Identité numérique par blockchain Self Sovereign IDentity : du mythe à la réalité
En Europe, un consortium espagnol réuni autour d’Alastria, annonce une roadmap ambitieuse pour la lancement de sa nouvelle plateforme d’identité numérique dite SSID, Self Sovereign IDentity. Le consortium rassemble quatre banques espagnoles majeures, des compagnies d’assurance et des fournisseurs d’énergie ou IT.
Ce projet baptisé Dalion, initié dès 2016, rentre maintenant en phase de développement, en vue d'une mise en production en mai 2021. Cette plateforme permettra au client espagnol de garder le contrôle sur son identité numérique, et de la gérer par lui-même sur son mobile. Ce projet est porté par l’Espagne pour servir de modèle pour la normalisation européenne, notamment au projet européen de blockchain d’identité ESSIF.
NOTRE DECRYPTAGE
La Self Sovereign IDentity SSID a le vent en poupe au niveau mondial, aussi bien auprès des acteurs privés que des acteurs gouvernementaux (pour en savoir plus, voir plus loin notre panorama international). En effet, elle correspond au besoin global d'échange de données (pas limité à des attributs d’identité d’un titre régalien) dans un écosystème ouvert public/privé, avec une garantie renforcée de protection de la vie privée et des droits des utilisateurs ; ainsi, le contrôle des données par l’utilisateur est la condition sinequanone de l’acceptabilité et du développement des usages numériques de confiance avec échange de données.
→ L’Australie vient ainsi d’ouvrir une consultation publique pour étendre aux acteurs privés l’usage de sa plateforme GovPass, pour une gouvernance transparente de confiance qui renforce la protection de la vie privée des utilisateurs. Mais est-ce suffisant si l'on ne révise pas les systèmes de gestion d’identité dès la conception, avec une vision privacy by design du SSID ? Probablement non...
Ainsi les projets de la révision eIDAS en cours et le nouveau standard canadien d’architecture de confiance pour l’identité numérique publié en septembre 2020, prévoient de prendre en compte les évolutions de concept de système d’identité SSID en introduisant les notions de credentials (voir en savoir plus sur SSID) et d’ « empowerment » de l’utilisateur.
L’utilisateur donne son consentement pour la vérification d’une donnée à un émetteur (issuer), le tiers qui assure une des fonctions de « fournisseur d’identité » sans détenir ou stocker la donnée, pour ensuite transférer l’information liée à cette vérification (Verifiable Credentials ou VC) à un autre tiers, le fournisseur de service (dit verifier car il va vérifier ce VC) en respectant les principes de minimisation, de confidentialité et de transparence du RGPD. L’avantage de la blockchain est que ce credential peut être automatiquement et instantanément vérifié par une preuve cryptographique inhérente à l’architecture de la blockchain (voir "En savoir plus sur la SSID").
Extrait de l’interview de Tim Bouna, du Secrétariat du Tresory Board du Canada : « The growth factors of Self-Sovereign Identity Solutions in Europe »
“I think policymakers actually have to go back to the drawing board and take a look at all the concepts and see if they have the right concepts to actually build out a framework and regulation, and that’s what we’ve been doing with Pan Canadian Trust Framework. We’ve recognized that what we tried to do is ingest all the latest concepts, such as issuer, holder, verifier credentials and express them in a way that does not limit them by assumption, like you don’t assume the credential is a document for example, or physical document. Or it’s just manifested only as a physical document. A credentials is a claim that can be independently verifiable and coming up with those concepts. So when you’re actually building up the frameworks and regulations you have a robust and a framework that doesn’t constrain you to a particular technological approach."
→ La Grande Bretagne mûrit aussi sa réflexion sur le sujet pour faire évoluer leur solution de fédération d’identité GOV.UK, peu utilisée, en une nouvelle architecture de confiance, avant de lancer des tests de concepts comme le font actuellement le Canada ou l’Europe (via son projet ESSIF). Sans attendre cette nouvelle architecture, un premier pilote de SSID, associant Evernym à Deloitte et OnFido, a été mené sous l’égide de la FCA avec un retour positif de cette dernière. Mais la concurrence sera rude avec une pléthore de nouveaux acteurs (dont la dernière en date, LexisNexis Risk Solutions, qui s’allie avec une fintech Nuggets pour une solution SSID).
