de communiquer. Dans PGP, cet échange de clés se fait par le biais d'un réseau de confiance: chaque utilisateur distribue sa clé publique à ses amis et associés, qui, à leur tour, distribuent leurs propres clés publiques à leurs amis et associés, et ainsi de suite.
Ce processus a éliminé le besoin d'un tiers pour échanger des informations. Ce processus permet d'établir progressivement un réseau de confiance qui peut être utilisé pour distribuer des clés en toute sécurité. Plus le nombre de personnes qui signent la clé d'une personne est élevé, plus la probabilité que la clé soit sécurisée est grande. Ce concept est celui du Web Of Trust. PGP est devenu si populaire que des fêtes ont été organisées pour rencontrer des gens et échanger des clés.
Les sept lois de l'identité
L'origine du concept d'identité autonome remonte à The Seven Laws of Identity, écrit en 2005 par Kim Cameron, alors architecte système chez Microsoft. La théorie du droit de l'identité décrit ce à quoi devrait ressembler un modèle d'identité moderne, souple et sûr.
Pour Cameron, ce modèle d'identité ne devrait révéler des informations sur un utilisateur qu'avec son consentement. En outre, il convient d'afficher aussi peu d'informations que nécessaire. Par exemple, si un utilisateur doit prouver qu'il est majeur, il ne devrait pouvoir indiquer que l'année de sa naissance.
Dans ce modèle, des identifiants omnidirectionnels seront générés pour les entités publiques (comme Google.com) et des identifiants unidirectionnels pour les entités privées (comme un individu), afin de préserver la vie privée.
Pour que le système soit universel, il doit permettre l'interaction de plusieurs technologies et de plusieurs fournisseurs d'identité. En outre, il doit être conçu pour améliorer l'expérience utilisateur des personnes plutôt que des technologies ou des systèmes.
À la fin des années 2000, plusieurs initiatives ont été prises pour créer un modèle d'identité Internet. La plus pertinente était OpenID, que nous connaissons sous le nom de modèles de « Connexion avec Facebook et Google » que nous avons aujourd'hui. Ces modèles présentent plusieurs inconvénients : d'une part, le manque de confidentialité et, d'autre part, l'absence de vérification de l'identité qui affectent à la fois les utilisateurs et les entreprises.
En même temps, nous disposons d'un modèle d'identité européen officiel basé sur l'eIDAS (la loi sur l'identité électronique de l'Union européenne). Contrairement au modèle précédent, ce modèle a une forte identité, mais avec une utilisation pratiquement résiduelle par la majorité des citoyens en raison de la grande complexité d' utilisation.
Les principes de l'identité auto-souveraine
Le concept d'identité auto-souveraine ou décentralisée découle de l'explosion de la technologie Blockchain, qui a eu un fort impact sur le secteur de l'identité numérique.
Le terme d'identité auto-souveraine a été inventé par Christopher Allen, en 2016, dans son article The Road to Self-Sovereign Identity. Dans cet article, Christopher Allen explique les principes qui devraient guider toute identité auto-souveraine.
Pour Allen, il est nécessaire de comprendre que l'identité d'une personne, inévitablement, ne peut jamais exister en tant que telle sous forme numérique. L'identité autonome rend simplement certains aspects de la personne publics et accessibles. Dans ce modèle, l'utilisateur doit être en mesure de contrôler son identité. Vous devez toujours être en mesure de le consulter, de le mettre à jour ou même de le masquer.
L'utilisateur doit toujours pouvoir accéder à ses propres données, il ne peut y avoir de données cachées ou inaccessibles de sa propre identité. D'autre part, il ne doit avoir accès qu'à sa propre identité et non à celle des autres.
Les identités devraient durer éternellement, ou du moins aussi longtemps que l'utilisateur le souhaite. Cela ne peut être en contradiction avec le « droit à l'oubli » : l'utilisateur doit pouvoir supprimer une identité s'il le souhaite.
Les informations et les services liés à l'identité doivent être facilement transférables afin de garantir que l'identité d'un utilisateur puisse être transférée et stockée en plusieurs endroits, si nécessaire. Les informations doivent être disponibles dans le monde entier, sans que l'utilisateur ne perde le contrôle de son identité.
L'utilisateur doit consentir à l'utilisation de son identité. Bien que d'autres utilisateurs, tels que votre employeur, votre caisse d'assurance maladie ou un ami, puissent soumettre des données, l'utilisateur doit toujours donner son consentement pour que ces données soient valables.
