Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Cyril Gollain BT et Maître Olivier Iteanu, Avocat : l’identité numérique dans la tourmente

février 2008 par Marc Jacob

Durant les Tech Days organisés par Microsoft, Cyril Gollain BT et Maître Olivier Iteanu, Avocat à la cour, ont fait le point à la fois technique et juridique sur l’identité numérique. Au terme de cette conférence, il semble que pour le moment au niveau juridique l’identité numérique fasse l’objet de débat tant sur la problématique de l’anonymat, que sur la fraude. Des solutions techniques existent comme MS CardSpace de Microsoft mais doivent aujourd’hui faire l’adhésion de l’ensemble des standards pour pouvoir se démocratiser.

En guise de préambule, Cyril Gollain a rappelé le dilemme de l’Identité Numérique. Sur le net, l’utilisateur est matérialisé par son Identité Numérique afin d’être reconnu lors de ces différentes activités marchandes ou non qu’il mène lors de son surf. Sur chaque site, il doit être reconnu et donc il s’inscrit, se crée un compte, un identifiant, un mot de passe et selon le cas, il donne son adresse personnelle, son numéro de carte bancaire…

Effectivement, reprend Olivier Iteanu, mais dans la vie réelle l’identité juridique se définit par la conjonction de 4 éléments :

- Un identifiant : nom, prénom qui est contenu dans un registre d’identité détenu par un tiers de confiance, par exemple l’officier d’Etat civil.
- Un registre d’identité ou une base de données qui recense toutes les identités
- Un titre d’identité délivré par le dépositaire du registre
- Des droits et obligation qui découlent du système d’identité globale

Dans l’identité numérique aucun de ces 4 éléments n’existent, donc on se trouve face à un problème.

Bien sûr, rebondit Cyril Gollain, puisque chaque système son propre registre d’identité ! Il y a donc une prolifération des mots de passe, des logins… Et donc ceci devient très difficile à gérer pour les utilisateurs et suscite de plus en plus de fraude sur Internet comme le phishing, le spam, le vol d’identité. Ainsi, certains acteurs proposent de renforcer l’authentification mais ces mesures pourraient complexifier le surf et de susciter de nouveaux problèmes juridiques.

En effet, le premier problème que rencontre le législateur est celui de l’anonymat explique Olivier Iteanu. L’anonymat n’est pas illégal par principe. Toutefois, deux courants contraires s’affrontent :

- Les supporters de l’anonymisation au nom du droit à l’oubli. Ils s’appuient sur la Loi informatique et Liberté du 8/1/1978. Aux Etats-Unis, un certains nombres d’avocats voudraient que cette anonymisation soit intégrée dans le droit constitutionnel.

- Ceux qui le réfutent au nom de la défense de l’ordre public et du commerce. Ils souhaitent la levée de l’anonymat au nom de la lutte contre le terrorisme et pour la défense du commerce. Ils sont aidés dans leur démarche par l’article L341 qui rend obligatoire la conservation des logs durant un an pour les opérateurs et les FAI. Cette loi via l’article 6 de la LCEN s’applique aussi à tous ceux qui offrent un accès Internet : une entreprise pour ses salariés, un particulier qui utilise une connexion en Wi-Fi pour ceux qui se connectent via son accès, un parent pour ses enfants…
Dans les deux cas, les sanctions sont d’un an de prison et de 75.000 euros d’amende.

De plus, les principaux symptômes de menaces sur Internet sont entre autres :
- Le phishing avec en particulier l’usurpation d’identité
- Le Droit à l’image...

Ainsi, en 2004-2005 Kim Cameron de Microsoft a défini les 7 lois de l’identité numérique précise Cyril Gollain :

- le contrôle de l’utilisateur et son consentement avec un droit à rectification voir à suppression de ses données
- la divulgation minimale d’information en fonction des cas
- les parties légitimes, c’est-à-dire qu’il y a un garant de la légitimité des parties
- l’identité dirigée en fonction du contexte de publication
- le pluralisme d’opérateurs avec une reconnaissance d’opérabilité en créant les conditions de cette dernière
- l’intégration de l’humain en facilitant ses accès pour réduire les sources d’erreur humaine
- l’expérience cohérente

A partir de ces 7 lois des outils techniques ont été crées. Tout d’abord, les Assertions autosignées qui étaient le premier système. Puis est apparu l’OPEN ID qui est un fournisseur d’identité mutualisé entre différents sites. Ainsi, les opérateurs télécoms sont enclins à devenir des fournisseurs d’identité du fait de leur base de clientèles. Enfin, Microsoft propose MS CardSpace qui encapsule les mécanismes d’identification/authentification quelque soit le protocole : SAML, Kerberos, WS-Federation. MS CardSpace est aussi adapté aux Assertions autosignées. Pour voir son adoption se démocratiser, il faudra attendre l’adhésion des standards ouverts comme OPEN ID, Liberty Alliance…




Voir les articles précédents

    

Voir les articles suivants