Extraits du discours de Matts Warman au digitial identity week 2020 du 16 novembre 2020 :
"I am excited to announce that we will be publishing the digital identity Trust Framework as an alpha in the new year." (...) "When we published our response to the call for evidence, we also published a set of principles that would underpin our approach to developing policy, namely: privacy; transparency; inclusivity; interoperability, proportionality; and good governance. Security and consent underpin our approach. I don’t use these words lightly." (...) "Consumers will be assured that data confidentiality and privacy are at the centre of their digital identity and will be able to understand who, why, and when their data is being used for digital identity verification."
→ En France, les premières expérimentations pour l’identité numérique des particuliers par blockchain ont été menées dès 2016 par des acteurs bancaires de place, avec ou sans le soutien de la Caisse des dépôts et Consignation. Ils portaient sur des usages de KYC. D'autres expérimentations ont été menées par la start up Aevatar pour une identité numérique SSID aux usages multiples, dont le paiement.
Ces expérimentations n’ont pu aboutir. Néanmoins, elles ont permis de lever certaines incertitudes pour l'écosystème institutionnel français et de convaincre sur l’intérêt d’une gouvernance associée à la blockchain.
Dorénavant, la France, comme les autres acteurs européens, suit avec intérêt la vision européenne ESSIF et SSID, en particulier dans le cadre de la révision eIDAS. Par exemple, le Ministère de l’intérieur français dit vouloir contribuer au sujet, dans son dernier livre blanc sur la sécurité intérieure. De nouvelles start up françaises ont émergé pour la gestion d'identité par blockchain. En outre, le développement et la structuration de la filière française blockchain (avec la FNB, Fédération Nationale de la Blockchain) associés à une dynamique d’activité normative des experts du domaine au sein de l’Afnor, permettent des petits pas qui pourraient devenir des pas de géants. L’afnor s’est ainsi saisie d’une étape essentielle pour la confiance dans une solution blockchain : Comment établir la confiance dans les données enregistrées ?
Outre des cas d’usage liés aux objets (tels qu’un vélo comme avec la solution Ocode, associant code gravé, coffre-fort numérique et blockchain, adoubée par la Fédération Nationale des Tiers de Confiance FNTC), l’identité par blockchain nécessitera toujours la validation de l’identité et de ses documents par un tiers de confiance avant enregistrement sur la blockchain. Une vision SSID n’exclue pas l’Etat dans son rôle premier de valider l’identité source que constitue notre état civil.
Par ailleurs la France pourrait être pionnière pour proposer une alternative aux protocoles cryptographiques (adoubés par le NIST ) avec une solution open-source développée en partenariat avec l’ANSSI : Tezos. Le fournisseur de confiance AR24 (racheté récemment par la Poste) a déjà fait sienne cette solution comme plateforme opérationnelle de gestion des consentements, pour la traçabilité à valeur probante pour le cas d’usage recommandé électronique, mais aussi pour un projet de KYC.
La blockchain SSID mythe ou réalité ? Même si l’Europe est encore prudente en lançant des pilotes et expérimentations, d’autres Etats ont été plus proactifs pour soutenir et développer cette technologie, avec des systèmes déjà en production (voir notre panorama international des dernières actualités de projets SSID).
Toutefois le contexte de la crise pandémique liée à la COVID-19 pourrait accélérer tous les projets SSID, même en Europe, et en particulier pour le cas d’usage du passeport immunitaire. Même si les enjeux juridiques, éthiques et sanitaires seraient à encadrer, certains projets proposent d'intégrer une solution blockchain associée à d’autres technologies de sécurité. Nous noterons par exemple, un consortium entre le français OpenHealth, le groupe suisse Sicpa, et le fournisseur de blockchain Guardtime, qui pourrait proposer un passeport immunologique sécurisé. Toutes les personnes consentantes, ayant effectué un test de détection du virus ou des anticorps, se verraient délivrer un certificat par un organisme agréé, faisant état du résultat, dans un format numérique (le verifiable credential) également imprimable, infalsifiable et universellement vérifiable. Une simple application Smartphone ou un ordinateur suffirait pour cette vérification, y compris en mode hors connexion, en anonymisant les données personnelles relatives aux personnes testées.
POUR EN SAVOIR PLUS SUR LA SSID :
Qu’est-ce qu’une solution SSID ?
Une solution SSID est à classifier en tant que système de gestion des identités. Toute solution SSID sera à enrichir avec une solution d’identification pour l’enrôlement et d’authentification pour les contrôles des accès (par exemple Evernym s’est associé dernièrement avec Iproov pour l’identification).
Les plateformes blockchain peuvent permettre de satisfaire aux 10 principes de Self Sovereign IDentity énoncés dès 2016 par Christophe Allen. Une solution SSID va au-delà des solutions dites user centric offertes par des systèmes fédérés, car ce sont les utilisateurs qui conservent le contrôle intégral sur leurs données et l’identité numérique est portable avec le consentement des utilisateurs.