Lors du partage des données de l'utilisateur, la divulgation d'informations doit inclure le moins d'informations possible afin de réaliser la transaction.
Les droits des utilisateurs doivent être respectés. En cas de conflit entre les besoins du réseau d'identité et les droits des utilisateurs, le réseau doit privilégier la préservation des libertés et des droits des personnes. Les algorithmes et les systèmes doivent être transparents et ouverts.
Rebooter Web Of Trust : la première initiative pour organiser le secteur
Christopher Allen a organisé les événements RWOT (Rebooting Web Of Trust) pour créer un nouveau système d'identité basé sur le concept d'un réseau de confiance décentralisé. Le RWOT est une conférence semestrielle au cours de laquelle des professionnels issus d'horizons très divers débattent des questions d'identité.
Les conversations qui ont lieu dans ce forum donnent lieu à la rédaction de livres blancs qui ont joué un rôle clé dans la relance du secteur. Par exemple, le premier document issu du premier événement, qui s'est tenu en novembre 2015, était intitulé « Rebranding the Web of Trust », qui redéfinit le terme et crée un nouveau modèle pour les éléments de confiance avec une définition plus moderne. Une liste de tous les livres blancs publiés peut être consultée à ce lien.
DIF : le grand groupe de réflexion du monde de l'ISS
Outre le RWOT, l'IIW (Identity Internet Workshop) était le principal forum du secteur de l'identité. Lepremier atelier s'est tenu en octobre 2005, dans le but de fournir un forum dans lequel les questions d'architecture, de gouvernance, etc. pour les services d'identité Internet et leurs philosophies sous-jacentes pourraient être abordées. À la suite de ces événements, le besoin s'est fait sentir d'organiser les différents penseurs du secteur sur les questions de SSI. Ainsi, le RWOT et le IIW ont servi de base à la création de la DIF (Decentralised Identity Foundation) en 2017, le groupe de réflexion le plus pertinent dans le monde de la SSI. Des centaines d'entreprises telles que Microsoft, Hyperledger, Accenture, Sovrin et d'autres y participent. Le DIF a mené les efforts de normalisation dans le secteur.
INATBA : l'association européenne pour les questions de blockchain
En 2019, l'Union européenne encourage la création de l'alliance internationale blockchain INATBA (International Association of Trusted Blockchain Applications), dans le but de promouvoir l'utilisation de la technologie blockchain. Elle compte plus d'une centaine de membres, tels que Accenture, Everis, Fujitsu, IBM, Deutsche Telekom, Telefónica, BBVA, IOTA, Ripple, Sovrin, ConsenSys et Validated ID. Ils ont un groupe de travail spécifique qui s'occupe du secteur de l'identité. Le livre blanc«Decentralised Identity : What's at Stake ?» mérite une attention particulière. publié en novembre 2020, ainsi que la réponse à la consultation publique sur le projet de règlement eIDAS 2, qui propose plusieurs améliorations.
Sovrin : le premier grand réseau SSI
Parallèlement au travail de définition des concepts, du protocole et des normes internationales, plusieurs initiatives et projets émergent autour de l'identité décentralisée. Le réseau Sovrin est un réseau distribué, public, à autorisation, construit spécifiquement pour l'identité. Sovrin a été le premier grand réseau d'identité décentralisé et a eu une grande influence sur le modèle actuel. En Espagne, le seul nœud Sovrin est hébergé par Validated ID. En 2020, à la suite d'une collaboration entre entreprises dans des forums internationaux, Trust Over IP (ToIP) est né. L'idée a pris forme au cours de l'année 2019, comme une confluence de multiples efforts dans les espaces de l'identité numérique, des justificatifs vérifiables, de la technologie blockchain et des communications sécurisées par des personnes qui ont vu la nécessité de converger et de créer une architecture interopérable pour la confiance numérique décentralisée. Plus de 300 organisations et individus membres font partie de la Fondation ToIP, dont Accenture, Avast, British Columbia, IBM, MasterCard, entre autres.
Alastria : la grande initiative nationale
En Espagne, Alastria est le réseau leader dans le secteur de l'identité décentralisée. Fondé en 2017, il s'est présenté comme « le premier réseau national réglementé basé sur la blockchain au monde ». Soutenu par de grandes entités espagnoles telles que BBVA, Banco Santander, Iberdrola, Repsol, parmi beaucoup d'autres, il a été créé dans le but d'accélérer la création d'écosystèmes numériques en fournissant une plateforme collaborative commune. Cette initiative va au-delà du domaine de l'identité, mais avec un accent important sur l'identité. Basée sur la technologie Ethereum, il s'agit de la première initiative qui met spécifiquement l'accent sur la question juridique.
L'Europe et l'eIDAS Bridge
Tous les acteurs ci-dessus, à l'exception peut-être d'Alastria, sont très éloignés du monde de la réglementation. Bien que de nombreux portefeuilles d'identité soient en cours de développement et que plusieurs entreprises, telles que Validated ID, s'attendent à ce changement de paradigme, la réalité est que le cadre juridique doit encore mûrir. Pour l'instant, nous avons le règlement eIDAS, qui se concentre principalement sur les PKI et les certificats traditionnels.
En juin 2021, la Commission européenne a adopté un nouveau projet de ce règlement qui stipule que les nouvelles identités des citoyens européens seront basées sur les principes de l'identité décentralisée et seront soutenues par des portefeuilles d'identité. Cependant, ce règlement n'a pas encore été formellement approuvé et développé.
C'est pourquoi le projet eIDAS Bridge est apparu comme une étape intermédiaire. Le projet eIDAS Bridge est une initiative de la Commission européenne (CE) visant à promouvoir eIDAS comme cadre de confiance pour l'écosystème SSI.
Plus tard, eSSIF Lab, un autre projet financé par l'UE, vise à fournir une mise en œuvre d'eIDAS Bridge et à tester l'interopérabilité entre les mises en œuvre des différents fournisseurs.
Les livrables techniques du projet, développés par Validated ID, consistent à utiliser des clés liées de certificats qualifiés pour les opérations SSI. Les éléments juridiques, élaborés par Nacho Alamillo, exposent les parties de la réglementation actuelle qui doivent être modifiées pour s'adapter à ce nouveau modèle d'identité, ce qui est ensuite résolu par eIDAS 2.0.
EBSI : le grand projet européen
L'infrastructure européenne de services de blockchain (EBSI) est une initiative conjointe de la Commission européenne et du partenariat européen de la blockchain. Né en 2020 pour tirer parti de la technologie blockchain afin d'accélérer la création de services transfrontaliers pour les administrations publiques et leurs écosystèmes afin de vérifier les informations et de rendre les services plus fiables.
Depuis 2020, EBSI a déployé un réseau de nœuds distribués à travers l'Europe, soutenant des applications axées sur des cas d'utilisation sélectionnés. Il a été le projet de référence en Europe dans le monde de l'ISS. EBSI et eIDAS 2 ont été créés indépendamment et gérés par des groupes différents, mais ont évolué pour fusionner.
eIDAS 2.0 : l'horizon final du SSI
Le règlement eIDAS sur l'identification électronique et les services de confiance pour les transactions électroniques dans le marché intérieur a été publié en juillet 2014. Cette initiative européenne a constitué une étape clé dans la réglementation de l'identification dans les transactions électroniques. Ce règlement visait à accroître la confiance dans les transactions électroniques afin de promouvoir le commerce en ligne et était basé sur les certificats, les sceaux et la signature électronique des documents (services de confiance).
Le premier règlement eIDAS est une référence mondiale qui pose les bases réglementaires reproduites dans les règlements des pays hors Union européenne. Malgré leur haut niveau d'acceptation en termes de services de confiance, près d'une décennie plus tard, l'adoption des systèmes d'identification électronique dans les administrations publiques reste très faible.
Par conséquent, une nouvelle proposition de modification du règlement eIDAS (appelée eIDAS 2) est publiée en juin 2021. Ce règlement vise à fournir aux citoyens européens une identité numérique à l'échelle de l'UE, leur permettant de partager des informations personnelles dans des contextes très variés, y compris dans l'environnement privé .
EIDAS 2 est basé sur les concepts d'identité décentralisée. Il est surprenant qu'avec ses origines dans le monde alternatif de la blockchain, ce modèle ait servi de base au nouveau règlement européen sur l'identité.
La prochaine étape importante est la boîte à outils, un ensemble de protocoles et d'outils communs, sur laquelle travaillent la Commission européenne et les États membres et dont la première version devrait voir le jour en septembre de cette année.