Une solution SSID peut permettre d’assurer la conformité au RGPD et en particulier aux principes suivants : intégrité et qualité des données tenues à jour, principes de minimisation, respect des droits des personnes et portabilité des données en temps réel avec interopérabilité. Une solution SSID peut satisfaire de facto au concept européen de PIMS (Privacy Identity Management System).
Pour mettre en musique ces principes, des comités de normalisation ouverts du W3C ont élaboré des standards avec une vision Internet 4.0, standards que l’Europe s’est appropriés via le projet ESSIF pour sa plateforme European Blockchain Service Infrastructure EBSI.
Les deux standards de base du W3C sont ceux sur les DID et le modèle de données Verifiable Credentials.
• Un Decentralized IDentifier (dit DID) : une adresse URL utilisée comme un identifiant associé à une entité (personne physique ou morale) ou à une transaction. La spécification du DID a évolué en octobre dernier pour en permettre son usage et son interopérabilité avec des systèmes d’identité centralisés ou fédérés.
Que ce soient les DID ou les DID documents présents ou référencés sur la blockchain, ils ne contiennent aucune donnée personnelle. Ces données doivent être stockées dans un environnement sécurisé : le digital wallet sécurisé, accessible par un smartphone et sous le seul contrôle de l’utilisateur. La dernière version de la spécification DID a évolué pour en permettre son usage et interopérabilité avec des systèmes d’identité plus traditionnels (centralisés ou fédérations d’identité tel que openidconnect) et donc une migration plus aisée.
• Un modèle de données définit ce que sont des Credentials et des Verifiable Credentials. Un Credential est une attestation émise par un émetteur, qui est un jeu de une ou plusieurs assertions d’identité (dites Claims). Les VC sont des containers qui ne sont pas des credentials. Ils permettent de rendre vérifiable la validité du Credential. Un VC est, de par sa nature, inviolable et sa validité peut être vérifiée de façon cryptographique, en l’occurrence grâce à la blockchain.
Associée à ces deux concepts DID et VC, une vision SSID nécessite de recourir à des technologies dites ZKP, Zero Knowledge Proof, essentielles pour la conformité à la minimisation des données. Ces technologies ZKP font l’objet d’un groupe de travail au sein du DIF (auquel participent Microsoft et Evernym) pour en assurer l’interopérabilité.
L'interopérabilité est devenue en effet le maître-mot pour assurer la maturité pérenne des solutions SSID. Cet enjeu est aussi primordial pour la connexion avec les systèmes de fédération d’identité existants, voire pour permettre la migration future de ces anciens systèmes vers le SSID. OpenIDconnect vient ainsi d’étendre son standard avec une spécification SIOP pour l’usage de DID et a créé un groupe de travail eKYC-IDA pour intégrer ses nouveaux concepts de Verifiable Claims.
Nous noterons que le comité international ISO TC307 sur la blockchain doit publier d’ici fin 2020 un rapport technique (TR2349) pour décrire plus précisément les standards, les architectures, les acteurs et les interactions, la gouvernance et les process de système de gestion d’identité par blockchain.
Du côté des experts du SSID, Evernym - qui a contribué en open-source aux projets Sovrin et Hyperleger - et la fondation Trust Over IP (TOiP), qui sont les principales architectures technologiques de produits SSID, annonçaient en octobre dernier avoir testé l’interopérabilité des fonctions cœur du SSID (DID, credentials …) de différents produits.
L'écosystème des paiements s'investit également pour une vision commune interopérable sur des systèmes d’identité par blockchain :
· Mastercard a déjà rejoint l'alliance internationale ID2020, qui fait la promotion de solutions d’identité par blockchain, ainsi que la fondation Linux internationale Trust Over IP (qui inclue des acteurs-clés du secteur, tels qu’Accenture, Evernym, IBM, R3). TOiP a l’ambition de promouvoir plus largement sur Internet l’utilisation des standards W3C, et de digital wallets interopérables pour créer un nouvel écosystème de confiance d’identité numérique et d’échange des données.
· Un projet européen eIB, financé par l’Europe, qui veut compléter les lacunes de eIDAS sur le KYC pour le domaine bancaire, prévoit une option d'infrastructure blockchain pour un service de gouvernance d’identité (dit IGS) de confiance pour l’échange de données entre les banques et d’autres fournisseurs d’identité,
POUR EN SAVOIR PLUS : Un panorama international des dernières actualités de projets SSID
Outre-Atlantique
- Le Canada est le pays le plus en avance et moteur sur le sujet : Securekey a largement dépassé la phase pilote de SSID. La solution blockchain de conciergierie Verified.Me a été construite avec les grandes banques canadiennes et avec le soutien du gouvernement canadien. Verified.Me fournit des services d’identité numérique pour des usages bancaires (dont le KYC pour la conformité AMLD) et gouvernementaux ; elle est entrée en production depuis plus d’un an. Durant la crise pandémique, la plateforme a ainsi connu des pics de demande d’authentification jusqu’à 800 transactions par seconde. Cette solution d’identité distribuée Verified.me a été élaborée pour faire évoluer la solution précédente par fédération vers une plateforme d’identité user centric avec gestion des consentements ; ceci dans un double objectif de sécurité et de vie privée, dit triple aveugle, pour pallier l’inconvénient de « spiderweb » de la fédération d’identité.
Cette avance technologique du Canada sur l’identité numérique blockchain SSID se concrétise aujourd’hui par un challenge entre six fournisseurs de solutions, dont Securekey et la solution d’identité sur mobile Bluink eID, pour des proofs of concept prévus en mars 2021. Les six challengers doivent démontrer leur capacité à implémenter les standards que sont les DID (Decentralized IDentifiers) et Verifiable Credentials du W3C (World Wide Web Consortium), et une interopérabilité des digital wallets. Par ailleurs ils doivent satisfaire aux nouvelles exigences définies dans la publication de septembre 2020 du nouveau standard canadien d’architecture de confiance pour l’identité numérique.
- Le Brésil lance un projet de SSID dédié à la finance avec FinID qui a pour objectif de créer une identité numérique sécurisée et portable pour les institutions financières et permettre aux clients de contrôler l’accès aux services financiers à leurs données personnelles.
Au Moyen-Orient
- Les pays du Moyen-Orient investissent également abondamment dans des solutions d’identité par blockchain : Cet été, Dubaï annonçait le lancement d’une plateforme blockchain de données KYC à l’échelle nationale, réunissant des grandes banques et plus de 120 entreprises pour leur permettre de vérifier en temps réel les données de leurs clients. Le gouvernement des Emirats Arabes Unis prévoit de digitaliser 50 % des transactions gouvernementales en utilisant la blockchain d’ici 2021.
En région Asie Pacifique :
- La première banque de Corée du sud, Shinhan Bank, se lance dans une solution d’identité blockchain pour vérifier l’identité de ses clients en adoptant la solution MyID de Iconloop. Un consortium entre le gouvernement de Corée du Sud, un opérateur SK Télécom, et différents acteurs dont des banques, travaillent ensemble pour mettre en œuvre une plateforme d'authentification nationale, intersectorielle et basée sur une blockchain qui utilisera les réseaux de télécommunications, la technologie des smartphones et les plateformes bancaires. Un million de Sud-coréens ont déjà abandonné leur permis de conduire en plastique pour une solution mobile Driving Licence couplant téléphone intelligent et blockchain. Cette vision de new deal numérique 4.0 avec la blockchain, subventionnée par l’Etat coréen, a pour objectif de continuer d’’éliminer le papier et les cartes d'identité au profit de solutions hébergées par des téléphones intelligents. Dans ce même objectif, Samsung annonçait fin août le lancement des premiers smartphones équipés de fonction portefeuille sécurisé de clés crytographiques (Le blockchain Keystore est un wallet de clé crypto des DID et de certificats numériques) pour permettre une solution d’identification par blockchain SSID, en partenariat avec l’opérateur SK Télécom.
- Suite à la crise du COVID-19, la Thailande se lance dans la même démarche que Séoul : remplacer le système d’identité numérique fonctionnant avec des cartes d’identité, par une solution d’identité par blockchain SSID qui redonne la pouvoir aux utilisateurs pour le contrôle de leurs données. Ce projet Digi-ID dépasserait les cas d’usage gouvernementaux, bancaires et d’assurance de la solution existante avec carte d’identité électronique, pour adresser également l'e-commerce.
- A Hong-Kong, la société blockpass continue son développement initié depuis 2018 pour des cas d’usage KYC BtoC (mais aussi BtoB) et annonçait au printemps dernier son partenariat stratégique avec Tozex pour les cas d’usage d’identification des personnes pour des transactions de cryptoactifs, en conformité avec AMLD5 et la GDPR.
- Au Japon, un pilote SSID est lancé pour une durée de 4 mois entre Fujtisu, et deux acteurs de l'écosystème bancaire, le scheme JCB et la banque Mizuho, en visant tout d’abord le cas d’usage de l’identité des employés.